TLS 客户端是否需要安装证书？答案

【问题标题】：Does TLS client ever require a certificate installation?TLS 客户端是否需要安装证书？
【发布时间】：2020-08-16 07:54:46
【问题描述】：

在 TLS 通信中，我一直认为服务器会在握手过程中将公共证书发送给客户端。

但是，我收到了来自提供商的请求，要求我们手动安装证书，以便启动与他们的 STunnel 服务器之一的 TLS 通信。

我对这个请求有点困惑。是否存在 TLS 服务器无法将证书发送到客户端并因此需要手动安装证书的情况？

【问题讨论】：

TLS 可以使用证书来识别远程方。因此，两个实体之间的任何给定交换都可能需要 0、1 或 2 个证书。服务器证书是最常见的情况，特别是 HTTPS，但也存在其他情况。

【解决方案1】：

有两种情况需要在客户端安装证书：

服务器正在使用不是由公共 CA 颁发的证书，即自签名证书或由私有 CA 颁发的证书。在这种情况下，客户端必须预先导入证书或 CA 并将其安装为受信任的。
服务器要求基于证书的客户端身份验证，即不仅服务器使用证书向客户端进行身份验证，而且客户端也向服务器进行身份验证（代替或附加到典型密码）。在这种情况下，客户端必须获取客户端证书和匹配密钥并导入，以便用于身份验证。

目前尚不清楚您正在处理这些案件中的哪一个。

【讨论】：

我想这在一定程度上取决于stunnel 的工作原理。
@PresidentJamesMoveonPolk：这不取决于 stunnel 的一般工作方式，而是取决于具体配置，即在 stunnel 中使用哪些证书以及是否需要客户端证书。如果端点是 stunnel 或某些 Web 服务器或邮件服务器或其他任何东西，这实际上是无关紧要的 - 只有使用过的和必需的证书才重要。