我们正在尝试为Cisco ASA上的VPN用户设置客户端证书身份validation。 正在使用用户证书存储区来完成身份validation。 我们遇到的问题是用户没有访问私钥的权限,从而导致证书validation失败。 但我的问题是,为什么我们甚至需要访问私钥来完成身份validation过程。
公钥就像名字所暗示的那样是公开的。 因此,不能单独用于授权,因为大家都知道。 但是只有私钥的所有者才能签署一些随机的挑战,然后这个签名就可以被每个有权访问公钥的人证实 – 在这种情况下,就是把这个挑战发送给客户端的服务器。 因此,客户端有权访问私钥是非常重要的。 不仅客户必须能够访问私钥,而且它也应该是唯一可以访问的人(因此:“私钥”),因为知道私钥的每个人都可以声明客户的身份。
欲了解更多信息,请参阅Public Key Cryptopgraphy的基础知识。