行业新闻与博客

大多数企业都缺乏密码安全性。Keeper Security 2021 年的数据显示，57% 的用户将密码写在“便利贴”上，67% 的用户承认丢失了这些便签。使用基于证书的身份验证可以让您的业务更加安全，同时提供更好的用户体验。以下是 PKI 身份验证的工作原理以及 IT 管理员在其组织内实施它需要了解的内容

许多组织中基于密码的安全性是一个问题。当然，部分原因是员工的密码卫生不佳（例如创建弱密码或与同事分享他们的凭据）。然而，其中很大一部分来自雇主实行糟糕的访问管理。Keeper Security 和 Pollfish 的最新数据显示，在他们的 1,000 名调查受访者中，有 32% 的人表示他们访问过属于其前雇主的账户。那么，您如何缓解这些与密码相关的漏洞呢？通过使用客户端身份验证证书完全消除密码。

客户端证书身份验证，或更准确地说是基于证书的身份验证，是用户安全访问资源和数据的简便方法。与传统的基于密码的安全方法不同，后者包括每次您想要访问某些内容时都输入用户名和密码，这种证明您身份的方法不需要多次登录尝试或（不可避免的）可怕的密码重置选项。它还不需要您输入任何烦人的一次性密码 (OTP)、PIN 或其他提示。

相反，这种身份验证方法依赖于 PKI 加密技术和流程来使身份验证变得轻而易举。使用客户端身份验证证书意味着用户可以在后端进行身份验证，而无需处理不安全或难以记忆的密码。

但什么是证书认证以及它是如何工作的呢？使用客户端身份验证证书如何比使用传统的基于密码的身份验证和某些多因素身份验证 (MFA) 方法更安全？您如何使用这些证书在您的 IT 环境中实施 PKI 身份验证？

什么是客户端证书认证？PKI 身份验证说明

基于证书的身份验证允许用户登录各种系统而无需输入传统的用户名和密码。相反，用户的浏览器（即他们的客户端）使用保存在他们个人计算机或设备上的数字证书（和 PKI 密钥对——稍后会详细介绍）自动登录。

这种身份验证方法允许授权用户访问从特定文件和服务到您的网络和其他 IT 系统的所有内容。换句话说，客户端身份验证：

• 不需要使用容易混淆或难以记忆的密码。 
• 为用户提供更好的用户体验，并为您的 IT 管理员简化帐户访问。
• 消除可能会诱骗您的员工的凭据网络钓鱼漏洞。
• 减轻网络罪犯喜欢在暴力攻击和彩虹表攻击中利用的密码安全风险。
• 当您将客户端身份验证证书与可信平台模块 (TPM) 结合使用时，比单独使用基于令牌和 SMS 的 MFA 方法更安全。
• 不需要额外的硬件（尽管将它与 TPM 结合使用时最安全——大多数 Windows 10 设备都配备了它）。

Internet 上的身份验证需要可验证的身份

身份验证的核心是验证某人或某物（在设备的情况下）是他们声称的身份或身份。因此，当我们谈论基于证书的身份验证，或者也称为 Internet 上的PKI 身份验证时，我们在这里真正讨论的是使用 X.509 数字证书和公钥基础设施来远程识别个人及其设备公共频道。

这就是客户端身份验证证书适合的地方。简而言之，这些数字文件使用户身份验证和机器对机器通信更加安全。这也是一种将系统访问限制为仅经过身份验证的用户或设备的方法。

用户身份验证对于访问管理和为您的企业开发零信任安全架构至关重要。毕竟，您不希望随机员工随意访问您的服务器、网络、Web 应用程序或其他数字资源，对吧？这意味着您始终需要确保请求访问受保护站点或资源的用户是合法的，然后再授予他们访问权限。基于 PKI 证书的身份验证是一种无需使用传统的基于密码的登录方法即可完成此操作的方法。

由于基于证书的身份验证不需要用户在登录设备后再次输入密码，因此这种用户身份验证方法被视为一种无密码身份验证。从本质上讲，它将个人用户的数字身份（他们的机器身份或识别数字属性）绑定到一个特殊文件——我们前面提到的数字证书。但究竟什么是数字证书？

数字证书是您在互联网上的数字身份证

数字证书是作为您在数字世界中的身份证的文件。就像政府颁发的驾驶执照或身份证如何以官方身份识别您的身份一样，这些证书在互联网上也为您做同样的事情。就像您的驾照有一个代表您的独特字母数字组合一样，每个数字证书都具有与众不同的独特特征。

这些证书是公钥基础设施（PKI——稍后我们将详细讨论）的基本和可信元素。他们之所以受到信任，是因为他们需要信誉良好且受到公众信任的第三方（称为证书颁发机构、证书颁发机构或简称为“CA”）在颁发证书之前验证您的身份。

公共 CA 就像 DMV 一样……

我们不会详述 CA 所做的一切，但我们会给您一个快速概述，以便我们可以继续讨论这个话题。（查看上面段落中嵌入的链接，更深入地了解什么是 CA 及其工作原理。）

公共 CA 就像 PKI 数字身份，相当于您当地的机动车管理局办公室。就像 DMV 官员在向您颁发身份证之前检查您的申请并确保您的个人身份是真实的一样，CA 审查您的证书签名请求 (CSR) 以获取新的数字证书。他们会收集您提供的文书工作和文件，并根据各种官方资源进行检查，以确保它们是合法的。（CA 都是关于跨越那些 T 并点缀那些 I。）一旦他们验证所有内容都匹配（即，你真的是你），他们就会颁发你的客户端身份验证证书。

当然，一些公司选择使用本地（私有）CA 来颁发他们自己的客户端身份验证证书。私有证书的证书颁发是不同的，因为该过程不需要公共信任的 CA 首先验证信息。因此，这些证书不受公众信任。这意味着私人客户端身份验证证书应该只用于保护对面向内部的资源的访问——而不是外部（面向公众的）资源。

客户端身份验证证书有很多名称……

好吧，对于那些不是 IT 管理员或不经常与 PKI 系统交互的人来说，事情可能会有点混乱。还记得之前我们说过客户端认证证书和 PKI 认证证书是一样的吗？嗯，他们是，但他们也有其他一些名字。**

• 用户身份证书。
• 设备证书。
• 相互认证证书。
• 双向认证证书。
• 电子邮件签名证书、电子邮件身份验证证书和 S/MIME 证书。

(** 这些不同的证书之间有很多重叠，但根据情况，它们并不总是相同的。例如，一些 S/MIME 证书可用于客户端身份验证，而另一些则不能。而一些 IoT 设备证书是通常由私有 CA 颁发，这意味着公共 CA 无法验证它们。）

为什么有这么多（看似无关的）名字？在某些情况下，这是因为人们有许多不同的方式来表达同一件事。在其他情况下，这是因为这些证书有很多作用（即，它们具有多种功能）。例如，您在设备上安装用于向 Web 服务器验证您的计算机的同一 PKI 数字证书可能与您可用于对电子邮件进行签名和加密的证书相同。

现在，当然，并非所有X.509 数字证书都具有这种交叉使用功能。例如，您不能使用网站安全证书对用户进行身份验证，因为它用于向用户的客户端（浏览器）验证 Web 服务器并创建加密连接。出于同样的原因，您也不能使用文档签名证书对软件进行签名 — 它们是为不同目的创建的不同 X.509 证书。（不过，同样重要的是要注意某些 PKI 身份验证证书具有签署某些类型文档的交叉功能。）

这就是 PKI 认证证书比较独特的地方。与其他类型的 PKI 证书不同，PKI 身份验证证书有时可用于各种不同的目的——其中之一就是相互身份验证。这就是我们将在本文中关注的目的。

为什么基于证书的身份验证很重要

在正常情况下，安全地扩展您的网络并为一群员工设置远程访问可能既棘手又耗时。去年春天爆发的 COVID-19 全球大流行迫使企业关闭办公室，数百万员工在家远程工作，这使得这对全球 IT 管理员来说更加重要。即使是一年后的现在，企业仍在努力推出更好、更安全的用户访问方法。

考虑到员工不遵守密码安全最佳实践的频率，您有时需要主动通过其他方式加强防御。当然，选择使用客户端身份验证证书可能并不适合所有情况。但它在许多情况下都能派上用场——尤其是对于大型组织。

