Autenticazione del client Tomcat

Naviga le tue risposte
0

Voglio assicurarmi che la mia webapp sia protetta:

Ho un server tomcat e ho definito il connettore per usare clientAuth="true". Nel mio negozio fiduciario c'è solo il certificato della mia CA (autofirmato).

Sul client: ha installato un certificato emesso dalla CA.

Come ho avvertito in una domanda precedente che ho fatto, Voglio assicurarmi che:

  1. Il server tomcat - ottiene il certificato del client - si assicura che sia firmato dalla CA e quindi - autentica il client utilizzando la chiave pubblica nel certificato del client - per assicurarsi che il client possa decodificare realmente i dati.

e non:

  1. Il server tomcat - ottiene il certificato del client - si assicura che sia firmato dalla CA e quindi avvia la comunicazione senza verificare che il mittente del certificato sia realmente il proprietario delle chiavi private ad esso associate

Quindi - l'opzione 1 o 2 è vera?

Grazie

    
posta Yoav R. 05.05.2015 - 19:15
fonte

1 risposta

1

Come parte dell'handshake per l'autenticazione reciproca SSL, sia il server che il client devono dimostrare di possedere la chiave privata corrispondente al loro certificato. In caso contrario, l'handshake SSL avrà esito negativo. Penso che sia l'opzione (1) della tua domanda.

    
risposta data 05.05.2015 - 21:37
fonte

Leggi altre domande sui tag

Come ottenere il mio esponente di chiave privata GNUPG Elgamal? Differenza tra impatto delle minacce e impatto aziendale