Erreur d'authentification de certificat sur le côté du client

J'essaie d'ajouter les éléments finaux à l'application client-serveur que j'écris, mais quelque chose semble aller mal à la dernière étape d'établissement de la communication SSL.

La partie client du programme connecte et établit une connexion sécurisée au serveur sans problèmes, mais si je souhaite exécuter une opération à partir du côté du serveur de programme, elle ne peut établir aucune connexion.

Quand j'essaie de me connecter à mon serveur à travers Firefox (En tant que client), Le navigateur me met en garde que le certificat ne convient pas à la connexion.

Du côté serveur, mes magazines reflètent la disponibilité

unknown ca

ou

certificate unkown

Chaque fois que j'essaie de prendre des octets de mon client.

Je pense que ma question revient à ceci:

Avez-vous besoin de créer différents certificats pour l'application du côté client et du côté de l'application sur le côté serveur? Quelle est la différence entre eux?
Invité:

Hannah

Confirmation de:

Tout comme les certificats de serveur identifient sans ambiguïté le serveur (ou domaine), Les certificats clients identifient sans ambiguïté le client. Et juste comme des certificats de serveur doivent être signés par une personne qui fait confiance au client, les certificats clients doivent être signés par une personne qui fait confiance au serveur.

Habituellement, lorsque vous configurez un serveur pour recevoir des certificats clients, vous spécifiez un certificat de signature qui doit être utilisé pour signer le certificat client. Cela permet au serveur de savoir que le client est «autorisé», tout ce qui signifie dans votre contexte, car vous signerez probablement des certificats uniquement pour les utilisateurs «autorisés».

La résolution des certificats clients sans aucune vérification n'est généralement possible avec la plupart des serveurs, mais qui perturbe en quelque sorte tout le but.

Hannah

Confirmation de:

Cela dépend du type de certificat de serveur. Parfois, des certificats auto-signés peuvent être problématiques. S'il est signé par le centre de certification, en règle générale, le certificat client doit également être signé par la même autorité de certification et peut nécessiter l'inclusion de la chaîne de certification entière.

vous pouvez utiliser openssl Pour collecter des informations sur des centres de certification acceptables pour les certificats clients à l'aide de la ligne de commande:

openssl s_client -connect host.domain.tld:443
ou tout autre port qui écoute SSL. Cela devrait fournir des informations sur la chaîne de certificat jusqu'à l'autorité de certification racine, ainsi que de fournir des CA acceptables pour les certificats clients.

Agathe

Confirmation de:

jtpresta

Dans l'un de ses commentaires, exprime indirectement une pensée intéressante, mais très loyale: l'authentification du client SSL - Ceci est un gâchis. C'est bon, car il est absolument sûr, mais c'est terrible, car il est difficile de personnaliser comment configurer et entretenir.

Si vous n'avez pas vraiment de bonne raison, utilisez une authentification de clé commune à la place. (par exemple, "le mot de passe"). Vous gagnerez du temps et de l'argent. L'authentification SSL est bonne dans les cas où la sécurité dépasse considérablement les coûts.

Pour répondre aux questions, connectez-vous ou registre