对于普通 TLS,客户端将检查我正在通信的服务器实际上是否位于与 CN 匹配的 FQDN 上,因此,如果证书用于不同的域,则 TLS 默认情况下不应工作,因为该证书不适用于该站点。
对于 mTLS,当服务器检查客户端证书时,它是否可以以某种方式检查客户端地址是否与 CN 匹配,或者只是检查证书与密钥是否匹配以及证书在客户端是否受信任?即,如果我使用互联网上任何计算机上的正确客户端密钥/证书,如果服务器配置为信任该证书,服务器是否应该连接,或者是否需要客户端以某种方式位于特定地址?
这取决于具体的用例。
在某些情况下,mTLS 用于服务器到服务器的通信,例如使用 SIP (VoIP)。在这些情况下,客户端证书通常应包含发送者的域,类似于服务器证书。继续以 SIP 为例:这里不同的系统也可以切换角色(即两个站点都可以发起呼叫),以前的客户端证书现在用作服务器证书。
在其他情况下,在 TLS 握手期间不会验证主题,但会从证书主题中提取用户身份并将其提供给应用程序。然后,应用程序可能会执行其他检查,例如仅允许来自主题中编码的特定组织的用户。因此,即使在 TLS 握手期间的证书验证中未使用该主题,该主题仍然是相关的。
| 归档时间: |
|
| 查看次数: |
3168 次 |
| 最近记录: |