对于双向验证,是否有必要从双方导入证书?
简短的回答是不,你不需要它.
客户端和服务器中应导入的内容是CA证书,而不是导入每一方的证书,因此当服务器或客户端证书更改时,您不需要再次导入它们,并且允许服务器不导入所有客户端证书.
几乎每个人在基于证书实现某种身份验证时忘记的另一种身份验证措施是如何检查它们的有效性.您不仅应检查证书是否已过期且证书是否有效(由受信任的CA正确签名),还应检查证书是否已被撤销(假设某人已泄露其自己的私钥并且他的证书不应该不再信任了).
要检查撤销的证书,最常见的方法是OCSP,它在检查单个证书时具有较少的开销,但它需要永久的在线连接到OCSP服务器(它可能是自己的CA)或定期导入已发布的CRL.
京公网安备 11010802040832号 | 京ICP备19059560号-6 