Quiero asegurarme de que mi aplicación web esté protegida:
Tengo un servidor Tomcat y definí el conector para usar clientAuth="true". En mi almacén de confianza solo hay el certificado de mi CA (autofirmado).
En el cliente: instalé un certificado emitido por la CA.
Tal como me avisaron en una pregunta anterior que hice, Quiero asegurarme de que:
- El servidor Tomcat obtiene el certificado del cliente, se asegura de que esté firmado por la CA y luego autentica al cliente usando la clave pública en el certificado del cliente para asegurarse de que el cliente realmente pueda descifrar los datos. / li>
y no:
- El servidor tomcat - obtiene el certificado del cliente - se asegura de que esté firmado por la CA y luego comience la comunicación sin verificar que el remitente del certificado sea realmente el propietario de las claves privadas asociadas con él
Entonces, ¿la opción 1 o 2 es verdadera?
Gracias