5.3 Avtentikacija s certifikatom

Identifikacija odjemalca preko PQ certifikatov.

Razvijalski certifikat izda notranja CA.

# Zahteva za certifikat
openssl req -new -newkey ml-dsa-65 -keyout dev.key -out dev.csr
 
# Pošlji CSR na CA
# Po odobritvi: prejmi dev.crt

# API klic s certifikatom odjemalca
curl --cert dev.crt --key dev.key \
     https://gateway.intern:443/api/v1/dsn/demo/tables

var handler = new HttpClientHandler();
handler.ClientCertificates.Add(
    new X509Certificate2("dev.pfx", "password"));
 
var client = new HttpClient(handler);
var response = await client.GetAsync("https://gateway.intern/api/v1/dsn/demo/tables");

Strežnik preveri:

1. Ali je certifikat veljaven (ni potekel)?
2. Ali ga je podpisala naša CA?
3. Ali ni preklican (CRL/OCSP)?
4. Ali ima zahtevane razširitve?

Za programsko ustvarjanje in upravljanje PQ certifikatov glejte knjižnico WvdS.System.Security.Cryptography:

• Razvijalski primeri (CSR, PKI)
• X509Certificates API
• CertificateRequest Extensions