我們可以將多個證書密鑰對附加到單個 TLS 客戶端嗎?比如說:-
是否有可能 - 客戶端 A 有一個由 CA-1 簽名的證書 1 和由 CA-2 簽名的證書 2 等等。假設每個證書都有自己的私鑰對。
因此,當 Client-A 根據服務器中預先安裝的 CA 證書向 TLS-Server(例如 Server-A)發送 N 個證書密鑰對時,將成功驗證 Client 的 Certificate-1 和證書 2 驗證失敗(服務器沒有 CA-2 證書)。如果上述情況是可能的,結果會是什么?TLS 握手會成功還是會失敗?
另外,有人可以分享一個示例,說明如何使用 openssl 命令或以編程方式(例如在 C 程式中)附加多個證書密鑰對。
uj5u.com熱心網友回復:
客戶端不能向服務器發送多個葉子證書,服務器將選擇它喜歡的一個。相反,客戶端將發送一個包含必要證書鏈的單葉證書,并將提供一個由該單葉證書簽名的 CertificateVerify 訊息,作為匹配私鑰的所有權證明。
這意味著客戶端需要決定發送哪些可能的證書。服務器可以發送接受的 CA 串列來指導客戶端,但即便如此,也可能存在多個證書。在這種情況下,客戶端需要以某種方式決定發送其中的哪些,例如通過詢問用戶。
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/409034.html
標籤:
上一篇:Bash腳本-需要find命令來輸出用雙引號括起來的檔案路徑而沒有換行符
下一篇:嵌套例外是org.hibernate.MappingException:無法確定型別:Com.test.model.Client,在表:ComptePaiement