authentication - 将客户端证书映射到用户帐户的最佳做法是什么？

Question

我们有一个专有框架，现在我们希望通过客户端 ssl 证书集成身份验证。
将客户端证书映射到专有用户帐户(例如数据库中的简单用户表)的最佳做法是什么？

保存到证书的公钥？

保存发行者和序列号？

或者还有其他可能吗？

Answer 1

您是否颁发证书(并且可以设置证书的某些字段)？这些证书是否必须与更大规模的 PKI 环境(如电子邮件签名)集成(我的意思是您有 X.509 互操作性噩梦)吗？

如果您可以为用户创建证书颁发机构，而不必关心外部系统，则可以为每个客户端证书提供一个直接映射到您的用户帐户的通用名称属性。所以你可以检查客户端证书是否由用户证书颁发机构签名，然后匹配证书 CN 属性。

当只有有限且众所周知的签名证书数量时，我建议存储此证书并检查客户端证书并仅在它们由其中一个签名证书签名时才接受它们。然后，您使用颁发 CA 为每个用户唯一设置的证书字段(在用户证书更新时保持不变，许多合作让用户证书在大约一年后超时)将此字段与您的用户数据库连接。

如果您不能颁发证书，您可以存储 哈希数据库中的证书，但这有一个缺点，即当证书过期时，您需要更新数据库。每个证书的哈希都是唯一的，而证书的大多数字段都可以被欺骗。

您可能还需要检查签名证书颁发机构的证书吊销列表，这样任何用户都无法使用被盗证书访问您的服务。