【发布时间】:2010-12-29 12:26:53
【问题描述】:
我有一个需要客户端验证的 https apache 服务器。但是当有人浏览这个站点时,需要从浏览器中安装的证书列表中选择适当的证书。我该怎么做才能成为我网页的默认客户端证书(因此客户端无需选择证书)
【问题讨论】:
标签: apache ssl certificate ssl-certificate
【发布时间】:2010-12-29 12:26:53
【问题描述】:
您的证书是否有效并由 Thawte, Verisign... 等第 3 方根授权机构签名?
【讨论】:
-
那是你的问题,浏览器不会接受你的
self-signed证书,除非用户在他们的系统中手动安装证书。 -
但我正在为每个客户生成新证书并将其发送给他。所以我一定有受信任的 CA?
-
是的,这些证书是不安全的,因为它们没有由根 CA 签名。浏览器必须显示一个对话框,因为它不能被信任。
-
如果我提供有效的非自签名证书,请告诉我浏览器将如何识别选择什么。
-
顺便说一句,我在浏览器上添加了信任我的自签名根证书。现在我还必须选择适当的证书。我不认为这与信任有关,而是与服务器名称或 dns 相关
您无法从服务器控制提供哪个客户端证书 - 您只能指示您需要客户端证书 (SSLVerifyClient)。大多数浏览器允许用户将网站与单个客户端证书相关联。无法从服务器端对此进行操作。
【讨论】:
-
但我正在提供他应该使用的客户特定 p12 文件。当我使用 CN=properhostname 时,在 firefox 上可以(它会自动选择它),但在 safari 上不行
-
WTF? CN=properhostname 看起来像 SERVER 证书 - 而不是 CLIENT 证书。这与客户验证有什么关系?
-
所以没有办法自动关联它们?