我有一个部署,其中有一台服务器和 N 个客户端。不可能为所有客户端生成不同的证书。 所以我正在考虑创建单个服务器证书和单个客户端证书来进行基于证书的身份验证。
使用单个客户端证书会出现主机名不匹配的问题。
这种方法是否足够好,还是我需要考虑其他事情?
最佳答案
主机名不匹配可以报也可以不报,这取决于验证机制。因此,如果您实现自定义验证机制,这不是问题。
然而,这种方案并不安全——随着客户端数量的增长,私钥泄露的概率几乎呈指数增长,迅速达到 1(泄露是不可避免的)。
因此您需要重新考虑身份验证方法。
关于authentication - 使用单个证书对多个客户端进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20064331/