基于证书进行https相互认证的正确方法

Question

我正在开发一个.net项目，需要基于证书的双向https身份验证，即客户端需要将请求与自己的证书关联起来，并且https服务器可以基于证书对客户端进行身份验证。我弄清楚了粗略的工作流程，但不确定这是否是正确的方法：

在客户端：

   HttpWebRequest request = (HttpWebRequest)WebRequest.Create("请求 uri");
    // cert 是来自 certStore 的 X509Certificate2 实例或证书文件
    request.ClientCertificates.Add(cert); ;

On the server side:

    // req 是 HttpListenerRequest 实例
    如果（req.ClientCertificateError == 0）
    {
       X509Certificate2 clientCert = req.GetClientCertificate;
       //验证客户端证书
   }

我的问题是：

1）这是正确的方法吗？

2）在服务器端，一旦获得与请求关联的客户端证书，它会做什么来验证证书？假设我们可以在服务器上安装相同的客户端证书。

我是安全方面的新手。如果有人可以帮助解决问题或向我指出有用的文档，我真的很感激。

Answer 1

答案取决于您如何颁发客户端证书。昨天我在另一个问题中描述了验证过程。该过程相当复杂，但根据客户端证书的颁发方式，您可以简化它。

我认为您不希望访问者购买证书来登录您的服务器。这意味着您需要自己为客户颁发证书。如果您颁发这些证书，您可以简单地将它们放入数据库，当客户端连接时，检查您的 clientCert 是否在数据库中。

请注意，除了证书本身之外，您还希望在数据库中保留吊销信息，以便让用户知道如果证书不再有效，他们的证书会发生什么情况。

证书生成的过程是一个相当复杂的话题。我建议您在继续之前阅读一些有关 PKI 的书籍。以下是我推荐的好书：

1. Rsa Security 的密码学官方指南
2. PKI：实施&管理电子安全