SSL客戶端證書需要特殊內容？

Question

我有一臺帶有SSL證書的服務器，並且客戶端使用SSL進行驗證，所有服務器都由相同的CA簽名，並且服務器和客戶端上的CA作爲root權限受信任。

但是，我所嘗試過的客戶端（iphone，chrome，explorer）都不會在服務器請求時發送客戶端證書，即使它們都驗證服務器證書正確。他們都聲稱沒有證書。

當我看到在證書/資料/存儲客戶端證書，他們都宣稱已成功驗證和合法的，所有的證書驗證精細用openssl等

是否SSL客戶端證書，需要一個特定的名稱或其他細節，以便客戶端瀏覽器知道何時使用它？有點像服務器證書如何將確切的域名指定爲證書上的名稱？

服務器是apache2.2服務器，但我不認爲它是服務器端的問題。

Answer 1

1. 客戶端證書必須具有適當的密鑰用法和擴展密鑰用法擴展集。什麼是「適當的」在你的情況下，我不確定，但密鑰用法中的變體數量很少，你可以自己檢查各種值。
2. 你當然還沒有忘記在客戶端應該可以訪問的私鑰，對嗎？

Answer 2

有密鑰使用的摘要和擴展密鑰用法擴展本文檔中使用：

• http://www.mozilla.org/projects/security/pki/nss/tech-notes/tn3.html

（雖然它是NSS，它應該適用於其他產品）

您還可以檢查服務器發送的接受的CA列表是否配置正確。例如，這可以使用openssl s_client -connect the.host.name:443來看出。