А в linux'е есть поддержка mutual TLS?

curl --cert ./path/to/cert.crt --key ./path/to/key.key --data here-goes-data http://here.is/url

уже осознал.... остался только один вопрос: какую опцию дополнительно нужно установить при создании сертификата (или запроса на сертификат) через openssl, чтобы он считался mutual, если вообще существует такая опция.

Стрёмный термин. Я правильно понимаю, что речь идет всего-навсего о том, что клиент предоставляет свой сертификат для идентификации? Если это так, то советую использовать термины «анонимный TLS» (без клиентского сертификата) и «авторизованный TLS» (с клиентским сертификатом), так ты больше русскоязычной инфы нароешь.

да хоть на японском, лишь бы понять есть ли различия между серверным и клиентским сертификатом при его генерации.

ну вот и гугли, как в openssl указывать сертификату политики применения, а то мутуалом тут своим в лицо тычешь

и какие при этом нужно использовать ключевые слова или параметры openssl?

Из далека зашел =)

http://acs.lbl.gov/~boverhof/openssl_certs.html

да и куча других доков и howto, вот даже есть с модным словом 'mutual': http://www.cafesoft.com/products/cams/ps/docs30/admin/ConfiguringApache2ForSS...

судя по этой куче доков и howto разницы в генерации между серверным и клиенским сертификатом нет никакой.

Верно. Если такой вариант не устраивает, то поищите другие.

я бы даже и не задумывался об этом если бы не странная фраза на этом хуту: «The certificate and private key pair that you create must support mutual authentication. This is typically a property that you must set when creating the CSR.» которая немного смущает.

Есть два таких OIDа - Key Usage и Extended Key Usage.

Читать про это можно начать отсюда: http://tools.ietf.org/html/rfc3280

http://yandex.ru/yandsearch?text=certificate key usage oid&lr=213

В смысле mutual TLS? Авторизация по ключам со стороны клиента? Или что?

позволю себе процитировать ещё раз откуда растут уши у этого вопроса: «The certificate and private key pair that you create must support mutual authentication. This is typically a property that you must set when creating the CSR.»

и насколько я сейчас понимаю, то да - это авторизация на сервере по сертификатам со стороны клиента.

А у Вас сервер настроен то таким образом? Может, Вам просто обычный TLS нужен, просто у Вас серверный сертификат доверенным CA не подписан?

серверами заведуют мелкомягкие, так что с доверенными сертификатами там всё в порядке, и даже хуже, они могут диктовать свои условия в плане аутентификации клиентов. К примеру, затребовать подписанный доверенным CA клиентский сертификат.

А нельзя ли всю задачу сразу описать?

задача простая: получение сертификата пригодного для отправки авторизованных запросов на сервис push-уведомлений WP8, для этого даже хауту имеется, из которого было выдернуто это странное слово «mutual».