Kategorija: Izdajanje certifikatov
Kompleksnost: ⭐⭐⭐ (Srednje-visoka)
Predpogoji: CSR na voljo, Intermediate-CA
Predviden čas: 10-15 minut
Ta scenarij opisuje izdajanje odjemalskega certifikata za mTLS (Mutual TLS) avtentikacijo. Odjemalski certifikati omogočajo avtentikacijo odjemalcev pri strežnikih brez uporabe gesel.
Primeri uporabe:
using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ; using var ctx = PqCryptoContext.Initialize(); var caCert = ctx.LoadCertificate("user-ca.crt.pem"); var caKey = ctx.LoadPrivateKey("user-ca.key.pem", "CaPassword!"); var csr = ctx.LoadCertificateRequest(File.ReadAllText("client.csr.pem")); // Izdajanje odjemalskega certifikata var clientCert = ctx.IssueCertificate( csr, issuerCert: caCert, issuerKey: caKey, serialNumber: ctx.GenerateSerialNumber(), validDays: 365, extensions: new ExtBuilder() .BasicConstraints(ca: false, critical: true) // Key Usage: Samo digitalSignature! .KeyUsage(KeyUsageFlags.DigitalSignature, critical: true) // Extended Key Usage: Client Auth .ExtendedKeyUsage(ExtKeyUsage.ClientAuth) .SubjectKeyIdentifier(csr.PublicKey) .AuthorityKeyIdentifier(caCert) .Build() ); clientCert.ToPemFile("client.crt.pem");
| Lastnost | Strežniški certifikat | Odjemalski certifikat |
|---|---|---|
| Extended Key Usage | serverAuth | clientAuth |
| Key Usage | digitalSignature + keyEncipherment | samo digitalSignature |
| Subject Alt Name | DNS imena | E-pošta ali UPN (opcijsko) |
| Tipična veljavnost | 1 leto | 1-2 leti |
| Povezava | Scenarij | Opis |
|---|---|---|
| Predpogoj | 2.2 Client-CSR | Ustvarjanje CSR |
| Naslednji korak | 10.2 mTLS nastavitev | Namestitev certifikata |
| Povezano | 3.1 Strežniški certifikat | Za mTLS strežnik |
« ← 3.1 Strežniški certifikat | ↑ Pregled certifikatov | 3.3 Code-Signing certifikat → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional