Возможно, вы путаете сертификаты сервера с сертификатами клиентов. Непонятно, что вы имеете в виду, когда говорите, что служба «защищена сертификатами». И серверные, и клиентские сертификаты могут «защищать» службу, хотя и по-разному: сертификат сервера путем шифрования связи, сертификаты клиента путем ограничения обслуживания только авторизованными клиентами.
Настройка с использованием только сертификата сервера аналогична настройке любого веб-сайта, обслуживаемого через HTTPS, только на сервере «установлен» сертификат (то есть на нем есть закрытый ключ сертификата). Хотя у клиентов нет собственных сертификатов, сервер передает им свой собственный сертификат, и они могут проверить с его помощью подлинность сервера, предполагая, что они доверяют органу, подписавшему сертификат. Кроме того, после установления удостоверения сервера сертификат обеспечивает основу для шифрования сеанса между клиентом и сервером.
До сих пор в этой истории не было аутентификации клиентов: хотя клиенты знают, что они разговаривают с сервером, на который они намереваются (благодаря сертификату сервера), и вся связь зашифрована, у сервера нет возможности проверить личность клиенты, подключающиеся к нему. Сертификаты клиента — это один способ проверки подлинности клиента; более знакомая альтернатива — имена пользователей и пароли.
Чтобы использовать клиентские сертификаты, каждый клиент должен иметь действительный сертификат и закрытый ключ, которые не будут совпадать с сертификатом сервера. Опять же, сервер не обязательно хранит локальную копию этих сертификатов — они обмениваются во время подтверждения безопасности.
«Действительный» в этом контексте означает приемлемый в качестве средства идентификации для сервера с использованием некоторых установленных критериев (например, белый список клиентских сертификатов или требование, чтобы клиентские сертификаты были выданы определенным органом). Хотя клиенты часто могут просто доверять цепочке центров сертификации до доверенного корня, чтобы принять сертификат сервера как действительный, должны быть некоторые дополнительные ограничения, налагаемые на допустимые клиентские сертификаты. для аутентификации — в большинстве случаев было бы бесполезно разрешать любому произвольному клиенту с доверенным сертификатом подключаться к службе, настроенной для аутентификации клиентов с использованием клиентских сертификатов.
person
anton.burger
schedule
25.06.2013