据我对 SSL 身份验证的了解,我信任的一方的 FQDN 必须与通用名称或主题备用名称之一匹配。这也适用于客户端证书吗?那么,当客户端没有固定 IP 地址或域名时,客户端身份验证场景会发生什么?
答案1
始终由身份验证方决定对远端凭证执行哪些检查以及哪些检查是令人满意的。因此,我们看到 Web 浏览器 (HTTPS) 可能会对过期的证书感到相当不安,但邮件服务器 (SMTP STARTTLS) 大体上并不关心谁签署了它们接受的证书。
这使得很难对你的问题给出准确的答案。但是一般来说,服务器将期望看到由专门指定的 CA 根签名的客户端证书。只要它在证书上看到正确的签名,嵌入的详细信息就相对不那么重要了。