我正在使用ClientCAsandClientAuth选项tls.Config在我的 Go HTTP 应用程序中进行基于证书的客户端身份验证。是否还可以根据提供的 CRL 验证客户端证书?我在x509包中看到CRL 周围有一些功能,但我不确定如何配置 HTTP 服务器以使用它们(即,似乎没有任何选项tls.Config会导致 CRL 也被使用) .
1 回答
噜噜哒
TA贡献1784条经验 获得超7个赞
是否还可以根据提供的 CRL 验证客户端证书?
是的,可以通过crypto/x509包中提供的功能(正如您在问题中正确说明的那样)。但是,诸如crypto/tls.Config(consumed by net/http) 之类的高级接口不提供该功能。对 CRL 实施检查的一个好机会可能是检查net/http.Request.TLS.PeerCertificates.
一点背景知识:crypto/tls由对撤销检查有意见的安全专家 Adam Langley 维护(原始来源是他的博客)。虽然我没有证据,但人们可能会认为这是一个经过深思熟虑的设计决定。
- 1 回答
- 0 关注
- 194 浏览
添加回答
举报
0/150
提交
取消