我正在与REST服务提供商合作,他们希望我在进行HTTP调用时使用他们提供的客户端证书。
客户端证书如何实现身份验证?如果有人拥有客户端证书的副本,那么他们也可以通过身份验证,对吗?客户端证书除了身份验证外还提供其他功能吗?它们与用户名/密码身份验证有何不同?
客户端证书如何实现身份验证?
[由同peer信任的人签名(包括自签名),或由同peer信任的人信任的人签名,等等
如果有人拥有客户端证书的副本,他们也可以通过身份验证吗?
错。他们还需要私钥。
客户端证书除了身份验证外还提供其他任何东西吗?
编号
它们与用户名/密码认证有何不同?
更安全。无法猜测密码。
[然而有没有这种东西作为“他们提供的客户端证书”。生成客户端证书的过程始于you。,您将生成密钥对和证书签名请求(CSR),并由CA对其进行签名。或者您生成一个自签名证书。 您然后将您的证书提供给他们]。>如果他们打算执行所有这些步骤并向您提供生成的密钥对和证书,则他们不知道他们在说什么并应严惩安全漏洞。仅当没有其他人拥有副本时,私钥才是私钥。