在设置 TLSVerifyClient 选项时必须提供哪些证书

在设置 TLSVerifyClient 选项时必须提供哪些证书

就我而言,我已经设定了TLS验证客户端要求我无法建立连接,同时提供TLSCA 证书文件 独自的

在设置 TLSVerifyClient 选项需求时,是否必须提供以下选项或 TLSCACertificateFile 是否足够?

TLSCA 证书文件

TLS证书密钥文件

TLS证书文件

问候,

内存

答案1

通过设置TLSVerifyClient任何与never你允许的不同的事情相互 TLS。

正如名称所暗示的:相互 SSL/TLS 要求客户端和服务器都使用证书进行身份验证

TLS 客户端身份验证机制(仅)通过 TLS 发送客户端证书,作为身份验证握手的一部分。

在需要并且意味着您不能没有的服务器上:

  • 服务器证书TLSCertificateFile
  • TLSCertificateKeyFile服务器证书的关联私钥
  • 此外,还需要值得信赖的证书颁发机构来颁发客户端证书。TLSCACertificateFile <filename>TLSCACertificatePath <path>

有趣的是:颁发客户端证书的受信任的证书颁发机构不必与颁发服务器证书的证书颁发机构相同。通常不是。例如,您的服务器证书由 Let'sEncrypt 颁发,并且您将使用内部 CA 颁发客户端证书。


在客户端上,您首先需要信任用于颁发服务器证书的 CA 证书(链)。通常不需要明确配置,因为客户端的系统默认设置通常已经内置了正确的信任。这由客户端设置: TLS_CACERT和/或TLS_CACERTDIR

然后,客户端需要自己的证书和相关私钥才能使用双向 TLS 来识别自己。使用TLS_CERT相应的TLS_KEY指令进行设置。

相关内容