mTLS сертификаты клиента и сервера должны быть подписаны одним центром сертификации?

В мTLS (Mutual TLS) сертификаты клиента и сервера не обязательно должны быть подписаны одним и тем же центром сертификации (CA). Однако важно, чтобы оба сертификата были доверенными для каждой стороны.

Принципы работы mTLS:

1. Доверие через цепочки сертификации:
   • Когда сервер и клиент обмениваются сертификатами, каждый из них проверяет, подписаны ли сертификаты доверенным CA.
   • Сервер должен доверять тому CA, который выдал сертификат клиента.
   • Клиент должен доверять тому CA, который выдал сертификат сервера.
2. Как настраивается доверие:
   • В случае, если используются разные CA, необходимо добавить корневые сертификаты всех доверенных центров сертификации в хранилище доверенных корневых сертификатов как на сервере, так и на клиенте. Это позволяет проверять сертификаты даже от разных CA.

Когда один CA:

Использование одного CA для подписания как клиентских, так и серверных сертификатов может упростить процесс настройки, поскольку доверие к единому корневому сертификату (или промежуточному) автоматически распространяется на оба сертификата.

Когда разные CA:

Ситуация, когда клиентский и серверный сертификаты подписаны разными CA, является обычной практикой, например, в более крупных или распределенных системах, где каждая сторона использует свой собственный CA. В этом случае стороны должны убедиться, что доверяют корневым сертификатам друг друга.

Таким образом, основное требование в mTLS — это взаимное доверие к центрам сертификации, а не наличие единого CA.