Мне нужно аутентифицировать потребителя нашего REST API, аутентифицируя его клиентский сертификат, и я немного не понимаю, как аутентифицировать клиента.
Достаточно ли хранить сертификат CA в моем локальном хранилище, отправлять клиенту сертификат (редактировать: по электронной почте или в какой-либо другой форме, а не через API) и прикреплять сертификат к каждому вызову API. Со своей стороны я бы проверил цепочку, затем загрузил пользователя по серийному номеру (т.е. сопоставил серийный номер с пользователем), а затем пошел оттуда?
Это полностью безопасно или мне нужно добавить какую-то другую проверку, например, имя пользователя в CN и т. д.?
Также будут ли какие-либо проблемы с безопасностью при использовании одного и того же сертификата для клиента для отправки на сервер и сервера для отправки клиенту?