我想以網站的形式為客戶提供云服務。現在我有了一個想法,如果這個客戶(幾名員工)也使用客戶證書對自己進行身份驗證,將會極大地提高安全性。然后應將此證書安裝在他的辦公室計算機和平板電腦上。服務器 SSL 證書是 Letsencrypt 證書。從客戶端證書中,我也會知道私鑰,但從我的角度來看,這并不危險,因為它僅用于對我的服務器進行身份驗證。
是否有可行的解決方案為客戶提供客戶端證書,然后我將其公鑰存盤在我的 HTTP 服務器上?
我可以從身份驗證機構購買此類客戶端證書嗎?我是否正確理解,如果我生成自己的客戶端證書,客戶也必須信任我的 CA,這代表了安全風險?或者客戶可以只信任這個生成的證書而不是我的自簽名 CA/Root CA?
感謝您的回答
uj5u.com熱心網友回復:
我是否正確理解,如果我生成自己的客戶端證書,客戶也必須信任我的 CA,這代表了安全風險?
只有驗證證書的人需要信任證書的頒發者 CA,而不是使用證書對自己進行身份驗證的人。因此,在客戶端證書的情況下,只有服務器需要信任頒發者 CA,客戶端不需要。這也意味著客戶端不需要將 CA 匯入為受信任的,這意味著匯入某些第三方 CA 沒有安全風險。
或者客戶可以只信任這個生成的證書而不是我的自簽名 CA/Root CA?
客戶端既不需要信任客戶端證書,也不需要信任其頒發者 CA。客戶端只需要匯入客戶端證書和關聯的私鑰即可作為客戶端證書使用。
因此,使用私有 CA 并讓它為客戶創建客戶端證書是完全沒問題的。然后服務器將僅信任此私有 CA 進行客戶端證書驗證。
uj5u.com熱心網友回復:
從客戶端證書中,我也會知道私鑰,但從我的角度來看,這并不危險,因為它僅用于對我的服務器進行身份驗證。
任何證書都是公開可用的,除其他屬性外僅包含公鑰,并由頒發者 CA 簽名。如果您只需要在組織級別而不是通過 Internet 使用證書,這也可以是私有 CA。
您可以在您的 Intranet 上設定您的私有 CA 并向所有公司或組織員工提供證書。話雖如此,根據證書驗證和吊銷要求(以及您當地的法律),您可以使用任何公鑰和私鑰對實作 PKI 身份驗證,并且可能不需要 CA 簽名證書,但這種安排不提供證書吊銷檢查和系統的 PKI 框架.
在PKI 身份驗證中參閱 PKI Web 身份驗證的作業 POC
這需要在客戶端上安裝 Signer.Digital Browser Extension(由我的公司提供,CISPL)以從本地證書存盤或智能卡或 USB 等加密設備訪問用戶的數字證書。
上述擴展還提供了用于證書頒發的 JavaScript API,它還在證書下載時將根證書添加到用戶的信任庫中。您可以在CSR 生成和證書下載中進行測驗
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/365221.html