[解決済み] 双方向SSLの明確化
質問
双方向SSLがどのように機能するのか、少々混乱しています。 クライアントはどのようにしてサーバに送る証明書を作成するのでしょうか? それはサーバーから生成され、クライアントに配布されるのでしょうか?
また、片方向SSLに対する双方向SSLの利点は何でしょうか?
どのように解決するのですか?
両方の証明書が接続前に存在している必要があります。これらは通常、認証局によって作成されます (必ずしも同じとは限りません)。(別の方法で検証できるケースもありますが、一部の検証は が行われます。 を行う必要があります)。
サーバ証明書はクライアントが信頼する CA によって作成されるべきです(そして RFC 6125 ).
クライアント証明書は、サーバーが信頼するCAによって作成される必要があります。
何を信用するかは、それぞれの当事者次第です。
オンラインCAツールがあり、ブラウザ内で証明書を申請し、CAが発行したらそこにインストールされるようになっています。これらはクライアント証明書の認証を要求するサーバーにある必要はありません。
証明書の配布と信頼の管理は公開鍵基盤 (PKI) の役割であり、CA を介して実装されます。SSL/TLSのクライアントとサーバは、単にそのPKIを利用するだけです。
クライアントがクライアント証明書による認証を要求するサーバに接続すると、サーバはクライアント証明書要求の一部として、受け入れることを望む CA のリストを送ります。その後、クライアントは自分のクライアント証明書を送信することができますが、これはクライアントが希望し、適切な証明書が利用可能な場合です。
クライアント証明書による認証の主な利点は以下の通りです。
- 秘密情報(秘密鍵)がサーバに送信されることがない。クライアントは認証の間、自分の秘密を一切漏らしません。
- その証明書を持つユーザを知らないサーバでも、証明書を発行した CA を信頼すれば (そしてその証明書が有効であれば) そのユーザを認証することができます。これは、パスポートが使用される方法に非常に似ています。パスポートを見せる人に会ったことはないかもしれませんが、発行機関を信頼しているため、その人にアイデンティティをリンクすることができます。
あなたは以下のものに興味があるかもしれません。 クライアント認証のためのクライアント証明書の利点? (Security.SEにて) .
関連
-
[解決済み] をカールします。(35) error:1408F10B:SSLルーチン:ssl3_get_record:バージョン番号が間違っています。
-
[解決済み] OpenSSLを使用して自己署名入りSSL証明書を生成する方法を教えてください。
-
[解決済み] HttpClient over HTTPSを使用してすべての証明書を信頼する
-
[解決済み] Node.jsでHTTPSサーバーを作成する方法とは?
-
[解決済み】ファイアウォール越しにHTTPSでGitHubにアクセスしようとすると、SSL証明書が拒否される。
-
[解決済み】cURL エラー 60: SSL 証明書: ローカルの発行者証明書を取得できない
-
[解決済み】ssl証明書はどのように検証されるのですか?
-
[解決済み】PHP - SSL証明書エラー: ローカルの発行者証明書を取得できない
-
[解決済み] [Solved] javax.net.ssl.SSLHandshakeException の解決: sun.security.validator.ValidatorException: PKIX パスの構築に失敗しました エラー?
-
[解決済み] fiddlerがインストールするルートCA証明書を削除する方法
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み】ハンドシェイクに失敗しました。SSLアラート番号40
-
[解決済み] HTTP から HTTPS への Nginx のリダイレクトが多すぎる
-
[解決済み] Certbot が見つかりません。
-
[解決済み] SNIとCCSを使用してhttpsのデフォルトのWebサイトを設定する方法
-
[解決済み] DockerコンテナSSL証明書
-
[解決済み] fiddlerがインストールするルートCA証明書を削除する方法
-
[解決済み] 自己署名証明書を持つサービスワーカーを使用できますか?
-
[解決済み] .cerとpfxの違いは何ですか?
-
[解決済み] 自己署名CAと自己署名証明書の違いについて【終了しました
-
[解決済み] ドメインとサブドメイン用の自己署名付き証明書を作成する - NET::ERR_CERT_COMMON_NAME_INVALID