服务器证书中的客户端身份验证 (1.3.6.1.5.5.7.3.2) OID答案

【问题标题】：Client Authentication (1.3.6.1.5.5.7.3.2) OID in server certificates服务器证书中的客户端身份验证 (1.3.6.1.5.5.7.3.2) OID
【发布时间】：2013-07-04 19:46:26
【问题描述】：

对于我正在进行的项目，我必须生成 Web 服务器证书。据我了解，服务器证书应包含服务器身份验证 OID (1.3.6.1.5.5.7.3.1)。但正如我所见，由 Verisign 等知名颁发者颁发的所有服务器证书也包含客户端身份验证 OID (1.3.6.1.5.5.7.3.2)。

我尝试使用只有服务器身份验证 OID 的证书 - 似乎它工作正常。

问题

为什么服务器证书需要客户端身份验证 OID？
是否需要某些旧版支持或有其他原因？

【问题讨论】：

标签： ssl certificate

【解决方案1】：

两者之间的区别正是它们的描述方式。

为了将证书用作服务器（在连接的接收端），它必须具有服务器扩展密钥用法。

在 2 路 SSL 连接中，客户端（在连接的发起端）向服务器返回证书，它必须具有客户端扩展密钥用法。

如果您从未将证书用作客户端证书，则不需要客户端身份验证 OID。

【讨论】：

【解决方案2】：

我认为指出客户端和服务器证书之间的主要区别之一也是有用的：

服务器证书用于数据的加密和解密；
客户端证书代表用户身份。也就是说，向远程服务器证明客户端的身份。

【讨论】：

这并不完全准确。服务器证书还可以证明服务器的身份。当服务器证书由受信任的 CA 签名时，您可以合理地保证您实际上是在与真实服务器对话，而不是与中间人对话。
@geofflee 是的，你是对的。我想我试图指出第一个答案完全错过的东西。客户端证书非常代表最终用户的身份。我认为这比客户端扩展密钥用法更有意义。由于 OP 没有给出任何答案，我相信他们没有发现任何一个太有帮助。我们只能尝试:)