====== 5.3 Autentifikacija certifikatom ======

Identifikacija klijenta putem PQ certifikata.

===== Glavni certifikat =====

Razvojni certifikat izdaje interna CA.

<code bash>
# Zahtjev za certifikat
openssl req -new -newkey ml-dsa-65 -keyout dev.key -out dev.csr

# Poslati CSR CA-i
# Nakon odobrenja: dobiti dev.crt
</code>

===== Korištenje certifikata =====

<code bash>
# API poziv s klijentskim certifikatom
curl --cert dev.crt --key dev.key \
     https://gateway.intern:443/api/v1/dsn/demo/tables
</code>

===== U aplikacijama =====

<code csharp>
var handler = new HttpClientHandler();
handler.ClientCertificates.Add(
    new X509Certificate2("dev.pfx", "password"));

var client = new HttpClient(handler);
var response = await client.GetAsync("https://gateway.intern/api/v1/dsn/demo/tables");
</code>

===== Validacija certifikata =====

Server provjerava:

  - Je li certifikat valjan (nije istekao)?
  - Je li potpisan od naše CA?
  - Nije li opozvan (CRL/OCSP)?
  - Ima li potrebne ekstenzije?

===== PQ-Crypto biblioteka =====

Za programsko kreiranje i upravljanje PQ certifikatima pogledajte **WvdS.System.Security.Cryptography** biblioteku:

  * [[..:..:..:pqcrypt:developer:beispiele:start|Primjeri za razvojne programere (CSR, PKI)]]
  * [[..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:start|X509Certificates API]]
  * [[..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:certificaterequestextensions|CertificateRequest Extensions]]