i**p 发帖数: 902 | 1 【 以下文字转载自 EmergingNetworking 讨论区 】
发信人: isup (No), 信区: EmergingNetworking
标 题: TLS client certificate
发信站: BBS 未名空间站 (Wed Oct 29 11:55:14 2014, 美东)
HTTPS需要TLS的支持. 而在TLS Handshaking Protocols中, TLS client 要回送
certificate(Client)给TLS server. 请问这个certificate(Client)是web browser安
装的吗? |
a9 发帖数: 21638 | 2 客户端回传是可选的,用于验证客户端身份。
各个浏览器有自己的存储保存这些证书。
如果只是用https加密,是不用客户端证书的。
【在 i**p 的大作中提到】 : 【 以下文字转载自 EmergingNetworking 讨论区 】 : 发信人: isup (No), 信区: EmergingNetworking : 标 题: TLS client certificate : 发信站: BBS 未名空间站 (Wed Oct 29 11:55:14 2014, 美东) : HTTPS需要TLS的支持. 而在TLS Handshaking Protocols中, TLS client 要回送 : certificate(Client)给TLS server. 请问这个certificate(Client)是web browser安 : 装的吗?
|
i**p 发帖数: 902 | 3 先谢了.
你是说, 当客户端收到服务器端的证书请求时可以忽略,并且服务器端没收到的话不报
错?
如果浏览器保存了这些证书, 这些证书应该是用户安装的吧? 用浏览器的certificate
manager to import?
是的加密可用服务器端的证书.
客户端证书只用于验证客户端身份吗?
我好象还没用到过必须要有客户端证书的经历. 什么网站现在用客户端证书验身? |
g*****g 发帖数: 34805 | 4 国内银行要U盘才能上的估计就是。
certificate
【在 i**p 的大作中提到】 : 先谢了. : 你是说, 当客户端收到服务器端的证书请求时可以忽略,并且服务器端没收到的话不报 : 错? : 如果浏览器保存了这些证书, 这些证书应该是用户安装的吧? 用浏览器的certificate : manager to import? : 是的加密可用服务器端的证书. : 客户端证书只用于验证客户端身份吗? : 我好象还没用到过必须要有客户端证书的经历. 什么网站现在用客户端证书验身?
|
i**p 发帖数: 902 | 5 U盘上存的啥? 是银行发行的还是任何U盘都行?
【在 g*****g 的大作中提到】 : 国内银行要U盘才能上的估计就是。 : : certificate
|
g*****g 发帖数: 34805 | 6 就是个certificate,通常的做法是银行去获得一个intermediate CA,然后用这个
intermediate CA来给每个客户产生一个certificate。public key是不怕偷的,需要有
密码才能解开,所以不需要什么特别的U盘。
【在 i**p 的大作中提到】 : U盘上存的啥? 是银行发行的还是任何U盘都行?
|
a9 发帖数: 21638 | 7 那个不是u盘,跟windows的证书容器一样,不过是硬件容器,理论上安全些。
【在 g*****g 的大作中提到】 : 就是个certificate,通常的做法是银行去获得一个intermediate CA,然后用这个 : intermediate CA来给每个客户产生一个certificate。public key是不怕偷的,需要有 : 密码才能解开,所以不需要什么特别的U盘。
|
a9 发帖数: 21638 | 8
那就看你服务器的配置了。具体我也记不清了,可能跟web server有关系。
certificate
是的。
【在 i**p 的大作中提到】 : 先谢了. : 你是说, 当客户端收到服务器端的证书请求时可以忽略,并且服务器端没收到的话不报 : 错? : 如果浏览器保存了这些证书, 这些证书应该是用户安装的吧? 用浏览器的certificate : manager to import? : 是的加密可用服务器端的证书. : 客户端证书只用于验证客户端身份吗? : 我好象还没用到过必须要有客户端证书的经历. 什么网站现在用客户端证书验身?
|
a9 发帖数: 21638 | 9 这个"u盘"上有证书,但主要的目的是存私钥以及用这个私钥签名。
【在 g*****g 的大作中提到】 : 就是个certificate,通常的做法是银行去获得一个intermediate CA,然后用这个 : intermediate CA来给每个客户产生一个certificate。public key是不怕偷的,需要有 : 密码才能解开,所以不需要什么特别的U盘。
|
a9 发帖数: 21638 | 10 至于用证书验证身份的,我现在能想到的就是startssl.com
国内网银基本上还是用用户名密码验证身份,他们的u盾基本上是用于交易签名的。
certificate
【在 i**p 的大作中提到】 : 先谢了. : 你是说, 当客户端收到服务器端的证书请求时可以忽略,并且服务器端没收到的话不报 : 错? : 如果浏览器保存了这些证书, 这些证书应该是用户安装的吧? 用浏览器的certificate : manager to import? : 是的加密可用服务器端的证书. : 客户端证书只用于验证客户端身份吗? : 我好象还没用到过必须要有客户端证书的经历. 什么网站现在用客户端证书验身?
|
c********l 发帖数: 8138 | 11 国内的u盘上存的是一种理论上的私钥,
可能和https/tls的私钥是同一种东西
也可能不是
但这个不重要,因为国内网银基本上都是exe
所以和基于浏览器的https连接没有什么太大关系。
【在 g*****g 的大作中提到】 : 国内银行要U盘才能上的估计就是。 : : certificate
|
l******s 发帖数: 1276 | 12 国内网银基本上都是exe ?
好像我在Linux 里面也可以登录啊?
【在 c********l 的大作中提到】 : 国内的u盘上存的是一种理论上的私钥, : 可能和https/tls的私钥是同一种东西 : 也可能不是 : 但这个不重要,因为国内网银基本上都是exe : 所以和基于浏览器的https连接没有什么太大关系。
|
a9 发帖数: 21638 | 13 他所说的exe,我估计是ie里的控件吧。
这个东西的目的不是加密,主要目的是防止木马窃听键盘。
【在 l******s 的大作中提到】 : 国内网银基本上都是exe ? : 好像我在Linux 里面也可以登录啊?
|
c********l 发帖数: 8138 | 14 你是哪家银行?
【在 l******s 的大作中提到】 : 国内网银基本上都是exe ? : 好像我在Linux 里面也可以登录啊?
|