Добрый день!

В прайс-листе КриптоПро есть раздел Услуги Удостоверяющего Центра.
В нем есть услуга "по изготовлению сертификата ключа аутентификации сервера", стоит 14300р по распределенной схеме обслуживания.
И есть услуга "по изготовлению сертификата ключа подписи пользователя", стоит 1170р по распределенной схеме обслуживания.
Подскажите, в чем техническая разница в этих двух сертификатах?
1. Как я предполагаю, в серверном сертификате заполняется поле CN=имя_домена, и заполняется "Расширение ключа" (оно же "Улучшенный ключ") ОИД кодом 1.3.6.1.5.5.7.3.1. Правильно?
2. В клиентском же сертификате в поле CN=ид_или_имя_владельца, и в "Расширении ключа" никак не может стоять ОИД с кодом 1.3.6.1.5.5.7.3.1. А скорей всего может быть код 1.3.6.1.5.5.7.3.2. Правильно?
3. А если мне нужен сертификат, у которого в поле CN не имя домена, а CN=ид_или_имя_владельца (как бы клиентский серт.), но в "Расширении ключа" запрошен код 1.3.6.1.5.5.7.3.1 (как бы серверный серт). УЦ КриптоПро его расценит как серверный или клиентский? Такой сертификат можно будет использовать для установления TLS соединения к серверу с помощью stunnel (этой же утилите на важно содержимое CN= как я понимаю?
4. И для общего развития: как УЦ КриптоПро расценит изготовление сертификата (как серверный или как клиентский), если я запрошу в нем CN=имя_домена, но не запрошу "Расширение ключа" ОИД с кодом 1.3.6.1.5.5.7.3.1 ?

За конкретный УЦ говорить не возьмусь, отвечу в общем случае. Для серверных сертификатов с доменом в CN может присутствовать и аутентификация клиента - это по сути необходимо для двусторонней аутентификации на этом домене или если сервер играет роль прокси.

В клиентских сертификатах с фио, выданных федеральным казначейством наоборот может присутствовать Аутентификация сервера - это было нужно для старого казначейского ПО, в данный момент бесполезно. Для использования на http сервере также такой сертификат бесполезен.