根据我对SSLauthentication的了解,我信任的一方的FQDN必须匹配通用名称或主题备用名称之一。 这是否也适用于客户端证书? 那么当客户端没有固定的IP地址或域名时,客户端身份validationscheme会发生什么情况?
authentication方决定在远端凭证上执行哪些检查,总是取决于什么是满意的。 所以我们看到,网页浏览器(HTTPS)对于过时的证书来说可能相当单一,但邮件服务器(SMTP STARTTLS)基本上不关心谁签名他们接受的证书。
这使得很难准确地回答你的问题。 但一般来说 ,服务器将期望看到由专门指定的CA根签署的客户端证书。 只要它在证书上看到正确的签名,embedded的细节就会比较不重要。