【发布时间】:2013-11-28 16:21:05
【问题描述】:
Web 浏览器是按需向 Web 服务器发送客户端证书(意味着 Web 服务器配置为进行客户端身份验证并要求客户端证书)还是仅发送它拥有的所有证书?如果 Web 浏览器按需发送客户端证书,那么 Web 浏览器如何知道将哪个客户端证书发送到该特定 Web 服务器?
【问题讨论】:
标签: ssl webserver browser client-certificates
【发布时间】:2013-11-28 16:21:05
【问题描述】:
我把我的问题放在https://security.stackexchange.com/ 上,并从@gowenfawr 得到this answer:
在 SSL 握手期间,
If the server requires a digital certificate for client authentication, the server sends a "client certificate request" that includes a list of the types of certificates supported and the Distinguished Names of acceptable Certification Authorities (CAs).(引用来自对 SSL 握手的合理清晰的解释 IBM。)
客户端然后将其存储中的证书与该证书进行比较 列表以查看它是否有任何由服务器列出的 CA 签名。如果 它找到一个,它会发送它,通常在提示用户之后 他们是否想发送它。大概如果有多个 匹配它会询问用户发送哪个(如果有的话)。
【讨论】: