0
在浏览器中或通过某种工具查看在请求中发送给服务器的SSL证书(客户端身份验证)时有没有办法?验证什么客户端身份验证证书发送到服务器?
A
回答
1
我会从Burp Suite(免费版)开始。这对于很多事情来说是个不错的代理。
1
如果您的服务器在初始握手期间协商客户端证书(无需重新协商),您应该能够使用Wireshark查看它:您应该看到来自客户端(不是来自服务器的消息)的Certificate消息,在服务器发送的Certificate Request消息之后。
如果使用重新协商,这将更加复杂。
SSL MITM工具(如Fiddler)不会有任何帮助,因为他们执行自己的握手。通过让客户信任他们的虚假服务器证书(用户通常可以在客户端上设置的信任设置),可以配置这些工具来欺骗客户相信他们是真正的服务器。但是,这在使用客户端证书时不起作用,除非执行握手的工具(本例中为SSL MITM工具)正在处理客户端证书本身。否则,结束时的验证消息(服务器用于验证客户端是否拥有客户端证书的私钥)将会失败。其中一些工具确实可以配置客户端证书,但您需要使用相应的私钥来设置它们:在这种情况下,您将知道使用了哪个客户端证书。
另一种检查方法是检查浏览器本身的功能。如何做到这一点可能取决于浏览器。使用Firefox时,环境变量如SSLDEBUG可能会引起您的兴趣。
相关问题
- 1. WCF证书身份验证仅服务(无客户端证书)
- 2. 服务器客户端身份验证
- 3. 具有相互身份验证的服务客户端(双向客户端证书身份验证)
- 4. 覆盖客户端证书身份验证验证
- 5. WCF客户端证书验证+ Windows身份验证
- 6. Web服务客户端身份验证
- 7. 客户端身份验证 - 处理客户端证书
- 8. Azure中的客户端证书身份验证和CA证书
- 9. 使用BASIC身份验证和客户端证书身份验证
- 10. 客户端/服务器证书身份验证:IIS服务器端,黑莓本机浏览器客户端
- 11. 客户端身份验证
- 12. 使用服务器端证书进行客户端身份验证
- 13. 由AWS Apigateway发布的证书的客户端身份验证
- 14. iOS ssl证书验证 - 无法验证服务器身份
- 15. 验证客户端证书
- 16. 客户端和服务器使用相同的证书进行身份验证
- 17. 如何实现客户端证书和服务器身份验证的iOS
- 18. 使用客户端证书身份验证连接到Web服务
- 19. 客户端身份验证或相互身份验证
- 20. Jetty Truststore身份验证与SSL客户端身份验证
- 21. Webapi身份验证,仅使用客户端身份验证
- 22. 客户端证书身份验证和用户注册
- 23. 服务器端的客户端证书验证DEPTH_ZERO_SELF_SIGNED_CERT错误
- 24. 检查客户端的身份验证,谁发送请求到服务器,nodejs
- 25. 服务器端WCF客户端身份验证
- 26. 执行Facebook身份验证:客户端和服务器端
- 27. Apache HTTPClient在相互身份验证期间不发送客户端证书
- 28. 身份验证服务器
- 29. GAE通过证书Python2.7客户端身份验证
- 30. 配置IIS客户端证书映射身份验证