ssl双向认证问题 请高手指点，(十万火急)

目的：tomcat应用服务器和用户的ie浏览器完成ssl双向认证
要求：tomcat不能用本身的自签名证书，用户ie也不能用tomcat签发的数字证书，都必须使用ca服务器签发的数字证书；ca服务器必须自己搭建。

方案：选用微软2008搭建ca服务器，搭建根ca和二级ca，根ca签发数字证书给二级ca，二级ca分别签发数字证书给tomcat服务器和用户的ie，而且将二级ca的数字证书提供给tomcat和用户ie。

问题：

1、这个方案可以吗？

2、我们在实施这个方案时候，先搭建服务器A，server2008，活动目录选企业根，在安装另一台服务器B，也是2008，加入到服务器A的域。

设想是服务器A为根ca，B为二级ca。

根ca先申请自签名证书。

如何用根ca签发数字证书给二级ca？

二级ca如何签发数字证书给tomcat？二级ca签发数字证书给用户？应该是相同的问题

tomcat是否需要二级ca的数字证书？如何使用？tomcat如何导入自己的数字证书和二级ca数字证书？

用户的ie导入自己的数字证书和二级ca数字证书，就可以和tomcat进行ssl双向认证调测了？

我们在测试的时候，碰到以上问题，盼能够得到帮助，谢谢。