我不确定我们是否只是验证客户端证书就足够了,因为如果有人窃取了证书,那么他们可以冒充他人,我们如何验证客户端?客户端是否需要使用其私钥签署一些消息,与客户端证书一起发送,服务器端从证书中获取公钥以验证消息以确认他是证书持有者?
当服务器验证客户端证书时,它通过使用相应的私钥执行操作,使客户端证明证书是他们的。私钥不是证书的一部分,因此窃取它不允许模拟用户。