Security 如何使用没有密码的证书

我有一个应用程序，它使用2级数字证书下载一些文件。我知道这不是一个好主意，但应用程序会自动处理密码输入

现在，一个新客户想要这个应用程序，但他们不想给我密码，因为他们担心我可以用他们的证书+密码做任何事情

我有没有办法：

• 使用证书下载文件而无需知道密码

或

• 获取第二个证书，该证书只允许我从某个URL下载文件

任何关于这些主题的帮助都将不胜感激

使用证书下载文件而无需知道密码

不可能。密码用于加密私钥材料。因为您不知道密码，所以您不知道私钥，并且无法使用证书进行身份验证

然而，请注意，密码的熵比密钥小得多。如果你的客户没有想到一个好的密码，那么用蛮力猜出来就相对容易了。声称你每天可以做大约3000万次密码尝试。然后，假设密码的熵为28字节（即2^28个组合），您可以在一两周内猜出密码

获取第二个证书，该证书只允许我从某个URL下载文件

这部分问题取决于服务器接受什么证书

使用证书下载文件而无需知道密码

不可能。密码用于加密私钥材料。因为您不知道密码，所以您不知道私钥，并且无法使用证书进行身份验证

然而，请注意，密码的熵比密钥小得多。如果你的客户没有想到一个好的密码，那么用蛮力猜出来就相对容易了。声称你每天可以做大约3000万次密码尝试。然后，假设密码的熵为28字节（即2^28个组合），您可以在一两周内猜出密码

获取第二个证书，该证书只允许我从某个URL下载文件

---

问题的这一部分取决于服务器接受哪些证书…

您能给我一些关于在哪里查找证书类型的建议吗？如果第一个选项不可能，我想尝试为特定URL生成一个证书…它的工作方式是另一种：服务器管理员决定哪些证书将被授权。问他们。你能告诉我在哪里可以找到证书类型吗？如果第一个选项不可能，我想尝试为特定URL生成一个证书…它的工作方式是另一种：服务器管理员决定哪些证书将被授权。问问他们。