使用 Apache 的双向 SSL 身份验证 - CA 证书

【问题标题】:Two-way SSL authentication with Apache - CA certificate使用 Apache 的双向 SSL 身份验证 - CA 证书
【发布时间】:2014-10-08 11:04:37
【问题描述】:

我在看教程http://www.impetus.us/~rjmooney/projects/misc/clientcertauth.html 有一部分“在Web服务器上安装CA证书”:

<VirtualHost _default_:443>
... 
SSLCACertificateFile /var/www/conf/ssl.crt/ca.crt
...
</VirtualHost>

我想知道为什么我必须添加 www 服务器 CA 证书,而不是生成由 CA 证书签名的客户端或服务器。 CA 证书看起来是通用的,并且可供所有人广泛使用,因此有人可以登录 CA 自己的 csr 并尝试登录我的服务器。

问候

【问题讨论】:

    标签: apache ssl openssl ssl-certificate


    【解决方案1】:

    客户端证书用于识别特定客户端。通常您有多个客户端,每个客户端都从您的 CA 获得自己的证书。虽然您可以为服务器提供您曾经生成的所有客户端证书(我不知道这是否可以使用 apache),但将颁发这些证书的 CA 提供给服务器并让服务器验证客户端要容易得多证书由该 CA 颁发。

    【讨论】:

    • 嗨,Steffen,谢谢您的回复。如果我有自己的 CA,我可以唱歌或不证书,这可能有意义。但是商业CA呢?当我将客户端 csr 发送到商业 CA 时,它不会对所有客户端证书使用相同的密钥和 crt?
    • Csr 和密钥应该由客户端生成,并且密钥应该只有客户端知道,就像您对服务器证书所做的那样。否则,您将无法通过其证书识别特定客户端。因此每个客户端的 csr 和 key 会有所不同,但 CA 通常是相同的。
    猜你喜欢
    • 2017-04-19
    • 2013-08-04
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-01-03
    • 1970-01-01
    • 2015-04-01
    • 2013-01-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode