Manera segura de pasar el certificado del cliente al cliente2

No desea generar un certificado de cliente para su cliente. Esto significaría que usted tiene la clave privada para sus comunicaciones. Esta es una mala práctica.

1. Tienes la idea correcta. Desea generar un certificado de CA para su servidor principal. El cliente luego generaría un Certificado de CA Intermedio para su servidor. Le enviarían este certificado de CA intermedio a través de un Solicitud de firma de certificado (CSR) , y usted firmaría el certificado con su certificado de CA raíz. El enlace anterior es solo para fines informativos, no estoy anunciando su producto. Este certificado firmado se devolvería al cliente para su uso.

2. Una CSR es un formato que contiene toda la información necesaria para que usted firme el certificado proporcionado. No contiene la clave privada del certificado. Esta respuesta y los comentarios explican que un formulario en una página web para enviar es razonable porque no se están pasando datos privados. Esto también le dará la oportunidad de recopilar otra información necesaria para verificar al cliente con el fin de procesar la CSR. Una vez que haya procesado la CSR, puede enviar el certificado nuevamente por el mismo medio, por correo electrónico o por cualquier método que elija. No se ha agregado información privada después de haber firmado su certificado.

3. Sí, OpenSSL proporciona toda la funcionalidad que necesita para configurar esto. Hay varios ejemplos de configuraciones PKI en OpenSSL PKI Tutorial . Aquí hay otro gran recorrido para Creación de PKI (PDF) . Ahora, estos ejemplos van más allá del alcance de lo que está haciendo, pero le dará una comprensión completa de lo que debe suceder para que las autoridades de certificación funcionen.

Aquí hay un una buena explicación de cómo todas las cosas encajan en un nivel superior.