Какова цель общего имени (CN) и альтернативного имени субъекта (SAN) в двусторонних клиентских сертификатах TLS?Имеют ли они ту же функцию и важность, что и в сертификатах сервера, или их можно свободно выбирать в значениях, которые подходят для сервера для идентификации клиента (например, CN: "ClientA")?
Какова лучшая практикакто должен отвечать за создание сертификата клиента?Я могу думать о трех разных вариантах: 1. Клиентская сторона делает CSR для стороны сервера для сертификата клиента 2. Серверная сторона полностью создает сертификат клиента и пересылает сертификат стороне клиента 3. Клиентская сторона генерирует сертификаты и пересылает информацию стороне сервера, что добавить кдоверенное хранилище.Есть ли другие варианты для рассмотрения?Какое решение является лучшим практическим?