gpt4 book ai didi

ssl - 在 mTLS 中,客户端 CN 名称真的很重要吗?

转载 作者:行者123 更新时间:2023-12-04 22:35:17 26 4
gpt4 key购买 nike

对于普通的 TLS,客户端将检查我正在与之通信的服务器实际上是否位于与 CN 匹配的 FQDN 上,因此如果证书用于不同的域,则默认情况下 TLS 不应工作,因为该证书不适用于该站点.

对于 mTLS,当服务器检查客户端证书时,它能以某种方式检查客户端地址是否与 CN 匹配,还是只是检查证书是否与 key 匹配以及证书在客户端是否受信任?即,如果我从互联网上的任何机器使用正确的客户端 key /证书,如果服务器配置为信任该证书,服务器是否应该连接,或者它是否需要客户端以某种方式位于特定地址?

最佳答案

这取决于具体的用例。

在某些情况下,mTLS 用于服务器到服务器到通信,例如 SIP (VoIP)。在这些情况下,通常期望客户端证书包含发件人的域,类似于服务器证书。以 SIP 为例:这里不同的系统也可以切换角色(即两个站点都可以发起调用),以前的客户端证书现在用作服务器证书。

在其他情况下,在 TLS 握手期间不会验证主题,但会从证书主题中提取用户身份并将其提供给应用程序。然后应用程序可能会进行额外的检查,比如只允许来自主题中编码的特定组织的用户。因此,即使在 TLS 握手期间没有在证书验证中使用主题,主题仍然是相关的。

关于ssl - 在 mTLS 中,客户端 CN 名称真的很重要吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69533654/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com