Question

I m a bit of a newbie to WCF and web security, so I d really appreciate a clear explanation of the following concepts:

我的理解是,如果我想要建立与网站的安全联系,我需要获得信任当局颁发的SSL证书,例如。 Verisign, Thawte,等

现在我撰写一份具有中央网络服务的SaaS数据,以及连接中央网络服务的客户申请数目。我想安全地进行客户和服务器之间的所有通信,因此我已在我的服务器上获得SSL证书。

但是,现在,世界投资基金就采用了“客户边证书”这一概念,看来是要求验证我的服务器边证书,我完全不理解。客户将被世界各地一些匿名的中间点下载。我不知道他准备或获得的证书是什么——我也不爱! 我所希望的是,客户和服务器之间的通信是安全的。我本应在客户身上安装自己的证书吗?

有些人能否向我解释这些概念?

(在你回头的时候,我有一个相关问题: 。 (a) 具有豁免。

Answer 1

不担心——客户旁证无须验证服务器证书。只要你们都想要做到,客户就知道他或她与你的服务器交谈,而且没有人能够跳出或改变通信的服务器证书。然而,正如我在对你相关问题的答复中所描述的那样,客户确实需要信任服务器证书(这可能是你的问题所在)。

当服务器希望以比使用密码更为安全的方式验证客户的身份时,客户证书就发挥作用。 SSL/TLS(包括HTTPS, 后者简单地超越了SSL/TLS)确实支持客户证明,而且常常被称为“双面的SSL”或“客户认证的SSL”。所有主要浏览器都支持这一努力,而世界投资基金客户也是如此,但正如我先前所说的那样,不需要(除非服务器明确要求)。

Answer 2

我认为,你正在把两种不同的东西结合起来。 SSL基于非对称加密,它与两种不同的钥匙——公共钥匙和私人钥匙——合作。进行加密的方式是,任何人都可以使用公用钥匙进行加密数据,但只有私人钥匙的持有人才能进行加密数据。当你在服务器上安装服务证书时,你必须安装包含两项关键内容的证书,但客户需要包含公共钥匙的证明(否则,他们无法为您的服务提供加密信息)=>客户必须获得具有公共钥匙的证明。在使用可信赖的证书授权时,这不应成为一个问题,因为SSL(至少是HTTPS)应当在初步手法中交换这一证书。

客户证明有不同的含义。通常用于客户认证(而不是用户名称和密码)。在电文安全的情况下,还可以用于建立全两种非对称加密和签署方式(SSL只使用不对称加密法,只用于外壳识别加密的独特关键)。

友情链接