我有一个简单的问题。
Web浏览器是否按需将Web客户端证书发送到Web服务器(表示Web服务器已配置为进行客户端身份验证并请求客户端证书)或仅发送Web浏览器具有的所有证书。如果Web服务器根据服务器需求发送客户端证书,那么Web浏览器如何知道必须将哪个客户端证书发送到特定Web服务器。
答案 0 :(得分:1)
我将问题放在https://security.stackexchange.com/上,并从@gowenfawr获得this answer:
在SSL握手期间,
If the server requires a digital certificate for client authentication, the server sends a "client certificate request" that includes a list of the types of certificates supported and the Distinguished Names of acceptable Certification Authorities (CAs).(引用来自对SSL握手的合理清晰解释 IBM)
然后,客户端将其商店中的证书与该证书进行比较 列表以查看它是否由服务器列出的CA签名。如果 它找到一个,它会发送它,通常是在提示用户之后 他们是否想发送它。据推测,如果有多个 匹配它会询问用户发送哪个(如果有的话)。