Если я правильно понимаю SSL/TLS в аутентификации только на сервере, после установления связи сервер отправляет клиенту его открытый ключ и сертификат с цифровой подписью, подписанный ЦС. Если у клиента есть открытый ключ ЦС, он может расшифровать сертификат и установить доверие с сервером. Если это не доверяет CA, связь прекращается. В двухстороннем SSL-соединении, где клиенту необходимо выполнить аутентификацию на сервере, после того, как клиент получит открытый ключ и сертификат с цифровой подписью, клиент отправит сервер через его открытый ключ и сертификат с цифровой подписью. Сервер проверяет, имеет ли он открытый ключ для сертификата клиента, и может ли он установить доверие к клиенту. Я настраиваю взаимную аутентификацию [2-way ssl] на веб-сервере (в данном случае клиент, вызывающий исходящий веб-сервис), а третье лицо отправило мне сертификат с цифровой подписью и цепочку сертификатов. Зачем мне это нужно. Разве это не то, что сервер отвечает после рукопожатия?2-сторонняя конфигурация SSL/TLS
ответ
сервер отправляет клиенту его открытый ключ и сертификат с цифровой подписью, подписанный ЦС.
Сертификат содержит открытый ключ. Ключ не отправляется дополнительно.
Если клиент имеет открытый ключ ЦС, он может расшифровать сертификат
Сертификат не зашифрован, он подписывается CA. Таким образом, дешифрование не выполняется, но клиент может проверить эту подпись, если клиент имеет сертификат CA (и, следовательно, его открытый ключ). Но обычно сертификат не подписывается непосредственно CA, которому доверяет браузер, но есть промежуточные сертификаты. В этом случае сервер не только отправит сертификат сервера, но и все промежуточные сертификаты, необходимые для сборки trust chain.
Затем клиент отправит сервер через его открытый ключ и сертификат с цифровой подписью.
Опять же, открытый ключ является частью сертификата.
третье лицо прислало мне сертификат с цифровой подписью и цепочку сертификатов. Зачем мне это нужно.
Первый сертификат - это сертификат клиента. Сертификаты цепей необходимы для построения trust chain, поскольку сервер не доверяет сертификату клиента сертификатов напрямую и, следовательно, нуждается в промежуточных сертификатах.
- 1. Конфигурация службы WCF Конфигурация
- 2. конфигурация Email ProjectOpen конфигурация
- 3. Конфигурация
- 4. Обще-конфигурация пользовательского файл конфигурация
- 5. Конфигурация пружины и конфигурация JPA
- 6. Внешняя конфигурация Cmake Конфигурация зависимостей
- 7. Grails Внешняя конфигурация Конфигурация System.getenv
- 8. Конфигурация Hangfire и конфигурация Ninject
- 9. Конфигурация пользователя ASP.NET + Конфигурация пользователя
- 10. Конфигурация устройства/интеграции Конфигурация Asterisk
- 11. Конфигурация параллельного шага Jenkins и конфигурация Jenkins
- 12. Конфигурация и конфигурация модуля в zend framework
- 13. Конфигурация Spring Kafka Конфигурация - ошибки в Eclipse
- 14. Конфигурация конечного пользователя и конфигурация ОС
- 15. Конфигурация ldap Конфигурация и настройка Symfony3
- 16. Конфигурация протокола Spring-boot Конфигурация SSL
- 17. Конфигурация Atlassian и конфигурация POM Maven
- 18. Конфигурация config.properties и конфигурация спящего режима xml
- 19. Конфигурация SNMP
- 20. Конфигурация Karaf
- 21. Конфигурация TitanFactory.open()
- 22. Конфигурация Neo4j
- 23. Конфигурация Infinispan
- 24. Конфигурация трансформации
- 25. Конфигурация cygnus.conf
- 26. WebDAV конфигурация
- 27. Конфигурация постфикса
- 28. Конфигурация Hadoop
- 29. Конфигурация Nginx
- 30. Конфигурация плагина
Спасибо, Стефен, я вижу, что я неправильно понял, как был обработан сертификат. Если сервер отправляет клиенту сертификаты [сервер и промежуточное звено] как часть рукопожатия, зачем мне нужны сертификаты, отправленные мной третьим лицом? Нужно ли им заходить в магазин доверия, чтобы установить доверие? Если да, зачем мне хранить их, если они отправляются через рукопожатие? Я ценю вашу помощь. –
@BartStough: сервер отправляет клиенту сертификат и цепочку, соответствующие сертификату сервера. Клиент отправляет свой сертификат и цепочку, соответствующую сертификату клиентов на сервер. Это могут быть разные цепи. –