Chứng chỉ ứng dụng hoạt động như thế nào?

Question

Tôi đang làm việc với nhà cung cấp dịch vụ REST và họ muốn tôi sử dụng chứng chỉ ứng dụng khách được cung cấp bởi họ khi thực hiện cuộc gọi HTTP.

Chứng chỉ ứng dụng khách xác thực như thế nào?
Nếu ai đó có bản sao chứng nhận ứng dụng khách, họ cũng có thể được xác thực đúng không?
Chứng chỉ khách hàng có cung cấp bất kỳ điều gì khác ngoài xác thực không?
Chúng khác với xác thực tên người dùng/mật khẩu như thế nào?

Answer 1

Chứng chỉ ứng dụng khách xác thực như thế nào?

Bằng cách hoặc trực tiếp đáng tin cậy bởi sự ngang hàng, hoặc bằng cách chữ ký của ai đó tin tưởng bạn bè, hoặc có chữ ký của ai đó mà là đáng tin cậy bởi ai đó tin tưởng bạn bè, vv

Nếu ai đó có một bản sao của cert khách hàng, họ cũng có thể được xác thực phải không?

Sai. Họ cũng sẽ cần khóa riêng.

Khách hàng có cung cấp bất kỳ điều gì khác ngoài xác thực không?

số

thế nào là họ khác nhau từ một xác thực username/password?

Bảo mật hơn nhiều. Không đoán được mật khẩu là có thể.

Tuy nhiên Có không có điều đó như là một 'chứng chỉ khách hàng cung cấp bởi chúng'. Quá trình tạo chứng chỉ ứng dụng khách bắt đầu bằng bạn. Bạn tạo cặp khóa và Yêu cầu ký chứng chỉ (CSR) và bạn đã ký nó bằng một CA. Hoặc bạn tạo chứng chỉ tự ký. Bạn rồi cung cấp chứng chỉ của bạn cho chúng. Nếu họ đang đề xuất thực hiện tất cả các bước này và cung cấp cặp khóa và chứng chỉ kết quả cho bạn, họ không biết họ đang nói về điều gì và sẽ bị trừng phạt nghiêm trọng vì vi phạm an ninh. Khóa riêng tư chỉ là riêng tư nếu không ai khác có bản sao.