Ssl
無法訪問私鑰的客戶端證書身份驗證
我們正在嘗試為 Cisco ASA 上的 VPN 使用者設置客戶端證書身份驗證。正在使用使用者證書儲存來完成身份驗證。我們遇到的問題是使用者無權訪問私鑰,這反過來會導致證書驗證失敗。但我的問題是,為什麼我們甚至需要訪問私鑰來完成身份驗證過程。
公鑰是 - 就像它的名字所暗示的 - 公開的。因此,它不能單獨用於授權,因為每個人都知道它。但是只有私鑰的所有者能夠簽署一些隨機挑戰,然後每個有權訪問公鑰的人都可以驗證這個簽名——在這種情況下,伺服器已經向客戶端發送了這個挑戰。因此,客戶端必須有權訪問私鑰。不僅客戶必須有權訪問私鑰,而且它也應該是唯一有權訪問的人(因此:“私鑰”),因為知道私鑰的每個人都可以聲明客戶身份。
有關詳細資訊,請參閱公鑰密碼學的基礎知識。