TLS客户端是否需要在信任存储中具有中间CA?
TLS客户端不需要在信任存储中具有中间CA。
TLS(Transport Layer Security)是一种加密协议,用于在网络通信中保护数据的安全性和完整性。在TLS握手过程中,服务器会提供其证书,客户端通过验证该证书的有效性来确保与服务器的通信是安全的。
证书是由数字证书颁发机构(CA)签发的,用于验证服务器的身份。中间CA是指在证书链中位于服务器证书和根证书之间的CA。客户端在验证服务器证书时,会检查证书链中的每个CA是否受信任,以确保服务器证书的合法性。
然而,TLS客户端不需要在信任存储中具有中间CA。客户端只需要验证服务器证书是否由受信任的根证书签发,并且证书链的完整性是否正确。客户端的信任存储通常包含一组根证书,这些根证书是由操作系统或浏览器厂商预先安装的,用于验证服务器证书的合法性。
客户端验证服务器证书的过程如下:
- 客户端收到服务器证书。
- 客户端提取证书链中的根证书。
- 客户端检查根证书是否存在于信任存储中。
- 如果根证书存在于信任存储中,客户端信任服务器证书。
- 如果根证书不存在于信任存储中,客户端会发出警告或拒绝与服务器建立连接。
总结起来,TLS客户端只需要在信任存储中具有根证书,用于验证服务器证书的合法性,而不需要中间CA。
相关·内容
情境:我有一个具有共享根CA和多个中间CA的内部PKI。我希望任何中间CA发布的任何东西都能相互信任。是否有一种大多数程序/语言都会满意的方法?所以如果我们有节目:共享根=>第二int信任链的闪光清洗
我绝对需要这两个人之间的相互信任,我唯一的选择是把root=>first和root=>sec
浏览 0提问于2021-01-10得票数 0
当TLS握手发生时,服务器在他的ServerHello消息中发送他的数字证书。该数字证书由一个名为A的中间CA进行数字签名,CA A也有一个由名为root的CA签名的证书,该CA的证书是自签名的,从而形成了一个证书链。然后,客户端必须建立信任,验证服务器证书。为了执行验证,客户端必须验证整个链是正确的吗?客户端必须在信任存储中拥有所有证书(A和Root),否则<e
浏览 28提问于2019-02-10得票数 2
1回答
这可能看起来很琐碎,但我对tls并不在行。root CAissuing CAserver certificate # whichis signed by the above "issuing CA"
但是,如果在我的vpn客户端上删除了<em
浏览 0提问于2023-02-11得票数 0
回答已采纳
2回答
看起来,Java客户端用来用TLS连接到他们的服务器,对于正确的端点有一个Nginx服务器规则,还有一个与它相关的证书和私钥。但是,开发人员声称,他们不需要在运行Java客户端的机器上存在公钥。到目前为止,我了解到Java将这些受信任的证书存储在jre/lib/security/cacerts文件中。在那里安装了一个自签名证书之后,我能够让Java客户端通过加密连接到服务器。每次都必须手动安装到cacerts中</
浏览 0提问于2016-11-09得票数 1
回答已采纳
1回答
我只是在一台服务器上为slapd设置了TLS,使用了一个简单的PKI,如下所示:为了从客户端使用TLS连接ldap服务器,我像我找到的许多教程一样,向受信任的证书添加了根CA证书和ldap证书。我能够通过TLS连接到ldap服务器。
然而,为什么不需要中级CA证书呢?它需要由ldap服务器和ldap证书一起发送吗?我只在slapd配置中配置了这些
浏览 0提问于2018-07-24得票数 2
回答已采纳
1回答
然而,当我试图在我的VPS上运行程序时,我会在我的syslog中得到以下消息。smtpd[24656]: SSL_accept error from localhost[::1]: -1
globalfun postfix/smtps/smtpd[24656]: warning TLSlibrary problem: error 14094418:SSL routines:ssl3_resl3_read_bytes: tlsv1 alert unknown ca:..
