20

对于我正在处理的项目,我必须生成 Web 服务器证书。据我了解,服务器证书应包含服务器身份验证 OID (1.3.6.1.5.5.7.3.1)。但正如我所见,由 Verisign 等知名发行商颁发的所有服务器证书也包含客户端身份验证 OID (1.3.6.1.5.5.7.3.2)。

我尝试使用仅具有服务器身份验证 OID 的证书 - 似乎它工作正常。

问题

  • 为什么服务器证书需要客户端身份验证 OID?
  • 是否需要一些遗留支持或有其他原因?
4

2 回答 2

13

两者之间的区别正是它们的描述方式。

要将证书用作服务器(在连接的接收端),它必须具有服务器扩展密钥用法。

在 2 路 SSL 连接中,客户端(在连接的发起端)将证书返回给服务器,它必须具有客户端扩展密钥用法。

如果您从未将证书用作客户端证书,则不需要客户端身份验证 OID。

于 2013-08-09T19:49:38.640 回答
5

我认为指出客户端证书和服务器证书之间的主要区别之一也是有用的:

  1. 服务器证书用于数据的加密和解密;
  2. 客户端证书代表用户身份。即向远程服务器证明客户端的身份。
于 2016-01-27T22:19:05.463 回答