サーバーのみの認証でSSL / TLSを正しく理解していれば、ハンドシェイクの後、サーバーはクライアントに公開鍵とCAによって署名されたデジタル署名証明書を送信します。クライアントがこの CA の公開鍵を持っている場合、クライアントは証明書を復号化し、サーバーとの信頼を確立できます。CA を信頼しない場合、通信は停止します。クライアントがサーバーに対して認証を返す必要がある双方向 SSL では、クライアントが公開鍵とデジタル署名された証明書を受け取った後、クライアントはその公開鍵とデジタル署名された証明書を介してサーバーに送信します。サーバーは、クライアントの証明書の公開鍵を持っているかどうかを確認し、持っている場合はクライアントとの信頼を確立できます。weblogic サーバー (この場合はクライアント) で相互認証 [双方向 ssl] をセットアップしています。Web サービスへのアウトバウンド呼び出し] で、サード パーティからデジタル署名された証明書と証明書チェーンが送られてきました。なぜこれらが必要なのですか。これは、ハンドシェイク後にサーバーが応答するものではありませんか?
1 に答える
0
サーバーはクライアントに、その公開鍵と、CA によって署名されたデジタル署名証明書を送信します。
証明書には公開鍵が含まれています。キーは余分に送信されません。
クライアントがこの CA の公開鍵を持っている場合、証明書を復号化できます
証明書は暗号化されておらず、CA によって署名されています。したがって、復号化は行われませんが、クライアントが CA の証明書 (およびその公開鍵) を持っている場合、クライアントはこの署名を検証できます。ただし、通常、証明書はブラウザーによって信頼されている CA によって直接署名されていませんが、中間証明書があります。この場合、サーバーはサーバー証明書だけでなく、信頼チェーンを構築するために必要なすべての中間証明書も送信します。
次に、クライアントは公開鍵とデジタル署名された証明書を介してサーバーに送信します。
繰り返しますが、公開鍵は証明書の一部です。
サードパーティから、デジタル署名された証明書と証明書チェーンが送られてきました。なぜこれらが必要なのですか。
最初の証明書はクライアント証明書です。サーバーはクライアント証明書の発行者 CA を直接信頼せず、中間証明書を必要とするため、信頼チェーンを構築するにはチェーン証明書が必要です。
于 2016-07-27T17:18:43.740 に答える