51,409
社区成员
发帖
与我相关
我的任务
分享在ssl双向认证中,服务器证书和客户端证书是如何实现认证,(他们之间好像是平级的),请大家说说其中原理.
从网上看到资料说服务器证书和客户端证书是平级的,我有2个疑问:
1.既然服务器证书和客户端证书是平级的,那我把生成的客户端证书放到服务器上部署,把服务器证书当作客户端证书用,这样是否可行?
2.在双向认证过程中,验证的原理是怎么样的,根证书在其中又充当什么角色?
1.既然服务器证书和客户端证书是平级的,那我把生成的客户端证书放到服务器上部署,把服务器证书当作客户端证书用,这样是否可行?
2.在双向认证过程中,验证的原理是怎么样的,根证书在其中又充当什么角色?
...全文
请发表友善的回复…
发表回复
guoys 2011-06-01
- 打赏
- 举报
正准备用openssl,看看先
nevercool 2009-08-20
- 打赏
- 举报
怎么才可以让服务器端请求客户端的证书的, 我写的客户端测试程序配置了证书,但是好像服务器没有要!!!
wahero 2008-06-18
- 打赏
- 举报
在這篇文章中提到.
http://www.fcmag.com.cn/Column/TechnicApp/28781.shtml
双向认证:是对等的安全认证,通信双方都必须安装数字证书,他们可以发起和接收SSL连接请求。通信双方可以利用安全应用程序(控键)或安全代理软件,来完成双方对等的安全认证。前者一般适合于B/S结构,而后者适用于C/S结构。安全代理相当于一个加密/解密的网关,这种模式双方皆需安装证书,进行双向认证。在此要强调的证书介质一定要安装在USB-KEY安全智能介质中,不能以“文件证书”存放。
那如果在機構內部兩server 使用, 以文件證書存放. 又是否可行呢?
作者說是不能以“文件证书”存放, 是否怕證書被不安全地導出. 但在實作中,基於投資及設置便利性考慮, 多會將證書以文件方式存在伺服器內.
歡迎大家討論.
http://www.fcmag.com.cn/Column/TechnicApp/28781.shtml
双向认证:是对等的安全认证,通信双方都必须安装数字证书,他们可以发起和接收SSL连接请求。通信双方可以利用安全应用程序(控键)或安全代理软件,来完成双方对等的安全认证。前者一般适合于B/S结构,而后者适用于C/S结构。安全代理相当于一个加密/解密的网关,这种模式双方皆需安装证书,进行双向认证。在此要强调的证书介质一定要安装在USB-KEY安全智能介质中,不能以“文件证书”存放。
那如果在機構內部兩server 使用, 以文件證書存放. 又是否可行呢?
作者說是不能以“文件证书”存放, 是否怕證書被不安全地導出. 但在實作中,基於投資及設置便利性考慮, 多會將證書以文件方式存在伺服器內.
歡迎大家討論.
wsr775 2008-06-06
- 打赏
- 举报
(1)证书可以互换使用,只不过客户端会弹出警告
(2)认证是用CA的公钥来检查证书的和签名信息.
(2)认证是用CA的公钥来检查证书的和签名信息.
holdup20080808 2008-05-01
- 打赏
- 举报
数字证书本来就没有服务器证书和客户端证书的说法,只是应用环境不同被人为的进行区分了,比方说你有辆小车,如果你把车子停在了A区停车场,那么就就必须遵守A区停车场的停放规则,如果你把车子停在了B区停车场,那么就就必须遵守B区停车场的停放规则,而你的车子本身并不会因为停放位置的不同而发生改变,你的第一个问题就相当是:
我昨天停放在A区的车子和今天我停放在B区的车子有什么不同(注意:车子都是我的同一辆车)?
我昨天停放在A区的车子和今天我停放在B区的车子有什么不同(注意:车子都是我的同一辆车)?
l_wenb 2008-04-25
- 打赏
- 举报
[Quote=引用 7 楼 morefaster 的回复:]
1.既然服务器证书和客户端证书是平级的,那我把生成的客户端证书放到服务器上部署,把服务器证书当作客户端证书用,这样是否可行?
>>不行。证书和私钥是配对使用的,广配置证书没用。另外,证书的dn里面有域名或者ip,换了地方后,那么域名和ip就变了,那么这个证书就无法受信了。
2.在双向认证过程中,验证的原理是怎么样的,根证书在其中又充当什么角色?
