CA证书和客户端证书是相同的吗?
如果不是,我该如何获取客户端证书?如果是,我该如何将其用作客户端证书?
对于这个问题,我很抱歉。
提前感谢您的帮助。
1个回答
4
服务器证书或客户端证书只是证书,它们仅具有不同的属性。在认证树中的每个人(包括最终用户和证书颁发机构)都拥有一个证书,通常是X509证书。
终端用户的证书由树的末尾的认证机构签名。每个认证机构也有一个证书,该证书由父认证机构签名。根认证机构(0级)的证书是由该根CA自己签名的。例如:认证机构A有一个子认证机构B,认证机构B为终端用户C发布证书。对于此示例:B持有的证书和C持有的证书是不同的。B的证书由A签名,C的证书由B签名。这些证书肯定也是不同的,因为证书的内容是不同的。关于如何获得证书,有两种方法:(1)找到认证机构并要求他们购买证书;(2)使用证书生成软件创建自己的证书。但是,由CA颁发的证书在法律上具有有效性,自己生成的证书无法用于合法签名,因此自己生成的证书只能用作测试证书。证书文件(.cer、.p12等)可以导入浏览器;对于Chrome浏览器:打开“设置”-->“高级”-->“HTTPS/SSL”-->“管理证书”-->“导入”。文件.cer是X509证书(没有私钥),文件.p12是PKCS12证书(包含私钥)。并非所有证书都受浏览器信任;只有那些由浏览器知道根CA的认证树中的CA颁发的证书才受信任。
认证机构位于树形结构中(树的深度不固定):
Root certication authority of a country (level 0)
Certification authority 1 (level 1)
Certification authority 1.1 (level 2)
End-user 1.1.1
End-user 1.1.2
...
Certification authority 1.2 (level 2)
...
Certification authority 2 (level 1)
...
终端用户的证书由树的末尾的认证机构签名。每个认证机构也有一个证书,该证书由父认证机构签名。根认证机构(0级)的证书是由该根CA自己签名的。例如:认证机构A有一个子认证机构B,认证机构B为终端用户C发布证书。对于此示例:B持有的证书和C持有的证书是不同的。B的证书由A签名,C的证书由B签名。这些证书肯定也是不同的,因为证书的内容是不同的。关于如何获得证书,有两种方法:(1)找到认证机构并要求他们购买证书;(2)使用证书生成软件创建自己的证书。但是,由CA颁发的证书在法律上具有有效性,自己生成的证书无法用于合法签名,因此自己生成的证书只能用作测试证书。证书文件(.cer、.p12等)可以导入浏览器;对于Chrome浏览器:打开“设置”-->“高级”-->“HTTPS/SSL”-->“管理证书”-->“导入”。文件.cer是X509证书(没有私钥),文件.p12是PKCS12证书(包含私钥)。并非所有证书都受浏览器信任;只有那些由浏览器知道根CA的认证树中的CA颁发的证书才受信任。
- jondinham
8
1我们有一张来自 CA 的服务器证书,经过检查后可以用于客户端身份验证。我们需要购买客户端证书才能将其用于身份验证吗? - lil
为了测试目的,您可以从服务器为客户生成证书。生成的证书文件将是使用您的服务器证书签名的.p12文件。之后,将这些.p12文件发送给您的客户进行身份验证。 - jondinham
1我们需要在所有客户端电脑的浏览器上安装证书,以便授权访问吗? - lil
1我们有一张由Godaddy颁发的证书,它在服务器上。我们能够将它(.cer是X509证书)作为客户端证书(不包含私钥)用于身份验证吗? - lil
1谢谢Paul,目前我正在为子域分配单独的IP。希望在您的帮助下能够解决我的问题。 - lil
显示剩余3条评论
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接