Расширение для использования ключей OpenSSL CA

Я хочу создать цепочку сертификатов с самозаверяющим корневым центром сертификации вверху, который подписывает вспомогательные центры сертификации, которые затем могут подписывать сертификаты клиента и сервера. При настройке openssl.cnf я заметил параметр keyUsage, для которого, по-видимому, необходимо установить значение, для которого предполагается использовать ключ. Хотя значения параметров задокументированы, я не могу найти никакой информации о том, какие из них следует использовать в определенных обстоятельствах.

Что означают значения keyUsage и что я должен использовать в следующих ситуациях?

• Самозаверяющий корневой центр сертификации
• Промежуточный центр сертификации (который может подписывать другие центры сертификации)
• Промежуточный центр сертификации (который не может подписывать другие центры сертификации)
• Сертификаты, не относящиеся к ЦС

Кроме того, нужно ли указывать другие расширения с определенными значениями, такими как nsCertType?