我们正在尝试在 Cisco ASA 上为 VPN 用户设置客户端证书身份验证。用户证书存储用于完成身份验证。我们遇到的问题是用户无权访问私钥,这反过来导致证书验证失败。但我的问题是,为什么我们甚至需要访问私钥才能完成身份验证过程。
答案1
公钥 - 顾名思义 - 是公开的。因此,它不能单独用于授权,因为每个人都知道它。但只有私钥的所有者才能签署一些随机质询,然后每个有权访问公钥的人都可以验证此签名 - 在本例中是向客户端发送此质询的服务器。因此,客户端必须能够访问私钥。不仅客户端必须能够访问私钥,而且还应该是唯一有权访问私钥的人(因此:“私人”密钥),因为每个知道私钥的人都可以声明客户端身份。
有关详细信息,请参阅基础知识公钥密码术。