Client-Identifikation über PQ-Zertifikate.

Das Entwickler-Zertifikat wird von der internen CA ausgestellt.

# Zertifikat anfordern
openssl req -new -newkey ml-dsa-65 -keyout dev.key -out dev.csr
 
# CSR an CA senden
# Nach Genehmigung: dev.crt erhalten

# API-Aufruf mit Client-Zertifikat
curl --cert dev.crt --key dev.key \
     https://gateway.intern:443/api/v1/dsn/demo/tables

var handler = new HttpClientHandler();
handler.ClientCertificates.Add(
    new X509Certificate2("dev.pfx", "password"));
 
var client = new HttpClient(handler);
var response = await client.GetAsync("https://gateway.intern/api/v1/dsn/demo/tables");

Der Server prüft:

1. Ist das Zertifikat gültig (nicht abgelaufen)?
2. Wurde es von unserer CA signiert?
3. Ist es nicht widerrufen (CRL/OCSP)?
4. Hat es die erforderlichen Extensions?

Für die programmatische Erstellung und Verwaltung von PQ-Zertifikaten siehe die WvdS.System.Security.Cryptography Bibliothek:

• Entwickler-Beispiele (CSR, PKI)
• X509Certificates API
• CertificateRequest Extensions