我正在与REST服务提供商合作,他们希望我在进行HTTP呼叫时使用他们提供的客户端证书。
客户端证书如何实现身份验证? 如果有人拥有客户端证书的副本,他们也可以进行身份验证吗? 客户证书是否提供除认证之外的任何其他内容? 它们与用户名/密码认证有何不同?
答案 0 :(得分:13)
客户端证书如何实现身份验证?
由对等方直接信任,或由对方信任的人签名,或由对方信任的人信任的人签名等。
如果有人拥有客户端证书的副本,他们也可以进行身份验证吗?
错误。他们还需要私钥。
客户端证书是否提供除身份验证之外的任何其他内容?
没有
它们与用户名/密码身份验证有何不同?
更加安全。没有密码猜测。
然而 没有这样的东西 作为'由他们提供的客户端证书'。生成客户端证书的过程以 您开始。 您生成密钥对和证书签名请求(CSR),并由CA签名。或者您生成自签名证书。 您然后将您的证书提供给他们。如果他们建议执行所有这些步骤并向您提供生成的密钥对和证书,他们不知道他们在谈论什么,应该严厉惩罚安全漏洞。如果没有其他人拥有副本,私钥只能是私有的。