SSL 客户机认证
客户机认证类似于服务器认证,只是服务器从客户机请求证书以验证客户机是否是要求进行认证的客户机。证书必须是服务器可信认证中心签署的 X.509 证书。在服务器从客户机请求证书时,只可以使用客户机认证。并非所有服务器都支持客户机认证。
在服务器请求证书时,客户机可以选择发送证书或在无证书的情况下尝试连接。如果客户机的证书可以信任,那么服务器允许建立连接。
客户机在无证书的情况下尝试连接时,服务器可能会授予客户机访问权,但处于较低的安全性级别,如以下事件序列所述:
- 客户机向服务器发送进行 SSL 会话的请求。
- 客户机接收服务器的证书并检查其可信 CA 列表。由于服务器的证书由可信的认证中心签署,因此客户机接受该证书。 然后,服务器向客户机请求可识别客户机的证书。
- 客户机通过发送证书或在无证书的情况下尝试建立会话来做出响应。
- 如果客户机发送证书,那么服务器将检查其可信证书列表。如果客户机可信,那么将建立安全会话。如果客户机未发送证书,那么通常服务器会终止会话。