ssl - TLS客户端是否需要安装证书？

时间：2020-05-01 19:02:24

标签： ssl encryption https tls1.2 stunnel

在TLS通信中，我一直认为服务器在握手过程中会将公共证书发送给客户端。

但是，我收到了一个提供商的请求，要求我们手动安装证书，以便与他们的STunnel服务器之一启动TLS通信。

这个请求让我有些困惑。是否存在TLS服务器无法将证书发送到客户端并因此需要手动安装证书的情况？

答案 0 :(得分：2)

在两种情况下，需要在客户端安装证书：

服务器使用的证书不是由公共CA颁发的，即是自签名的或由私有CA颁发的。在这种情况下，客户端必须预先导入证书或CA并将其安装为受信任的。
服务器需要基于证书的客户端身份验证，即，不仅服务器向具有证书的客户端身份验证，还向服务器端的客户端身份验证（代替或附加至典型密码）。在这种情况下，客户端必须获取客户端证书和匹配密钥并导入，以便可以将其用于身份验证。

目前尚不清楚您正在处理哪种情况。