SSL卸载之双向认证模式
  

刘昂_北京办_技术支持 2976

{{ttag.title}}
在双向认证模式下, 除客户端验证服务器端是否合法外, 服务器端也需要验证客户端是
否为合法用户。服务器端需要安装颁发客户端证书的 CA 的根证书和中间证书,要求客户端
提交客户端证书, 并通过已经安装的根证书和中间证书对客户端证书进行逐级验证。 以确定
客户端是否为合法用户。
当客户端连接一个双向认证模式的虚拟服务端口时, 除了客户端验证服务器端是否安全
外,还需要进行以下步骤:
1、 客户端弹出证书选择框,该证书选择框内列出服务器端,也就是 SSL 加速设备上所
支持的 CA 所发布的证书。
2、 客户端选择证书然后提交。
3、 负载验证客户端提交的证书是否由所信任的 CA 所发布。
4、 如果配置了证书吊销列表,SSL 加速设备将根据客户端证书中提供的 CRL 发布点,
验证客户端提交的证书是否已经被作废。如果作废或者证书已经过期,则 SSL 加速设备将拒
绝该用户登录。
双向认证的流程如下:
QQ截图20150313145907.jpg
图:双向认证流程
双向认证方式通常用于网上银行、 电子商务或者一些安全要求较高的场合。 双向认证确
保交易双方的身份可靠性,同时具有不可抵赖性。
在双向认证模式下,则需要配置 负载验证 Client 证书的部分:
Trusted Certificate Authorities:客户端证书的根证书
Client Certificate: 这里有两种模式可以选择
Require:客户端必须提交证书,通常都采用这种方式
Request:客户端可提交证书,也可不提交证书
Advertised Certificate Authorities:在客户端连接时,服务器发送到客户端的信息,该信
息使在客户端弹出的证书选择列表中只包含选中的根证
书所颁发的客户端证书。配置时注意如果有中间证书,
则一定要选择根证书和中间证书的 Boundle。
需要注意的是, 在双向认证的结构下, 客户端证书体系和服务器端证书体系可以不是同
一个证书机构颁发的证书。在通常情况下,对于一个面向公众服务的站点而言,客户端证书
和服务器端证书都不是一个证书机构颁发的证书。 一般服务器证书都会选用一些通用的在浏
览器已经内置了的证书机构颁发的证书,而客户端证书则会采用自建 CA 体系签发证书或者
采用金融机构认可的第三方证书机构如 CFCA(某公司 www.cfca.com.cn)颁发的证
书。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

携手旅游 发表于 2017-10-28 12:02
  
请问楼主
1.SSL加速设备有什么作用
2.BIGIP是指什么
3.证书吊销是什么意思
谢谢
cow977 发表于 2018-8-6 07:45
  
BigIP是F5的设备。

LZ这图是从F5上直接拿过来的吧。
头像被屏蔽
新手166158 发表于 2019-4-29 13:39
  
提示: 作者被禁止或删除 内容自动屏蔽
新手589624 发表于 2021-1-23 08:49
  
坚持每天登录论坛学习
发表新帖
热门标签
全部标签>
每日一问
技术笔记
信服课堂视频
GIF动图学习
项目案例
产品连连看
安装部署配置
在线直播
专家分享
新版本体验
技术咨询
答题自测
SANGFOR资讯
技术圆桌
功能体验
每日一记
技术顾问
排障笔记本
畅聊IT
原创分享
SDP百科
产品预警公告
测试报告
运维工具
专家问答
MVP
网络基础知识
升级
安全攻防
上网策略
日志审计
问题分析处理
流量管理
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人