Ho un'applicazione privata - che ha un server e molti client e voglio usare un'autenticazione a due vie (autenticazione client AKA) Utilizzo Tomcat server e java keytool per creare certificati TLS.
Se creo un'autorità di certificazione e creo su certificato (firmato dalla CA) per il server, e pre-installalo per tutti i client, allora possono autenticare il server (anche se in realtà non dovevo firmarlo con la CA, ma comunque) /
Se creo un certificato client, lo firmo con la CA e poi lo installo sul client:
-
Il server deve contenere il certificato client (e la CA) o solo la CA nel truststore? E con questo intendo: c'è qualche posto in cui ho bisogno di "Ricordare" il certificato del cliente e controllare un file esistente (che ovviamente corrisponderà uno a uno con il certificato inviato dal client)
-
Oppure basta controllare la firma della CA sul certificato, causando che nel mio sistema esiste solo una copia del certificato client, e crittograficamente - è sicuro che se la firma del CA esiste (e valida) sul certificato che un cliente mi ha inviato - è il client