将客户端证书映射到用户帐户的最佳实践是什么？

Question

我们有一个专有的框架，现在我们希望通过客户端 ssl 证书集成身份验证。 将客户端证书映射到专有用户帐户（例如数据库中的简单用户表）的最佳实践是什么？

• 保存到证书的公钥？
• 保存发行者和序列号？

或者还有其他的可能性吗？

Answer 1

您是否正在颁发证书（并且可以设置证书的某些字段）？这些证书是否必须与更大规模的 PKI 环境（如电子邮件签名）集成（我的意思是，您是否面临 X.509 互操作性噩梦）？

如果您可以为用户创建证书颁发机构，并且不必关心外部系统，则可以为每个客户端证书提供一个直接映射到您的用户帐户的通用名称属性。因此可以检查客户端证书是否由用户证书颁发机构签名，然后匹配证书 CN 属性。

当只有有限且众所周知的签名证书数量时，我建议存储此证书并检查客户端证书，并且仅当它们由其中一个签名证书签名时才接受它们。然后，您使用颁发 CA 为每个用户唯一设置的证书字段（在更新用户证书时保持不变，许多合作允许用户证书在大约一年后超时）将此字段连接到您的用户数据库。

如果您无法颁发证书，您可以将证书的哈希存储在数据库中，但这有一个缺点，即当证书过期时，您需要更新数据库。每个证书的哈希值都是唯一的，而证书的大多数字段都可以被欺骗。

您可能还需要检查签名证书颁发机构的证书吊销列表，以便任何用户都无法使用被盗的证书访问您的服务。

Answer 2

我们存储客户端证书的序列号和颁发者 DN 并进行匹配。根据 http://www.tectia.com/manuals/server -admin/60/userauth-cert.html，这足以唯一标识证书。