简短的回答是不需要。在客户端和服务器中应导入CA证书,而不是导入每个方的证书。这样,当服务器或客户端证书更改时,您无需再次导入它们,这允许服务器不必导入所有客户端证书。实施基于证书的身份验证时,几乎所有人都会忘记另一种身份验证措施,即如何检查证书的有效性。您不仅应检查证书是否过期且有效(由可信CA正确签名),还应检查证书是否已被吊销(想象一下某人泄露了自己的私钥,他的证书不应再被信任)。检查吊销证书的最常见方法是OCSP,它在检查单个证书时具有较少的开销,但需要与OCSP服务器(可以是自己的CA)保持永久联机,或定期导入发布的CRL。
