如果是这样,您如何设置身份验证证书,您需要哪些文件?是.pfx?你会如何在浏览器中安装它?一直试图通过浏览器测试2路ssl。我有一个web服务,尝试连接总是返回认证认证失败。
答案 0 :(得分:14)
扩大了nickrak的答案。双向SSL意味着客户端信任Web服务,并且Web服务信任/验证客户端。
在网络服务方面:
将客户端的CA证书添加到Web服务的可信证书中。 Web服务服务器证书中的“CN”必须与Web服务的URL匹配。 Web服务服务器证书不得过期。 Web服务可以选择基于客户端证书进行进一步的身份验证...例如,客户端证书是授权客户端的“白名单”。也许web服务具有多级访问权限,因此检查客户端证书以确定为客户端提供多少访问权限。
在客户端:
签署Web服务服务器证书的CA需要添加到客户端的可信证书列表中。在浏览器中,这将位于“受信任的根证书颁发机构”部分(IE,Chrome)或“授权”部分(Firefox)中。这些证书的扩展名通常是.der,.cer,.crt或.pem。此外,客户端自己的私钥/证书组合需要添加到客户端浏览器中。这将在“个人”部分(IE,Chrome)或“您的证书”(Firefox)中。这些密钥库的扩展名通常是.p12或.pfx。
答案 1 :(得分:5)