Web浏览器是根据需要将客户端证书发送到Web服务器(这意味着Web服务器已配置为用于客户端身份验证并需要客户端证书),还是只是发送它拥有的所有证书?如果Web浏览器按需发送客户端证书,那么Web浏览器如何知道要发送到该特定Web服务器的客户端证书?
在SSL握手期间,
If the server requires a digital certificate for client authentication, the server sends a "client certificate request" that includes a list of the types of certificates supported and the Distinguished Names of acceptable Certification Authorities (CAs).(引述来自对SSL握手的合理清晰的解释,IBM。]然后,客户端将其商店中的证书与列表以查看其是否具有服务器列出的CA签名的任何内容。如果它找到一个,它将发送它,通常在提示用户之后他们是否想要发送它。大概有多个匹配,它将询问用户发送哪个(如果有)。