Доброго времени суток!
Стоит задача выбрать центр сертификации для двустороннего mTLS.
Сейчас это самоподписанные сертификаты вида clent.crt, client.key которые генерятся на сервере и отправляются клиенту.
По сути нужно генерить такие же сертификаты, только центр сертификации должен быть например let’s encrypt.
Проблема в том, что я не могу найти информацию по двустороннему mTLS, все результаты поиска выдают информацию по SSL для сайтов.
Как мне настроить центр сертификации и двусторонний mTLS на сервере и выдавать сертификаты для клиента?
Простой ответ - настроить и использовать собственный CA.
Сложный ответ - мировые CA заточены под выпуск сертификатов совершенно определенных типов - с EKU ServerAuth (ну еще E-Mail Protection может быть). Если для Вашего mTLS этого достаточно - берите и выпускайте. Если нет - разворачивайте свой CA и устанавливайте в обеих точках сертификат корневого CA в доверенные - все равно ставите клиенту его сертификат.
Что касается LE - он вообще генерит сертификаты только под ServerAuth и только на три месяца. Не для этого его пилили.
Простой
Средний
Простой
