Мне нужно разработать веб-приложение, которое защищено через https и использует сертификаты аутентификации клиента. Клиенты подключаются по приглашению, поэтому оно не предназначено для пользователей, натыкающихся на это приложение, гуглящих вокруг.
В идеале было бы получить промежуточный сертификат CA из общедоступного корневого центра, подписать сертификат ssl и использовать его для выдачи клиентских сертификатов аутентификации. Я думаю, что это не сработает, проще говоря, я никогда не буду претендовать на такой промежуточный CA (насколько я знаю, но, возможно, я ошибаюсь с этим).
Второе предположение: создайте собственный Root CA, промежуточный CA и используйте их. Из-за того, что я написал о пользователях, я могу встроить необходимую цепочку сертификатов в выданные сертификаты. Это технически работает.
Что бы я предпочел - это получить ssl-сертификат у государственных органов и , чтобы использовать собственную цепочку для выдачи сертификатов аутентификации и проверки пользователей. Согласно это возможно. Но я не нашел ничего о том, как, например, настроить IIS (или Kestrel) для запроса клиентских сертификатов, выпущенных конкретным центром сертификации, даже за исключением некоторой стандартной спецификации, в которой описан этот поток.