离线模式下的相互认证答案

【问题标题】：mutual authentication in offline mode离线模式下的相互认证
【发布时间】：2016-06-20 22:56:39
【问题描述】：

我是加密和相互身份验证的新手。我应该有一个颁发证书的服务器（可能在自签名的 Linux 机器上）和访问该服务器以获取证书的客户端，然后这些客户端通过验证服务器颁发的证书而不联系客户端在它们之间建立相互身份验证服务器（即处于离线模式）。

谁能给我指出正确的视频教程或代码和描述链接，这些链接对实现上述场景很有用。

谢谢。

【问题讨论】：

确实需要更多信息。会有成千上万的客户吗？客户是否想与其他几个客户进行通信？那么每个客户端都需要与它通信的每个客户端的公钥吗？像消息传递应用程序？如果你放弃细节并更详细地展示你想要完成的事情，那真的会更好。
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Information Security Stack Exchange 会是一个更好的提问地方。还有Where do I post questions about Dev Ops?.

【解决方案1】：

谁能给我指出正确的视频教程或代码和描述链接，这些链接对实现上述场景很有用。

您没有提供足够的信息。这里有一些事情可能会让你朝着正确的方向前进。

如果相同的颁发者为服务器和客户端（如组织内部 CA）颁发证书，那么它的传统 PKIX 与客户端证书。

如果客户想要使用他们自己的不是由任何人颁发的证书，请查看Origin Bound Certificates。这些是“撕下”证书，客户端根据需要动态生成它们。

还有一个名为Jake Thompson 的人创建了a technique，它巧妙地使用<keygen> 标签建立了一个具有相互身份验证的通道，以阻止由浏览器促成的中间人攻击。

浏览器声称拦截，MitM 是其安全模型中的一个有效用例。顺便说一句，<keygen> 阻止 MitM 的有用性是<keygen> 标签消失的不言而喻的原因之一。它打破了浏览器的拦截模型。

【讨论】：

在两台客户端机器上生成 CSR 后，如何根据生成的 csr 从自签名 CA 获取签名证书？
@sharath - How do you sign Certificate Signing Request with your Certification Authority?