验证x509客户端证书

Question

我正在使用spring安全性登录页面。该页面需要提供用户使用其证书而不是用户名和密码的选项。不过，我被困在以下情况：

假设您的浏览器中安装了XYZ公司签署的证书。现在服务器（信任的XYZ）想要验证证书......但问题是：

Q1。服务器“请求”浏览器如何提供“正确的证书”（假设您的浏览器中安装了多个证书）？ Q2302。是否可以在登录页面上有一个按钮，以便用户只有在点击该按钮时才能发送他的证书？

Q3。说服务器收到了你的证书，服务器可以简单地通过查看证书链（由XYZ公司签名）说“是的，你有证据表明你是谁”？

感谢，

从安全的新手:)

Answer 1

这是可能的。你所要做的就是设置一个需要客户端证书的SSL站点。浏览器支持这个开箱即用的功能，大多数都提供了一个内部证书存储，即通过操作系统显示一个用户证书存储。您应该咨询您的服务器框架文档，了解如何打开ssl连接上的客户端证书要求。

至于q2，您可以拥有两个网站，您的应用程序和您的身份验证提供程序。该应用程序显示按钮，这将重定向到需要客户端证书的身份验证提供程序。然后，auth提供者使用任何sso协议（oauth2，saml）将用户标识返回给应用程序。

至于证书验证，您可以验证链或在服务器端有用户名和证书缩略图之间的映射。