我想在Tomcat 8上设置相互身份验证。 我已经完成了密钥的设置,主要是密钥库和信任库,并且设置正在使用Firefox测试。 访问URL时,系统会提示我输入证书,并在提供适当的证书时允许访问。
我缺少的一块拼图是我拥有的CA证书和少数客户的公钥。此CA应该是自签名CA,而不是来自Web上的已知权限。
- 我只是不希望任何人有权访问,使用我的CA的人应该只能访问。假设说abc.com拥有权威godady或verisign签署的证书,这些证书是众所周知且值得信赖的,不应该打电话。我想要严格的访问。
- 在我的信任库中,我只想让CA没有公钥,我不想随着客户的成长而不断添加证书。客户将使用我的CA。
我认为我在信任库中签署的CA和仅在链中使用我的CA证书的客户端应该足够安全(只有拥有我的CA的客户端)可扩展解决方案,我不必继续添加客户端在信任库。
请建议我的假设对于基于生产云的系统是正确的。
感谢您的时间。
答案 0 :(得分:0)
是的,你的假设是正确的。在SSL握手期间,服务器将要求客户端提供服务器信任库中存在的CA颁发的任何证书。此外,您还需要考虑客户端信任存储应该具有颁发服务器证书的CA,否则它将在客户端/浏览器上显示不受信任的服务器证书。