当SSL/TLS客户端收到一个空的DN列表的证书请求消息时,应该采取何种适当行为?
有两种自然的可能性: 1)发送一个空的证书消息 2)从所有可能的证书中选择(或提示用户选择)证书
是否存在唯一正确的行为,或者任何一种选项都可以?我的目标是在我的代码(.Net,WCF)中向服务器提供证书,我正在尝试确定是否需要在客户端上进行更改以覆盖似乎默认不发送证书的行为,或者是否需要在服务器端进行更改以实际发送DN列表。
浏览器似乎会选择第二个选项,但是我的使用WCF和.Net的代码选择了第一个选项。我能够从存储中选择证书,但它没有在TLS握手中发送。
TLS 1.0和1.2规范(RFC2246和RFC5246)似乎没有为这种情况提供任何指导。
有两种自然的可能性: 1)发送一个空的证书消息 2)从所有可能的证书中选择(或提示用户选择)证书
是否存在唯一正确的行为,或者任何一种选项都可以?我的目标是在我的代码(.Net,WCF)中向服务器提供证书,我正在尝试确定是否需要在客户端上进行更改以覆盖似乎默认不发送证书的行为,或者是否需要在服务器端进行更改以实际发送DN列表。
浏览器似乎会选择第二个选项,但是我的使用WCF和.Net的代码选择了第一个选项。我能够从存储中选择证书,但它没有在TLS握手中发送。
TLS 1.0和1.2规范(RFC2246和RFC5246)似乎没有为这种情况提供任何指导。