当TLS服务器正在请求客户端证书(相互TLS)时,TLS客户端会将“证书”消息中的其证书(与CA证书一起)发送到服务器。在这种情况下,客户端证书中的扩展名是否必须设置为usr_cert还是可以将扩展名设置为server_cert?
这是我创建客户端证书的方式:
创建CSR:
openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem
签署server_cert:
openssl ca -config openssl.cnf -extensions server_cert -days 365 -notext -md sha256 -in csr.pem -out cert.pem
签署用户证书(如果需要-我目前仅使用server_cert):
openssl ca -config openssl.cnf -extensions usr_cert -days 365 -notext -md sha256 -in csr.pem -out cert.pem
TLS服务器响应后,客户端将其(server_cert)证书发送到TLS服务器后,客户端收到证书未知错误(46)