Authentification SSL mutuelle - Certificat client VS Server Certificat

J'ai configuré une application Web qui se connectera au service Web distant et doit utiliser le certificat client. Mon application Web utilise HTTPS Pour vous connecter, et il est configuré à l'aide d'un certificat Wildcard existant pour mon domaine.

Puis-je utiliser ma clé ouverte d'une base générique comme certificat de client? Je dois la fournir aux administrateurs à distance des services Web à distance afin qu'ils puissent l'ajouter à la liste des certificats de clientèle de confiance.

Y a-t-il des inconvénients pour utiliser la clé ouverte d'une base générique comme certificat de client? Si je ne peux pas / Ne devrait pas le faire de cette manière, quel certificat puis-je utiliser à la place?
Invité:

Babette

Confirmation de:

L'un des inconvénients est que votre clé fermée peut maintenant être sur deux machines.

La clé client doit être fermée par définition. Si c'est courant, alors ce n'est pas personnel.

Cela réduit instantanément la crédibilité de votre certificat. Tous les autres utilisateurs de ce serveur (si ils sont) Maintenant, ils ne peuvent pas lui faire confiance, car il est connu que sa clé privée est courante.

Votre question ne précise pas si vous utilisez votre propre autorité de certification ou une autorité de certification commerciale. Si c'est commercial, vous pouvez violer les conditions CA, Partager une clé fermée.

Il est préférable de simplement créer un autre certificat pour votre client. Si vous utilisez votre propre ca, créez simplement un autre certificat. Si c'est commercial ou achetez un nouveau certificat pour votre client, ou obtenez
https://www.startssl.com/
. Dans tous les cas, si dans votre certificat, il y aura le champ "Utilisation de la clé améliorée", assurez-vous qu'il contient "Authentification client". (Au lieu de "authentification du serveur").

Comment avez-vous expliqué votre installation - Ceci est une machine qui fonctionne comme client et serveur. Dans cette situation, vous devez connaître une petite différence de profil de certificat pour l'authentification du serveur et l'authentification des clients:

Le certificat de serveur aura un nom de serveur DNS comme CommonName (CN) ou Subject Alternate Name (SAN), soit les deux. Certificat du client va

d'habitude

Spécifiez votre adresse e-mail comme CN, Bien qu'il n'y ait aucune raison pour que cela ne puisse pas être autre chose.

Expansion Extended Key Usage Pour le certificat de serveur devrait être

server authentication

, et pour le certificat client, il devrait être

client authentication

. Cela peut causer des problèmes.

Pour répondre aux questions, connectez-vous ou registre