浏览 3提问于2021-08-07得票数 0
回答已采纳
1回答
该体系结构由根CA、两个发布(中间CA)和客户端组成。实现客户端证书和服务器证书是身份验证所必需的。一切都很好,但我对集成第三台设备有一些疑问。
我有一个防火墙,它将查找客户端证书,以验证用户身份。客户端已经将根CA证书上载到他们的信任存储区(即发出颁发客户端证书的中间CA的根CA )。为了让防火墙对用户进行身份验证,我认为还需要将根CA
浏览 0提问于2018-08-24得票数 0
回答已采纳
1回答
让我们假设系统中存在以下内容: | / \ /|\/|\最顶端的CA是信任锚点。CA_MID是一个只向其他CA颁发证书的中间CA。CA_INT1和CA_INT2是向
浏览 0提问于2017-10-17得票数 0
回答已采纳
2回答
我们通过com.intersys.jdbc.cachedriver使用JDBC在Intersystems中运行存储过程,并在Java中获得结果。但是,还有其他客户端通过telnet使用终端直接连接到缓存。我们必须锁定Cache的telnet端口,这样只有通过SSL的telnet才有可能。但是,这里的Cache专家说,Cache中的一个端口锁定了所有端口,所以Java到Cache连接也必须使用SSL。我模糊地理解一些JDBC驱动程序支持SSL,但我看不到Cache one支持SSL。
浏览 9提问于2011-07-20得票数 1
回答已采纳
我需要的:,一个安全的TLS/SSL之间的通信服务器,一个客户端通过局域网。身份验证必须是单向的-身份验证:我已经做了什么:,我创建了一个服务器和一个客户端,可以通过Wi网络进行通信。我已经实现了SSL套接字,但是身份验证缺失了.所以这是行不通的:)
CA是强制性的还是我可以“模仿”它?客户端如何验证此证书?
浏览 2提问于2015-03-12得票数 0
回答已采纳
我们在相应的OS信任存储中添加了两个CA证书--一个根CA和一个相关联的中间CA (/etc/ssl/certs,在我们的SuSE 11上),因为它们不是由OS‘’es信任存储提供的(而且可能永远不会,因为tey不在回购库中)。最近,这两个证书在自动更新之后消失了,明显的影响是客户端无法再通过tls连接。事后看来,我们不确定是否进行了
浏览 0提问于2018-02-21得票数 0
1回答
我网站上的证书层次结构-根(2040年到期)R-中间(2036年到期)I- xxxx.com (2天后到期)F2)这是一个不同的场景。我已经将新创建的xxxx.com证书(它具有相同的根证书和中间</em
浏览 7提问于2014-08-21得票数 0
1回答
A B C D E
当E(或C)正在验证D的证书时,他也需要信任B。是否有办法避免将B的证书显式添加到E的CA存储区?使用openssl,是否可以从客户端或其他源(可能是D证书中的issuerDistributionPoint字段)自动检索B的证书?
浏览 3提问于2016-04-08得票数 0
回答已采纳
我第一次遇到这样的场景:
我的服务器证书由中间-CA1签名,而后者又由ROOT-CA1签名。ROOT-CA1在我的浏览器/操作系统的信任存储中。也就是说,ROOT-CA1也是由ROOT-CA2签名的,它也在我的浏览器/操作系统的信任存储中。这意味着,在一个信任路径上,根-CA是根-CA(因此不需要由服务器发送
浏览 0提问于2020-04-09得票数 0
我有一个使用在C#中实现的web服务器,有一个Go客户端与这个服务器进行对话。作为需求的一部分,我需要验证从服务器上的客户端发送的证书,并从客户机发送证书链。是否有方法使用HttpListener作为服务器接收整个链。编辑: My client证书是一个链(client cert +中间CA +根CA<
浏览 8提问于2021-11-25得票数 0
回答已采纳
我已经为我的API网关设置了相互TLS身份验证。然后,我将客户端证书放在信任存储中。该文件包含客户端证书、中间证书和根证书(私有CA)。使用浏览器(Windows上的Chrome)访问API网关时,浏览器要求我提供客户端证书。我选择的证书与我放在信任存储区中的证书相同。API网关在浏览器中报告以下内容:
{“message”:“无效的客户端证书链,传递了多个<em
浏览 12提问于2020-10-04得票数 0
2回答
我的任务是在Java上下文中实现一个双向TLS。我找到了一个例子(),并且能够自己把它作为一个演示放在一起。就像这个例子一样,我可以在网上找到的所有其他例子都是使用自签名证书。但现在问题来了,如果我们使用第三方CA签署的证书.它将如何影响这个演示?另外,请考虑以下两种情况:
它的点对点关系,不仅客户端需要提交由
浏览 0提问于2018-07-11得票数 2
这两个集合具有相同的根证书,但具有不同的中间签名者。根CA ->中间CA2服务器获取根CA并将其添加到受信任的证书存储区。CA并将其添加到受信任的证书存储区。
浏览 0提问于2020-04-29得票数 0
3回答
在我的网络中,有一个只有一个CA发出所有x509证书的PKI。因此,在我的网络上,所有服务器和客户端都拥有来自我的CA的证书,该证书与私钥一起存储在相应的密钥存储库中。在进行TLS相互身份验证时,每个服务器和客户端都有一个链文件中的CA证书,用于验证对等x509证书的信任链。都很好。假设我现在的网络上有两个服务器和两个客户端,我希望确保Client_A和Serve
浏览 3提问于2017-10-06得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
