對于普通的 TLS,客戶端將檢查我正在與之通信的服務器實際上是否在與 CN 匹配的 FQDN 上,因此,如果證書用于不同的域,則 TLS 在默認情況下不應作業,因為該證書不適用于該站點。
對于 mTLS,當服務器檢查客戶端證書時,它是否可以以某種方式檢查客戶端地址以某種方式與 CN 匹配,還是只是檢查證書與密鑰匹配并且客戶端信任證書?即,如果我使用來自互聯網上任何機器的正確客戶端密鑰/證書,如果服務器配置為信任該證書,服務器是否應該連接,或者它是否會要求客戶端以某種方式位于特定地址?
uj5u.com熱心網友回復:
這取決于特定的用例。
在某些情況下,mTLS 用于服務器到服務器的通信,例如使用 SIP (VoIP)。在這些情況下,客戶端證書通常需要包含發件人的域,類似于服務器證書。以 SIP 為例:這里不同的系統也可以切換角色(即兩個站點都可以發起呼叫),以前的客戶端證書現在用作服務器證書。
在其他情況下,在 TLS 握手期間不會驗證主題,但從證書主題中提取用戶身份并將其提供給應用程式。然后,應用程式可能會執行其他檢查,例如僅允許來自主題中編碼的特定組織的用戶。因此,即使在 TLS 握手期間沒有在證書驗證中使用該主題,它仍然是相關的。
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/318556.html