3
我們有一個專有的框架,現在我們想要集成客戶端SSL證書的認證。 將客戶端證書映射到專有用戶帳戶(例如數據庫中的簡單用戶表)的最佳做法是什麼?將客戶端證書映射到用戶帳戶的最佳做法是什麼?
- 保存證書的公鑰呢?
- 保存發行者和序列號?
還是有其他的可能性?
A
回答
2
您是否正在頒發證書(並且有可能設置證書的某些字段)?這些證書是否必須與更大規模的PKI環境(如電子郵件簽名(我的意思是說你有X.509互操作性惡夢))集成?
如果你可以爲用戶創建一個證書頒發機構,並沒有在意國外的系統,你可以給每個客戶端證書的通用名稱屬性直接映射到您的用戶帳戶。因此,您可以檢查客戶端證書是否由用戶證書頒發機構簽署,然後匹配證書CN屬性。
當只有簽名證書的有限的和衆所周知的號碼,然後我推薦給存儲這個證書,並檢查客戶端證書,並接受他們,只有當他們被簽名證書的一個簽名。然後,您使用頒發CA爲每個用戶唯一設置的證書字段(在用戶證書更新時保持不變,許多合作讓用戶證書在約一年後超時)將該字段與您的用戶數據庫連接起來。
如果您不能頒發證書,您可以將證書的散列存儲在數據庫中,但是這樣做的缺點是當證書用完時您需要更新數據庫。散列對於每個證書都是唯一的,而證書的大部分字段都可能被僞造。
您可能還想檢查簽名證書頒發機構的證書吊銷列表,因此沒有用戶可以使用被盜證書訪問您的服務。
0
我們存儲客戶端證書的序列號和頒發者DN,並與之匹配。根據http://www.tectia.com/manuals/server-admin/60/userauth-cert.html,這足以唯一標識證書。
相關問題
- 1. IIS 6:客戶端證書已更新1:1映射客戶端證書
- 2. 將數據發送到客戶端的最佳做法是什麼:POCO或DTO?
- 3. 驗證客戶端證書的最佳方法
- 4. 客戶端證書
- 5. 客戶端證書
- 6. IIS 7如何使用數據庫中的用戶帳戶映射客戶端證書?
- 7. 的IIS應用程序池帳戶安裝客戶端證書
- 8. 在客戶端映射webservice端點的最佳實踐
- 9. 配置IIS客戶端證書映射身份驗證
- 10. 將客戶端證書添加到standardEndpoint?
- 11. 驗證客戶端證書
- 12. 客戶端證書認證
- 13. 映射帳戶
- 14. 實現用戶帳戶激活的最佳方式是什麼?
- 15. PayPal - 帳戶結單的最佳做法
- 16. 對於eclipse用戶,intellij的最佳鍵盤映射是什麼
- 17. 確定ASP.net網站客戶端的最佳方法是什麼?
- 18. 什麼是檢查WCF客戶端連接的最佳方法
- 19. 客戶端的SSL證書
- 20. JxBrowser的客戶端證書
- 21. 客戶端URL映射
- 22. 什麼是將用戶映射到連接ID的最佳方式
- 23. IIS客戶端證書映射規則不受尊重
- 24. SignalR和客戶端證書
- 25. Android客戶端證書403
- 26. 鏈式客戶端證書
- 27. tls客戶端證書
- 28. Android和客戶端證書
- 29. iPhone客戶端證書
- 30. 客戶端證書和FireFox