我正在与一个REST服务提供商合作,他们希望我在进行HTTP调用时使用他们提供的客户端证书。
客户端证书如何实现身份验证?
如果有人拥有客户端证书的副本,他们也可以被认证,对吗?
除了身份验证之外,客户端证书还提供其他什么功能?
它们与用户名/密码身份验证有什么不同?
我正在与一个REST服务提供商合作,他们希望我在进行HTTP调用时使用他们提供的客户端证书。
客户端证书如何实现身份验证?
如果有人拥有客户端证书的副本,他们也可以被认证,对吗?
除了身份验证之外,客户端证书还提供其他什么功能?
它们与用户名/密码身份验证有什么不同?
客户端证书如何实现身份验证?
通过由同行信任的人签名(包括自签名)或由受同行信任的人签名,以此类推。
如果有人复制了客户端证书,他们也可以被认证吗?
不对。他们还需要私钥。
除身份验证外,客户端证书是否提供其他功能?
没有。
它们与用户名/密码身份验证有何不同?
更加安全。无法进行密码猜测。
然而,不存在所谓的“由他们提供的客户端证书”。生成客户端证书的过程始于您。您生成密钥对和证书签名请求 (CSR),并由 CA 签名。或生成自签名证书。然后,您将证书提供给他们。如果他们建议执行所有这些步骤并向您提供生成的密钥对和证书,则说明他们对安全漏洞一无所知,应该受到严厉谴责。私钥只有在没有别人拥有副本时才是私有的。