Ssl 如何以及何时在CFHTTP标记中使用ClientCert?
ColdFusion文档在如何以及何时使用它方面很薄弱。它有什么作用?如何使用它 更新:它似乎已损坏,如中所述 CFHTTP处理SSLv3会话的问题Ssl 如何以及何时在CFHTTP标记中使用ClientCert?,ssl,coldfusion,https,security,Ssl,Coldfusion,Https,Security,ColdFusion文档在如何以及何时使用它方面很薄弱。它有什么作用?如何使用它 更新:它似乎已损坏,如中所述 CFHTTP处理SSLv3会话的问题 如果目标服务器使用该机制进行身份验证,则使用客户端证书。您需要从服务提供商处获得特定的客户端证书才能连接到服务。我相信在过去的几天里,它已经被用于一些网上银行应用程序。不确定今天it的使用情形是什么,可能是分布式企业网络,您需要以高度安全的方式通过internet连接到企业服务器 客户端证书有点麻烦,因为使用它会带来开销 正如Jura所说,您需要一
如果目标服务器使用该机制进行身份验证,则使用客户端证书。您需要从服务提供商处获得特定的客户端证书才能连接到服务。我相信在过去的几天里,它已经被用于一些网上银行应用程序。不确定今天it的使用情形是什么,可能是分布式企业网络,您需要以高度安全的方式通过internet连接到企业服务器 客户端证书有点麻烦,因为使用它会带来开销 正如Jura所说,您需要一个使用客户端证书作为身份验证机制的目标服务器。此服务器端部件不需要基于CF。web服务器(例如IIS)将被设置为需要这样做。这是SSL/TLS协议的一部分,不特定于应用程序级别的任何语言 如果请求资源的服务器需要客户端证书,则可以使用此选项。该服务器的管理员需要提前向您提供客户端证书和私钥。如用户349433所述,这通常是一个PKCS12(.p12或.pfx)文件 服务器将验证客户端证书是否“受信任”,如果是,它将允许TLS/SSL握手继续进行,CF将能够在其上写入HTTP请求 今天的用例是防止中间人攻击,但由于证书分发、重新登录等涉及的开销,它并不常见 如果您想了解更多信息,请查看TLS 1.1规范:
http://tools.ietf.org/html/rfc4346#section-7.4.6有关于如何使用它的指南/教程吗?我很感兴趣。(假设生产者和消费者都是CF9)@Henry您将PKCS12格式的证书作为文件存储在服务器上,只需将
/path/to/cert.p12
作为CertFile
参数传递即可。验证证书(即,确保它是由受信任的证书颁发机构颁发的)通常在ColdFusion范围之外执行(由IIS或Apache)。您可以通过添加到CGI
范围访问客户端证书信息,并且通常证书的主题DN标识客户端作为哪个用户帐户进行身份验证。开销有那么大吗?如果是的话,今天常用什么?是的。例如,安全分发客户端证书和私钥的好方法是什么?如果有人能够截获私钥,那么系统就会崩溃。如果每个用户都有自己的证书/密钥,那么这可能对每个用户都是唯一的。