Как выбрать центр сертификации?

Доброго времени суток!
Стоит задача выбрать центр сертификации для двустороннего mTLS.
Сейчас это самоподписанные сертификаты вида clent.crt, client.key которые генерятся на сервере и отправляются клиенту.
По сути нужно генерить такие же сертификаты, только центр сертификации должен быть например let’s encrypt.
Проблема в том, что я не могу найти информацию по двустороннему mTLS, все результаты поиска выдают информацию по SSL для сайтов.
Как мне настроить центр сертификации и двусторонний mTLS на сервере и выдавать сертификаты для клиента?
  • Вопрос задан
  • 177 просмотров
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
Простой ответ - настроить и использовать собственный CA.

Сложный ответ - мировые CA заточены под выпуск сертификатов совершенно определенных типов - с EKU ServerAuth (ну еще E-Mail Protection может быть). Если для Вашего mTLS этого достаточно - берите и выпускайте. Если нет - разворачивайте свой CA и устанавливайте в обеих точках сертификат корневого CA в доверенные - все равно ставите клиенту его сертификат.
Что касается LE - он вообще генерит сертификаты только под ServerAuth и только на три месяца. Не для этого его пилили.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы