Autenticación del cliente Tomcat

0

Quiero asegurarme de que mi aplicación web esté protegida:

Tengo un servidor Tomcat y definí el conector para usar clientAuth="true". En mi almacén de confianza solo hay el certificado de mi CA (autofirmado).

En el cliente: instalé un certificado emitido por la CA.

Tal como me avisaron en una pregunta anterior que hice, Quiero asegurarme de que:

  1. El servidor Tomcat obtiene el certificado del cliente, se asegura de que esté firmado por la CA y luego autentica al cliente usando la clave pública en el certificado del cliente para asegurarse de que el cliente realmente pueda descifrar los datos. / li>

y no:

  1. El servidor tomcat - obtiene el certificado del cliente - se asegura de que esté firmado por la CA y luego comience la comunicación sin verificar que el remitente del certificado sea realmente el propietario de las claves privadas asociadas con él

Entonces, ¿la opción 1 o 2 es verdadera?

Gracias

    
pregunta Yoav R. 05.05.2015 - 19:15
fuente

1 respuesta

1

Como parte del protocolo de enlace para la autenticación mutua SSL, tanto el servidor como el cliente deben probar que tienen la clave privada correspondiente a su certificado. Si ese no es el caso, el apretón de manos SSL fallará. Creo que esa es la opción (1) de tu pregunta.

    
respondido por el Neil Smithline 05.05.2015 - 21:37
fuente

Lea otras preguntas en las etiquetas