Как выдать сертификат TLS для пользователя?

Question

[Nikxp]

Хочу сделать аутентификацию пользователя через TLS сертификат.
Получилось это сделать только для хоста (когда общее имя объекта в сертификате совпадает с именем машины, для которой выдан сертификат).

Как можно выдать сертификат на пользователя, чтобы можно было записать его на токен и использовать для подписи сообщений на любой машине, в которую примонтирован токен?

Answer 1

[CityCat4]

Сертификат - это набор информации, которая проверена и подтверждена выпускающим CA (или никем не подтверждена, если CA свой), зашифрована и подписана. И любое использование подразумевает просто сверку текущей информации с той, что хранится внутри сертификата.

Наиболее часто проверяют CN - Сommon Name. Для серверов в это поле вписывают имя сервера, для почтовых сертификатов - обычно имя пользователя (его по идее можно проверять, но я так не делал).
Менее часто проверяют Email. Для серверов в это поле вписывают адрес ответственного и оно информационное, для почтовых сертификатов - адрес электронной почты.

Программным образом можно проверить любое, какое угодно поле, если таковое в сертификате присутствует (и факт присутствия тоже :) ) Существуют зиллионы шаблонов, в том числе и с полями по-русски, хотя я стараюсь этого избегать - неизвестно как софт отреагирует.