>>验证机理可以看下ssl握手过程(也就是挑战应答,服务器对挑战随机数…
[/Quote]
morefaster 在网络安全方面回答的很正确,(是)专家,呵呵,你找他,我想可以解决你的问题.
1.既然服务器证书和客户端证书是平级的,那我把生成的客户端证书放到服务器上部署,把服务器证书当作客户端证书用,这样是否可行?
>>不行。证书和私钥是配对使用的,广配置证书没用。另外,证书的dn里面有域名或者ip,换了地方后,那么域名和ip就变了,那么这个证书就无法受信了。
2.在双向认证过程中,验证的原理是怎么样的,根证书在其中又充当什么角色?
>>验证机理可以看下ssl握手过程(也就是挑战应答,服务器对挑战随机数…
[/Quote]
morefaster 在网络安全方面回答的很正确,(是)专家,呵呵,你找他,我想可以解决你的问题.
holdup20080808 2008-04-06
- 打赏
- 举报
服务器证书和客户端证书在技术上没有什么差异,应用的规则上各有自己的约定.
morefaster 2008-04-05
- 打赏
- 举报
1.既然服务器证书和客户端证书是平级的,那我把生成的客户端证书放到服务器上部署,把服务器证书当作客户端证书用,这样是否可行?
>>不行。证书和私钥是配对使用的,广配置证书没用。另外,证书的dn里面有域名或者ip,换了地方后,那么域名和ip就变了,那么这个证书就无法受信了。
2.在双向认证过程中,验证的原理是怎么样的,根证书在其中又充当什么角色?
>>验证机理可以看下ssl握手过程(也就是挑战应答,服务器对挑战随机数签名,客户端进行验证。网上一搜一大把)。根证书的作用就是信任的起点,以它可以建立“证书链”,以此来验证证书的有效性。
>>不行。证书和私钥是配对使用的,广配置证书没用。另外,证书的dn里面有域名或者ip,换了地方后,那么域名和ip就变了,那么这个证书就无法受信了。
2.在双向认证过程中,验证的原理是怎么样的,根证书在其中又充当什么角色?
>>验证机理可以看下ssl握手过程(也就是挑战应答,服务器对挑战随机数签名,客户端进行验证。网上一搜一大把)。根证书的作用就是信任的起点,以它可以建立“证书链”,以此来验证证书的有效性。
holdup20080808 2008-04-04
- 打赏
- 举报
1、服务器证书和客户端证书的证书本身并没有任何区别,都是用来进行身份证明的,所以证书放到服务器和放到客户端都可以部署。
2、在双向认证过程中,验证的原理就是使用根证书(或信任链中的其它证书)来检查证书的签名是否正确。
2、在双向认证过程中,验证的原理就是使用根证书(或信任链中的其它证书)来检查证书的签名是否正确。
l_wenb 2008-03-14
- 打赏
- 举报
请问楼主是在什么情况下遇到这个问题的,可以交流交流!!本人对这个比较感兴趣!!!
l_wenb 2008-03-14
- 打赏
- 举报
我再帮你顶!老紫竹还是老
l_wenb 2008-02-25
- 打赏
- 举报
楼上的链接很不错!
上面两位回答的都很好!
上面两位回答的都很好!
老紫竹 2008-02-24
- 打赏
- 举报
你手里有2个钥匙,他们必须配合使用,你愿意公开拿一把都可以。
然后你把公开的那个复制了n份,发放了出去。
不公开的,严密保存。
所以,哪个放在客户端,是你自己决定的。 只是名字换了而已。
认证过程 请参考这个吧!我看了,很不错 http://www.yesky.com/ServerIndex/77131904641400832/20040426/1791610.shtml
个人理解。欢迎指正。
然后你把公开的那个复制了n份,发放了出去。
不公开的,严密保存。
所以,哪个放在客户端,是你自己决定的。 只是名字换了而已。
认证过程 请参考这个吧!我看了,很不错 http://www.yesky.com/ServerIndex/77131904641400832/20040426/1791610.shtml
个人理解。欢迎指正。
treeroot 2008-02-23
- 打赏
- 举报
1. 可以,证书其实都是一样的(就是公钥,私钥,一些其他属性,签名信息等)
2. 签名,建立信任链关系(服务器和客户端只有信任同一个CA链,才能信任对方。
