Если я правильно понимаю SSL / TLS при проверке подлинности только на сервере, после подтверждения сервер отправляет клиенту открытый ключ и сертификат с цифровой подписью, подписанный ЦС. Если у клиента есть открытый ключ этого CA, он может расшифровать сертификат и установить доверительные отношения с сервером. Если он не доверяет ЦС, связь прекращается. В двухстороннем SSL, когда клиенту необходимо пройти аутентификацию обратно на сервер, после того, как клиент получит открытый ключ и сертификат с цифровой подписью, клиент отправит серверу свой открытый ключ и сертификат с цифровой подписью. Сервер проверит, есть ли у него открытый ключ для сертификата клиента, и если он есть, он сможет установить доверительные отношения с клиентом. Я настраиваю взаимную аутентификацию [2-сторонний ssl] на сервере weblogic [в данном случае клиент, вызывающий исходящий запрос к веб-службе], и третья сторона отправила мне сертификат с цифровой подписью и цепочку сертификатов. Зачем они мне нужны. Разве это не то, чем сервер отвечает после рукопожатия?
2-сторонняя конфигурация SSL / TLS
Ответы (1)
сервер отправляет клиенту свой открытый ключ и сертификат с цифровой подписью, подписанный центром сертификации.
Сертификат содержит открытый ключ. Ключ дополнительно не высылается.
Если у клиента есть открытый ключ этого ЦС, он может расшифровать сертификат.
Сертификат не зашифрован, он подписан ЦС. Таким образом, дешифрование не выполняется, но клиент может проверить эту подпись, если у клиента есть сертификат CA (и, следовательно, его открытый ключ). Но обычно сертификат не подписывается напрямую центром сертификации, которому доверяет браузер, но существуют промежуточные сертификаты. В этом случае сервер отправит не только сертификат сервера, но и все промежуточные сертификаты, необходимые для создания доверительная цепочка.
затем клиент отправит серверу свой открытый ключ и сертификат с цифровой подписью.
Опять же, открытый ключ является частью сертификата.
третья сторона прислала мне сертификат с цифровой подписью и цепочку сертификатов. Зачем они мне нужны.
Первый сертификат - это сертификат клиента. Сертификаты цепочки необходимы для построения цепочки доверия, поскольку сервер выполняет не доверять ЦС, выдавшей сертификат клиента, напрямую и поэтому ему нужны промежуточные сертификаты.