我有一个客户端实例在码头服务器上运行。我加载了自己的 CA 证书,并在服务器和客户端上工作。当我在握手期间发送证书请求时,我必须为客户端证书指定完整的颁发者 DN,否则客户端无法找到所需的证书。但是我只想在请求中使用 CA 的 CN。
如果我发送
*** CertificateRequest
Cert Types: ECDSA
Supported Signature Algorithms: SHA256withECDSA
Cert Authorities:
<C=IT, O=ORGNAME, OU=OUNAME, CN=TEST_CA>
服务器发送正确的证书并且身份验证成功,但是,我只想指定我想要的 CA 的 CN。
*** CertificateRequest
Cert Types: ECDSA
Supported Signature Algorithms: SHA256withECDSA
Cert Authorities:
<CN=TEST_CA>
使用上述请求,服务器无法找到有效的客户端证书,并继续发送空证书链,身份验证失败
在深入研究TLS RFC 5246之后,规范说您需要提供可分辨名称,而我试图提供相对可分辨名称(即仅其中一个字段(DN vs RDN
根据 RFC,似乎我想做的事情是不可能的。希望它能帮助遇到这种情况的人。