Início / computer / Perguntas / 1688418
Accepted
mshwf
Asked: 2021-11-20 02:49:07 +0800 CST

Quais são os critérios nos quais o Chrome mostra os certificados disponíveis para autenticação do cliente

  • 772

Quando um servidor remoto requer um certificado de cliente para autenticação, o navegador exibe uma caixa de diálogo para selecionar o certificado de:

insira a descrição da imagem aqui

ele mostra apenas um subconjunto de certificados, quero saber em quais critérios ele os busca, por exemplo, espero que esses certificados tenham chave privada associada para comprovar a propriedade do cliente. Mas o gerenciador de certificados do Chrome tem muito mais certificados do que o mostrado no pop-up, alguns dos quais têm chaves privadas associadas. também o navegador tem seu próprio armazenamento isolado, pois notei que alguns certificados precisam ser importados para o armazenamento do navegador, apesar de os certificados no armazenamento do navegador serem os mesmos do Windows.

google-chrome browser

2 respostas

  1. Best Answer

    Um certificado de cliente HTTPS sempre precisa ter uma chave privada correspondente, caso contrário, não poderá ser usado para autenticação de cliente HTTPS.

    No Windows (a captura de tela parece ter sido tirada no Windows), o Chrome usa o gerenciador de certificados do Windows. Os certificados para autenticação HTTPS são armazenados no armazenamento de certificados pessoais (seção "Pessoal" em certmgr.msc).

    Além disso, o servidor HTTPS ao qual você está tentando se conectar pode enviar em sua Certificate Requestmensagem uma lista de CAs que ele aceitará para autenticação de certificado de cliente:

    Citação de rfc5246

    certificate_authorities: Uma lista dos nomes distintos [X501] de certificate_authorities aceitáveis, representados no formato codificado por DER. Esses nomes distintos podem especificar um nome distinto desejado para uma autoridade de certificação raiz ou para uma autoridade de certificação subordinada; assim, esta mensagem pode ser usada para descrever raízes conhecidas, bem como um espaço de autorização desejado. Se a lista certificate_authorities estiver vazia, o cliente PODE enviar qualquer certificado do ClientCertificateType apropriado, a menos que haja algum arranjo externo em contrário.

    • 6

  2. Embora a maioria dos sites HTTPS se autentique no servidor usando um certificado enviado pelo site, o HTTPS também oferece suporte a uma autenticação bidirecional chamada autenticação mútua .

    Para solicitar autenticação mútua, os servidores enviam uma CertificateRequest mensagem ao cliente durante o handshake HTTPS, especificando um filtro de critérios que o navegador usará para encontrar um certificado de cliente que satisfaça a solicitação do servidor.

    Se o navegador encontrar mais de um certificado possível (certificados não expirados com a Client Authenticationfinalidade definida e uma chave privada disponível) que correspondam aos critérios de filtragem fornecidos pelo servidor, ele solicitará que o usuário selecione um. Isso geralmente é uma ocorrência bastante rara (pelo menos para mim).

    O certificado selecionado será enviado ao servidor pela seguinte Certificateresposta do navegador.

    • 4

relate perguntas