2-сторонняя конфигурация SSL/TLS

Если я правильно понимаю SSL/TLS в аутентификации только на сервере, после установления связи сервер отправляет клиенту его открытый ключ и сертификат с цифровой подписью, подписанный ЦС. Если клиент имеет открытый ключ CA, он может расшифровать сертификат и установить доверие с сервером. Если это не доверяет CA, связь прекращается. В двухстороннем SSL-протоколе, когда клиенту необходимо пройти аутентификацию на сервере, после того, как клиент получит открытый ключ и сертификат с цифровой подписью, клиент отправит сервер поверх него открытым ключом и сертификатом с цифровой подписью. Сервер проверит, есть ли у него открытый ключ для сертификата клиента, и если он это делает, он может установить доверие к клиенту. Я настраиваю взаимную аутентификацию [2-way ssl] на веб-сервере (в данном случае клиент, вызывающий исходящий веб-сервис), а третье лицо отправило мне сертификат с цифровой подписью и цепочку сертификатов. Зачем мне это нужно. Разве это не то, что сервер отвечает после рукопожатия?

0
27 июля '16 в 17:09
источник поделиться
1 ответ

сервер отправляет клиенту его открытый ключ и сертификат с цифровой подписью, подписанный ЦС.

Сертификат содержит открытый ключ. Ключ не отправляется дополнительно.

Если клиент имеет этот открытый ключ CA, он может расшифровать сертификат

Сертификат не зашифрован, он подписан ЦС. Таким образом, дешифрование не выполняется, но клиент может проверить эту подпись, если клиент имеет сертификат ЦС (и, следовательно, его открытый ключ). Но обычно сертификат не подписывается непосредственно CA, которому доверяет браузер, но есть промежуточные сертификаты. В этом случае сервер не только отправит сертификат сервера, но и все промежуточные сертификаты, необходимые для создания цепочки доверия.

то клиент отправит сервер поверх него открытого ключа и сертификата с цифровой подписью.

Опять же, открытый ключ является частью сертификата.

третья сторона отправила мне сертификат с цифровой подписью и цепочку сертификатов. Зачем мне это нужно.

Первый сертификат - это сертификат клиента. Сертификаты цепей необходимы для создания цепочки доверия, поскольку сервер не доверяет сертификату клиента сертификатов напрямую и, следовательно, нуждается в промежуточных сертификатах.

0
27 июля '16 в 20:18
источник

Посмотрите другие вопросы по меткам или Задайте вопрос