On 2007.10.08 at 19:31:17 +0400, Alexey Pechnikov wrote: > > Это еще зачем? Клиентский сертификат должен быть на клиенте. > > А на сервере - только сертификат самого сервера, и сертификат CA, на > > котором проверяются сертификаты клиентов. Он, естественно, должен быть > > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной > > машине. > > Публичный ключ клиента должен быть на сервере, иначе как проверить клиента?
Не должен. На эту тему есть PKI - Public Key Infrastructure. Клиент сам пришлет свой сертификат при установлении соединения. Серверу нужно только иметь способ удостовериться, что этот сертификат действительно принадлежит именно тому, кто в нем прописан в качестве Common Name. А вот это-то как раз и удостоверяет подпись CA под сертификатом. Соответственно, верить сертификату нужно ровно настолько, насколько можно верить данному CA. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
