3
我们有一个专有的框架,现在我们想要集成客户端SSL证书的认证。 将客户端证书映射到专有用户帐户(例如数据库中的简单用户表)的最佳做法是什么?将客户端证书映射到用户帐户的最佳做法是什么?
- 保存证书的公钥呢?
- 保存发行者和序列号?
还是有其他的可能性?
A
回答
2
您是否正在颁发证书(并且有可能设置证书的某些字段)?这些证书是否必须与更大规模的PKI环境(如电子邮件签名(我的意思是说你有X.509互操作性恶梦))集成?
如果你可以为用户创建一个证书颁发机构,并没有在意国外的系统,你可以给每个客户端证书的通用名称属性直接映射到您的用户帐户。因此,您可以检查客户端证书是否由用户证书颁发机构签署,然后匹配证书CN属性。
当只有签名证书的有限的和众所周知的号码,然后我推荐给存储这个证书,并检查客户端证书,并接受他们,只有当他们被签名证书的一个签名。然后,您使用颁发CA为每个用户唯一设置的证书字段(在用户证书更新时保持不变,许多合作让用户证书在约一年后超时)将该字段与您的用户数据库连接起来。
如果您不能颁发证书,您可以将证书的散列存储在数据库中,但是这样做的缺点是当证书用完时您需要更新数据库。散列对于每个证书都是唯一的,而证书的大部分字段都可能被伪造。
您可能还想检查签名证书颁发机构的证书吊销列表,因此没有用户可以使用被盗证书访问您的服务。
0
我们存储客户端证书的序列号和颁发者DN,并与之匹配。根据http://www.tectia.com/manuals/server-admin/60/userauth-cert.html,这足以唯一标识证书。
相关问题
- 1. IIS 6:客户端证书已更新1:1映射客户端证书
- 2. 将数据发送到客户端的最佳做法是什么:POCO或DTO?
- 3. 验证客户端证书的最佳方法
- 4. IIS 7如何使用数据库中的用户帐户映射客户端证书?
- 5. 的IIS应用程序池帐户安装客户端证书
- 6. 将客户端证书添加到standardEndpoint?
- 7. 在客户端映射webservice端点的最佳实践
- 8. 客户端证书认证
- 9. 映射帐户
- 10. JxBrowser的客户端证书
- 11. 客户端的SSL证书
- 12. 对于eclipse用户,intellij的最佳键盘映射是什么
- 13. 什么是检查WCF客户端连接的最佳方法
- 14. 什么是将用户映射到连接ID的最佳方式
- 15. IIS客户端证书映射规则不受尊重
- 16. iPhone客户端证书
- 17. 客户端证书和HttpWebRequest
- 18. SecTrustSetAnchorCertificates与客户端证书
- 19. 客户端证书和FireFox
- 20. 客户端身份验证 - 处理客户端证书
- 21. iOS上的客户端证书:最佳实践
- 22. 如何使用AutoRest客户端传递客户端证书
- 23. 使用RavenDB客户端API发送客户端证书
- 24. IIS可以在不将它们映射到Windows用户的情况下需要SSL客户端证书吗?
- 25. 为什么我应该使用证书来验证客户端?
- 26. 使用客户端证书的Weblogic
- 27. OAuth2:什么是“客户端”?
- 28. 什么是Oracle客户端?
- 29. HttpClient的与客户端证书认证
- 30. Java中的客户端证书认证