security - 为什么双向 SSL 需要客户端的密钥对而不仅仅是公共证书?
问题描述
我正在尽我所能理解相互SSL。我无法找到一个好的答案的一个问题是,为什么您需要在客户端上创建一个密钥对,而不是仅仅提供一个公共客户端证书。
到目前为止,我了解以下内容(非常简单化):
常规 SSL:
- 服务器有一个密钥对并发送公共部分(证书),以便客户端可以使用该公共密钥来加密消息,以便他们可以共享一个对称密钥并最终保护所有通信。
- 为了验证服务器实际上是服务器,证书的颁发者必须在默认情况下被客户端信任(在信任库中)。
相互 SSL:
- 完全一样,只是这次服务器要求客户端进行身份验证。
- 客户端发送其公共证书,该证书根据服务器上的某种“已知证书”列表进行验证。如果匹配,则可以继续通信。
我不明白为什么我必须在客户端使用的密钥库中包含整个密钥对(也包括私有部分)。流程中使用的客户私钥在哪里?
解决方案
服务器有一个密钥对并发送公共部分(证书),以便客户端可以使用该公共密钥来加密消息,以便他们可以共享一个对称密钥并最终保护所有通信。
这不是服务器证书的重点,使用现代密钥交换方法(即 Diffie Helmann),证书根本不参与密钥交换。您所描述的仅适用于过时的 RSA 密钥交换。
证书的要点是用于身份验证。身份验证意味着服务器证明它拥有提供的证书,然后客户端验证证书是否符合其预期,即由受信任的 CA 颁发、预期的主题/SAN、未过期等。
所有权证明是通过使用与证书中的公钥匹配的私钥签署一些数据(至少部分由对等方,即客户端提供)来完成的。然后,对等方(客户端)可以使用证书的公钥验证此签名,如果验证通过,另一方(服务器)显然拥有秘密私钥,这意味着它拥有证书。
使用在相互身份验证中使用的客户端证书,过程完全相同,只是角色交换了。这就是为什么客户端需要私钥。
推荐阅读
- firebase - 根据 Date 对象检索 firestore 记录
- cefsharp - 在 Testcomplete 中打开 Cefsharp 应用程序时未发生 API 调用
- javascript - 如何调整具有不同角色分配和配置文件的测试套件
- json - 如何使用 jq 用 shell 变量查找和替换 json?
- mysql - 错误代码:3734。添加外键约束失败
- java - 在 Java/Spring 中,我的 REST API 有什么好的程序结构?
- makefile - 致命错误的原因是什么:*** 没有规则使目标“安装”。停止
- java - 实例化构造函数后如何传入参数?
- gridview - 在 yii 中 pjax 后 datepicker 的 showButtonPanel 属性不起作用
- ios - 通过使用拖动委托向上或向下拖动一行来重新排列表格中的部分(iOS 11)