SSL 客户端证书需要特殊内容吗？

Question

我有一个带有 SSL 证书的服务器和带有 SSL 证书的客户端，它们都由同一个 CA 签名，并且 CA 在服务器和客户端上都被信任为根权限。

但是，我尝试过的所有客户端（iphone、chrome、资源管理器）都不会在服务器请求时发送客户端证书，即使它们都可以很好地验证服务器证书。他们都声称没有证书。

当我查看证书/配置文件/存储中的客户端证书时，他们都声称它已经过验证且合法，并且所有证书都使用 openssl 等进行了很好的验证。

SSL 客户端证书是否需要特定名称或其他详细信息，以便客户端浏览器知道何时使用它？有点像服务器证书必须将确切的域指定为证书上的名称？

服务器是apache2.2的服务器，但我认为不是服务器端的问题。

Answer 1

1. 客户端证书必须设置适当的密钥使用和扩展密钥使用扩展。在您的情况下什么是“合适的”，我不确定，但 Key Usage 中的变体数量很少，您可以自己检查各种值。
2. 您肯定没有忘记应该可以在客户端访问的私钥，是吗？

Answer 2

在本文档中有要使用的密钥用法和扩展密钥用法扩展的摘要：

• http://www.mozilla.org/projects/security/pki/nss/tech-notes/tn3.html

（虽然是NSS，但应该适用于其他产品。）

您还可以检查服务器发送的接受的 CA 列表是否配置正确。例如，可以使用openssl s_client -connect the.host.name:443 看到这一点。