Cả hai chứng chỉ phải tồn tại trước khi kết nối. Chúng thường được tạo ra bởi các Tổ chức Chứng nhận (không nhất thiết phải giống nhau). (Có những trường hợp thay thế mà xác minh có thể được thực hiện khác nhau, nhưng một số xác minh sẽ cần phải được thực hiện.)
Chứng chỉ máy chủ nên được tạo ra bởi một CA mà các quỹ tín thác khách hàng (và theo đúng naming conventions quy định tại RFC 6125).
Chứng chỉ ứng dụng khách phải được tạo bởi CA mà máy chủ tin cậy.
Điều đó tùy thuộc vào mỗi bên để chọn những gì họ tin tưởng.
Có các công cụ CA trực tuyến cho phép bạn đăng ký chứng chỉ trong trình duyệt của bạn và cài đặt chứng chỉ tại đó khi CA đã phát hành. Chúng không cần trên máy chủ yêu cầu xác thực chứng chỉ ứng dụng khách.
Phân phối chứng chỉ và quản lý tin cậy là vai trò của Cơ sở hạ tầng khóa công khai (PKI), được triển khai thông qua các CA. Máy khách và máy chủ SSL/TLS và sau đó chỉ là người dùng của PKI đó.
Khi khách hàng kết nối với máy chủ yêu cầu xác thực chứng chỉ ứng dụng khách, máy chủ gửi danh sách các CA mà nó sẵn sàng chấp nhận như một phần của yêu cầu chứng chỉ ứng dụng khách. Sau đó, khách hàng có thể gửi chứng chỉ ứng dụng khách của mình, nếu muốn và có một chứng chỉ phù hợp.
Ưu điểm chính của xác thực client-Giấy chứng nhận bao gồm:
- Các thông tin cá nhân (private key) không bao giờ được gửi đến máy chủ. Các khách hàng không để cho bí mật của nó ra ở tất cả trong quá trình xác thực.
- Máy chủ không biết người dùng có chứng chỉ đó vẫn có thể xác thực người dùng đó, miễn là nó tin cậy CA đã cấp chứng chỉ (và chứng chỉ hợp lệ). Điều này rất giống với cách hộ chiếu được sử dụng: bạn có thể chưa bao giờ gặp một người cho bạn xem hộ chiếu, nhưng vì bạn tin tưởng cơ quan cấp, bạn có thể liên kết danh tính với người đó.
Bạn có thể quan tâm đến Advantages of client certificates for client authentication? (on Security.SE).
+1 để có giải thích tốt và không trả lời google); – Dexters
bạn nên thay thế 'đã tạo' bằng 'đã ký' để giữ cho số này có liên quan – CharlieS
@CharlieS "* Hãy liên quan *" ... Bạn có ý là không liên quan khi sử dụng "tạo ra" (từ ngữ phù hợp với câu hỏi) ;-)? "Phát hành" có thể là một từ tốt hơn thực sự. – Bruno