为什么客户端和服务器应具有相同的证书链

时间:2011-11-18 07:11:34

标签: security ssl wcf-security

我正在浏览企业应用程序代码。它基于证书在客户端和服务器之间进行相互身份验证。

它要求客户端和服务器具有相同的证书链,包括根CA和中间CA.

这提供了哪些安全保障?

如果我们要求在机器上必须信任根证书,那还不够吗?

谢谢, Vivekanand

2 个答案:

答案 0 :(得分:0)

如果两个证书都是由root ca签名的,并且您信任root ca,那么就不会。

但是,如果其中任何一个都由中间ca签名,那么除了根ca之外,您还需要信任中间ca。

在您的示例中,您只提到了两个交换点(服务器/客户端)。在企业中,服务器可能与很多其他服务器交互,其中一些服务器可能由中间服务器签名。这可以解释信任中间证书背后的原因。

维基百科提供了关于链如何运作的一个很好的例子 http://en.wikipedia.org/wiki/Intermediate_certificate_authorities

答案 1 :(得分:0)

  

它要求客户端和服务器具有相同的证书链

不,它没有。你在哪里得到这个想法?同龄人必须拥有足够的其他人。证书链验证它们,但他们自己的证书不必与同行的链相同。