标签: certificate client-certificates
我不确定仅验证客户端证书是否足够,因为如果有人窃取了证书,那么他们就可以假冒其他人,我们如何验证客户端?客户端是否需要使用其私钥对某些消息进行签名,与客户端证书一起发送,并且服务器端从证书中获取公钥以验证消息以确认他是证书持有者?
答案 0 :(得分:0)
当服务器验证客户端证书时,它通过使用其对应的私钥执行操作来使客户端证明该证书是其证书。私钥不是证书的一部分,因此窃取它不会冒充用户。