我正在使用Java Web服务并使用Tomcat服务器。由于此应用程序将是B2B,因此我们需要客户端身份验证。我们使用openssl来创建证书。对于每个用户,我们将创建一个自签名证书,我们将通过邮件或其他方式发送。现在问题来了,当客户端通过安全连接调用服务器时,客户端应该发送服务器提供的证书。我希望客户端可以发送证书进行客户端身份验证,而无需在客户端进行任何代码实现。有没有办法实现这个目标?有人能告诉我实现这个的确切步骤吗?
答案 0 :(得分:3)
对于每个用户,我们将创建一个自签名证书,我们将 通过邮件或其他东西发送。
停在那儿。这已经不安全了。这意味着您拥有用户的私钥。用户,只有用户,应该拥有用户的私钥。用户应该生成自己的私钥,如果你坚持自己的自签名证书,或者更好的是仍然由CA签名。如果您因任何原因需要,他应该将其发送给您。
你所做的事情完全是回到正面,从法律/安全的角度来看,完全没有价值。事实上,它包含主要的法律风险,您需要在继续进行之前告知自己。其中之一就是完全丧失了对用户交易的不可否认性。这足以关闭您的业务。