这是我第一次使用SSL并尝试对Web API实施SSL证书身份验证。公司提供了四个.crt文件。
Dev.crt(确保远程计算机的身份,向远程计算机证明您的身份)
认证路径:Internal_Root_CA.crt => Internal_CA.crt => SSL_CA.crt => Dev.crt
我已经阅读了很多教程,但都使用了.pfx文件。我的一位同事说,由于.crt文件没有私钥,我们只需要在服务器和客户端安装这些证书,无需附加请求。我有点困惑,因为如果是这样,服务器如何区分请求是否来自适当的客户端?
感谢。
答案 0 :(得分:0)
我的一位同事说,由于.crt文件没有私钥,我们只需要在服务器和客户端安装这些证书,不需要附上请求。
他是正确的,除了证书将在正确配置的HTTPS交换中的请求之前发送。
我有点困惑,因为如果是这样的话,服务器如何区分请求来自适当的客户端?
您所描述的内容足以进行身份验证,但不足以进行授权。很高兴知道您正在与之交谈的人是他声称自己是谁(身份验证),但无论是您希望与之交谈的人,以及他是否授权访问应用程序的这一部分,只有应用程序可以通过检索对等证书和检查某些身份验证/角色数据库的身份。