https를 사용하여 은행 계좌에 로그인 할 때 로그인 정보를 입력하기 전에 서버 측 SSL 인증 일뿐입니다. 내 브라우저는 SSL 세션 중에 서버의 인증서 정보를 기반으로 서버 인증을 수행합니다. 내 브라우저에 신뢰할 수있는 인증서로 서버 인증서를 수동으로 가져올 필요가 없었습니다. SSL 교환 중에 런타임에 발생합니다.PKI 인증서 가져 오기
한편 설치 안내서를 살펴볼 때 keytool을 사용하여 수동으로 인증서를 가져와야하는 응용 프로그램도 보았습니다.
질문 : SSL 세션이 시작될 때 인증서 정보가 교환되면 각면에 다른 쪽을 인증하는 데 필요한 충분한 정보가 있습니다. 왜 일부 앱에서는 클라이언트와 서버간에 서로 certs를 수동으로 가져와야합니다. 양쪽 또는 양쪽 인증이 될 수 있습니다.
추가 정보 아래의 응답을 기반으로합니다. 클라이언트 측 SSL 인증이 설정된 클라이언트 - 서버 모델을 기반으로 상용 소프트웨어를 설치하는 시나리오를 언급했습니다. 내 컴퓨터에 A 서버를 설치하고 사설 네트워크에있는 다른 컴퓨터에 2 클라이언트를 설치했습니다. 설치하는 동안 서버는 자체 서명 된 인증서를 로컬에서 생성합니다. 그래서 2 명의 클라이언트를해라. 설치가 완료되면 클라이언트의 인증서를 서버 컴퓨터에 복사하고 수동으로 신뢰할 수있는 인증서로 가져 오도록 요청 받았습니다. 또한 클라이언트 컴퓨터에 서버 인증서를 복사하고 신뢰할 수있는 저장소로 가져 오기 작업을 수행하십시오. 그들은 java keytool 위에 wrapper 도구를 제공하여 cert 가져 오기를 수행했습니다. 이유가 여기이 가져 오기가 필요한 이유는 무엇입니까? 클라이언트와 서버는 SSL 핸드 셰이크 중에 인증서 정보를 교환하고 인증을 수행합니다. 다시 말하지만, 여기에는 자체 서명 된 인증서와 여기에 관련된 CA가 있습니다.
충분합니다. 하지만 내가 설명한 시나리오에서는 SSL 클라이언트 인증 만 켜져 있습니다. 서버 인증서를 클라이언트로 가져올 필요가 있습니까? 클라이언트 인증서를 서버로 가져 오기 만하면됩니다. – tushima
@tushima SSL에서는 서버 인증서가 항상 필요하며 유효성이 검사됩니다. 클라이언트 인증서 만 선택적입니다. 서버 인증서의 유효성을 검사하지 않으면 중간에있는 사람이 서버를 가장 할 수 있습니다. –
환상적. 저에게 SSL 기본을 상기시켜 주셔서 감사합니다! – tushima