[解決済み] 双方向SSLの明確化

質問

双方向SSLがどのように機能するのか、少々混乱しています。 クライアントはどのようにしてサーバに送る証明書を作成するのでしょうか？ それはサーバーから生成され、クライアントに配布されるのでしょうか？

また、片方向SSLに対する双方向SSLの利点は何でしょうか？

どのように解決するのですか？

両方の証明書が接続前に存在している必要があります。これらは通常、認証局によって作成されます (必ずしも同じとは限りません)。(別の方法で検証できるケースもありますが、一部の検証は が行われます。 を行う必要があります)。

サーバ証明書はクライアントが信頼する CA によって作成されるべきです（そして RFC 6125 ).

クライアント証明書は、サーバーが信頼するCAによって作成される必要があります。

何を信用するかは、それぞれの当事者次第です。

オンラインCAツールがあり、ブラウザ内で証明書を申請し、CAが発行したらそこにインストールされるようになっています。これらはクライアント証明書の認証を要求するサーバーにある必要はありません。

証明書の配布と信頼の管理は公開鍵基盤 (PKI) の役割であり、CA を介して実装されます。SSL/TLSのクライアントとサーバは、単にそのPKIを利用するだけです。

クライアントがクライアント証明書による認証を要求するサーバに接続すると、サーバはクライアント証明書要求の一部として、受け入れることを望む CA のリストを送ります。その後、クライアントは自分のクライアント証明書を送信することができますが、これはクライアントが希望し、適切な証明書が利用可能な場合です。

クライアント証明書による認証の主な利点は以下の通りです。

• 秘密情報（秘密鍵）がサーバに送信されることがない。クライアントは認証の間、自分の秘密を一切漏らしません。
• その証明書を持つユーザを知らないサーバでも、証明書を発行した CA を信頼すれば (そしてその証明書が有効であれば) そのユーザを認証することができます。これは、パスポートが使用される方法に非常に似ています。パスポートを見せる人に会ったことはないかもしれませんが、発行機関を信頼しているため、その人にアイデンティティをリンクすることができます。

あなたは以下のものに興味があるかもしれません。 クライアント認証のためのクライアント証明書の利点？ (Security.SEにて) .