双向验证是否需要从双方导入证书?
NathanW
问问题
2683 次
1 回答
5
简短的回答是否定的,你不需要它。
而不是导入每一方的证书,应该在客户端和服务器中导入的是CA证书,因此当服务器或客户端证书更改时,您不需要再次导入它们,并且允许服务器不导入所有客户端证书.
在实施某种基于证书的身份验证时,几乎每个人都忘记的另一个身份验证措施是如何检查它们的有效性。您不仅应该检查证书是否过期且有效(由受信任的 CA 正确签名),还要检查证书是否被吊销(假设某人泄露了自己的私钥,他的证书应该'不再被信任)。
要检查已撤销的证书,最常用的方法是OCSP,它在检查单个证书时开销较小,但需要永久在线连接到 OCSP 服务器(它可以是自己的 CA)或导入定期发布的CRL。
于 2009-01-09T07:57:37.870 回答