对于我们的内部测试，我需要在我们的 IIS 服务器（它托管两个应用程序：ASP.NET Web GUI 和 Web 服务）和客户端（以两种可能的方式访问服务器：使用浏览器的 Web GUI 和使用 WinForms 创建的客户端的 Web 服务）之间设置相互 SSL 身份验证。当测试完成并评估结果时，我必须向我们的客户提供一些指示，说明如何在他们的环境中进行设置和配置 - 一个封闭的企业环境，可通过 VPN 通过非公开 URL 访问。

我对 PKI、密钥和证书非常熟悉，只是在 HTTPS 环境中对 PKI 缺乏经验。借助一些可用工具（主要是 XCA），我成功创建了根 CA 证书、服务器证书和一堆客户端证书；我将它们安装在 IIS 和客户端存储中，一切运行顺利，但存在一些问题和疑问：

• 服务器证书所需的（扩展）密钥使用值有哪些？在我的测试证书中，我获得了Digital Signature、Non Repudiation和Key Encipherment扩展TLS Web Server Authentication- 我是否遗漏了任何内容？这些都是必需的吗？
• 关于客户端证书的相同问题：需要哪些密钥用法？我的测试证书有Digital Signature、Key Encipherment和Data Encipherment扩展TLS Web Client Authentication- 我是否遗漏了任何内容？所有这些都是必需的吗？
• 客户端证书还应具备其他特殊功能吗？
• 服务器证书应将其名称列在 SAN 列表中作为 DNS 条目（或 IP，如果通过 IP 地址访问，对吗？）。但是其可分辨名称的主题 CN 字段呢？它应该有任何特定形式吗？应该是空的吗？非公共地址，例如，可以mytestenv.mycompany.lan用作 SAN 吗？目前在我的测试服务器证书中，我只有一个主题 CN 集，没有 SAN DNS 条目，我认为我需要添加它，对吗？
• 我需要采取什么措施（除了在浏览器或 Windows 商店中将 CA 证书添加到受信任的 CA 之外）来防止浏览器显示有关网站不安全的整页安全警告？我认为没有“绿锁”或地址栏中的某些警告或其他东西我可以忍受，但例如 Chrome 显示整页安全错误，并且直到我为服务器配置安全例外时才显示网页。我该如何防止这种情况发生？缺少 SAN 可能是原因吗？IE 和 Firefox 显示页面。
• DV/OV/EV、证书透明度、浏览器传入的“HTTPS 末日”或其他东西是否会以某种方式影响我（以及可能客户的）的设置？我需要特别注意这些吗？

如果可能的话，我会对一般性评论以及特定服务器（尤其是 IIS）和浏览器的要求感兴趣（在客户的基础架构中，这些主要是 IE 11+ 和 Edge）。