Ssl 如何以及何时在CFHTTP标记中使用ClientCert？

ColdFusion文档在如何以及何时使用它方面很薄弱。它有什么作用？如何使用它

更新：它似乎已损坏，如中所述

CFHTTP处理SSLv3会话的问题

---

如果目标服务器使用该机制进行身份验证，则使用客户端证书。您需要从服务提供商处获得特定的客户端证书才能连接到服务。我相信在过去的几天里，它已经被用于一些网上银行应用程序。不确定今天it的使用情形是什么，可能是分布式企业网络，您需要以高度安全的方式通过internet连接到企业服务器

客户端证书有点麻烦，因为使用它会带来开销

正如Jura所说，您需要一个使用客户端证书作为身份验证机制的目标服务器。此服务器端部件不需要基于CF。web服务器（例如IIS）将被设置为需要这样做。这是SSL/TLS协议的一部分，不特定于应用程序级别的任何语言

如果请求资源的服务器需要客户端证书，则可以使用此选项。该服务器的管理员需要提前向您提供客户端证书和私钥。如用户349433所述，这通常是一个PKCS12（.p12或.pfx）文件

服务器将验证客户端证书是否“受信任”，如果是，它将允许TLS/SSL握手继续进行，CF将能够在其上写入HTTP请求

今天的用例是防止中间人攻击，但由于证书分发、重新登录等涉及的开销，它并不常见

如果您想了解更多信息，请查看TLS 1.1规范：

---

http://tools.ietf.org/html/rfc4346#section-7.4.6

有关于如何使用它的指南/教程吗？我很感兴趣。（假设生产者和消费者都是CF9）@Henry您将PKCS12格式的证书作为文件存储在服务器上，只需将

/path/to/cert.p12

作为

CertFile

参数传递即可。验证证书（即，确保它是由受信任的证书颁发机构颁发的）通常在ColdFusion范围之外执行（由IIS或Apache）。您可以通过添加到

CGI

范围访问客户端证书信息，并且通常证书的主题DN标识客户端作为哪个用户帐户进行身份验证。开销有那么大吗？如果是的话，今天常用什么？是的。例如，安全分发客户端证书和私钥的好方法是什么？如果有人能够截获私钥，那么系统就会崩溃。如果每个用户都有自己的证书/密钥，那么这可能对每个用户都是唯一的。