双方向認証の場合、両側から証明書をインポートする必要がありますか?
2683 次
1 に答える
5
簡単な答えはノーです、あなたはそれを必要としません。
両側の証明書をインポートする代わりに、クライアントとサーバーの両方にインポートする必要があるのはCA証明書です。したがって、サーバーまたはクライアント証明書が変更されたときに、それらを再度インポートする必要はありません。これにより、サーバーはすべてのクライアント証明書をインポートできなくなります。 。
証明書に基づくある種の認証を実装するときにほとんどの人が忘れるもう1つの認証手段は、証明書の有効性を確認する方法です。証明書の有効期限が切れておらず、有効である(信頼できるCAによって正しく署名されている)ことを確認するだけでなく、証明書が取り消されていないことも確認する必要があります(sbが自身の秘密鍵を漏らし、彼の証明書が漏洩したと想像してください)。もう信頼されていません)。
失効した証明書をチェックするための最も一般的な方法はOCSPです。これは、単一の証明書をチェックするときのオーバーヘッドが少なくなりますが、OCSPサーバー(独自のCAの場合もあります)への永続的なオンライン接続または定期的に公開されるCRLをインポートする必要があります。
于 2009-01-09T07:57:37.870 に答える