1

下面的信息显示了我的 ssl 连接到我的一台 ldap 服务器的 Wire Shark 日志。在此客户端证书长度为零。请让我知道这是什么意思。是因为缺少客户端身份验证吗?对于相互身份验证,是否必须包含客户端证书?

329 SSLv2   Client Hello
332 TLSv1   Server Hello, Certificate, Certificate Request, Server Hello Done
334 TLSv1   Certificate, Client Key Exchange
336 TLSv1   Change Cipher Spec, Encrypted Handshake Message
337 TLSv1   Change Cipher Spec, Encrypted Handshake Message

在第 332 帧中显示完整的证书信息,在第 334 帧中显示证书长度:0。在第 334 帧中,客户端密钥交换包含足够的信息来传递预主密钥。

4

1 回答 1

6

Certificate Request消息意味着服务器请求了客户端证书(强制或非强制)。

客户端响应发送的空Certificate消息意味着客户端没有找到合适的客户端证书来使用(或选择不使用它)。

服务器是否要继续此连接取决于其配置。客户端证书身份验证可以是可选的。

[TLS 规范][1] 中描述了这种行为:

仅当服务器请求证书时才会发送此消息。如果没有合适的证书可用,客户端必须发送不包含证书的证书消息。也就是说,certificate_list 结构的长度为零。如果客户端没有发送任何证书,服务器可以自行决定是否继续握手而无需客户端身份验证,或者以致命的握手失败警报响应。

(这来自 TLS 1.2 规范,在 TLS 1.1 及更低版本中,它只是[...] 应该发送证书消息 [...]。) [1]:https ://www.rfc-editor.org /rfc/rfc5246#section-7.4.6

于 2012-07-16T09:52:23.400 回答