私が知る限り、認証されたSSL接続はクライアントとサーバーの両方に秘密鍵を持ち、安全な接続を確立する前に接続を介して証明書(および対応する公開鍵)を提供します。
しかし、サーバーとクライアントでこれらの証明書とキーを使用する通常のopenSSL接続がありますが、opensslコマンドで生成されたクライアントキー/公開キーがサーバーの秘密キーとは異なるCAで生成された場合は少し混乱します。では、接続が発生してはいけませんが、openSSLを使用しようとする実験では接続されていません。
驚きじゃないですか?通常、CAごとにクライアント側とサーバー側に異なるキーセットがありますか? openSSLは各セッションに対して動的にキーペアを生成し、クライアントに依存しませんか?これらのキー/証明書がサーバーとクライアント側でどのように機能するのか、そしてこれらのキーと証明書の間にどのような関係/依存関係があるのかを知っている人はいますか?
答え1
要件なし認証パスサーバー認証とクライアント認証は同じです。
サーバー認証に必要なことは次のとおりです。仕える人信頼アンカー(実際には、クライアントの信頼ストアに格納されているルートCA証明書)に関連付けられた証明書(およびすべての子/中間CA証明書)を提供します。顧客信頼する。クライアントはサーバーを信頼します。
同様に、クライアント認証のために顧客信頼アンカー(ルートCA証明書)に関連付けられている証明書(およびすべての子/中間CA証明書)も提供する必要があります。仕える人信頼する。サーバーはクライアントを信頼します。
2つの信頼アンカーが同じである必要はなく、利害関係者の信頼を得てください。