设置基于证书的身份验证需要更多的时间来设置，但从长远来看可以节省时间并且安全性更高。当您使用 PKI 身份验证证书时，您：

• 简化认证流程。通过不再要求用户记住用户名和密码，您可以让您的授权用户更轻松地访问特权站点或服务。一个额外的好处是您可以减少员工的挫败感和 IT 支持时间！
• 阻止草率的密码做法。基于证书的身份验证使用户无法共享帐户登录信息，并且他们将不再有理由将带有密码的便签贴在身边。
• 使您的组织免受暴力攻击和其他与密码相关的攻击。如果您的用户没有密码，那么网络罪犯就没有办法暴力破解。由于基于证书的身份验证使用 2048 位密钥对，因此即使是现代超级计算机也无法破解它。
• 改进您组织的网络安全防御。通过消除对可能被网络钓鱼、窃取、拦截、共享或以其他方式泄露的密码的需要，您实际上是在使您的企业成为“网络钓鱼证明”。
• 实施更好的访问控制。将访问权限限制为仅实际需要它的用户和设备可以降低您的组织暴露的风险。
• 可以轻松撤销单个用户的完全访问权限。当员工离开您的公司时，您可以简单地撤销他们的证书以禁用与其帐户关联的所有访问权限。
• 将您的组织转向零信任基础架构。通过不自动信任任何人并要求用户使用证书而不是密码进行身份验证，您离实现零信任环境又近了一步。

这对每个人都是双赢的——当然，想要利用您的安全弱点的网络犯罪分子除外。但谁在乎他们想要什么？没有人对您的业务很重要。

还记得我们之前提到的 Keeper Security 数据，该数据涉及将近三分之一的员工在离开前雇主后仍然可以访问他们的账户吗？是的，这可以阻止那种事情发生。当然，这不是唯一的方法。但作为一种选择仍然很棒。

客户端身份验证的工作原理

让我们首先从高级角度考虑证书身份验证的工作原理。我们将首先提供一个简单的概述。之后，对于想进一步了解技术流程的朋友，我们可以进行更深入的探讨。

1. 用户尝试使用他们的数字证书登录 Web 应用程序或服务。他们不使用用户名和密码登录，而是依赖安装在其设备上的数字证书。这使他们无需记住凭据即可自动登录。
2. 服务器和用户客户端轮流交换数字证书。数字证书提供双方的身份信息。来自公共 CA 的客户端身份验证证书通常根据您的电子邮件地址来识别您。但如果证书是由私人 CA 颁发的，它可能会使用其他信息，例如任意数字字符串、用户名或 ID 号。
3. 双方验证对方是合法的证书所有者。这是通过验证每一方都拥有与其个人证书的公钥相匹配的私钥来完成的。如果他们关键比赛，他们会很好。如果没有，连接会立即被拒绝。
4. 一旦验证通过，服务器和客户端就会建立到安全资源的连接。服务器和客户端计算出一些技术细节并建立安全的加密连接。完毕。

好的，现在我们知道什么是客户端身份验证证书以及它为什么有用，是时候从更技术的角度看一下基于证书的身份验证实际上是如何工作的了。

为此，让我们首先考虑传统网站身份验证的工作原理。我之所以这么说，是因为客户端身份验证的工作原理相同。但是，客户端身份验证不仅仅是用户的客户端对它所连接的 Web 服务器进行身份验证，还包括您的客户端向 Web 服务器进行身份验证。此过程也称为相互身份验证或双向身份验证。

证书身份验证依赖于 PKI 证书和加密密钥对

证书身份验证之所以起作用，是因为它不是一个独立的东西。正如我之前提到的，它依赖于公钥基础设施，这是我们所知道的互联网安全的基础。尽管我们不打算深入探讨什么是 PKI 以及 PKI 在这里如何工作的所有技术术语，但在详细介绍身份验证的一般工作原理之前，我们至少会给您一个快速概述。这将帮助您更好更清楚地了解客户端身份验证过程。

公钥基础设施是加密技术（包括数字证书和公私密钥对）、流程和策略的集合，使您能够安全地通过 Internet 发送敏感信息。这就是使漂亮的挂锁出现在您的 Web 浏览器中以及您的组织存储在其数据库中的信息安全的原因。简而言之，PKI 是使互联网上的安全通信成为可能的框架。

因此，为了更清楚地了解客户端身份验证的工作原理，我们将首先讨论传统网站身份验证过程的工作原理。之后我们可以深入讨论使用客户端身份验证证书的 PKI 身份验证。

您喜欢在没有人拦截您的数据的情况下注册订阅服务吗？每当您在亚马逊购物时，您是否喜欢知道您的信用卡信息是安全的？如果您对其中任何一个问题的回答是肯定的，那么您可以为此感谢 PKI。

当您的浏览器（客户端）连接到公司网站时，服务器和您的客户端会进行一个称为 SSL/TLS 握手的过程。简单地说，这种握手是双方之间的一次对话，允许他们交换特定类型的信息。（此信息使他们能够建立安全、加密的通信渠道，任何意外方都无法拦截。）

当前使用的 TLS 握手有两种类型：TLS 1.2 和 TLS 1.3。这两种握手之间存在技术差异。要了解有关 SSL/TLS 握手的更多信息，请单击上一段中的链接。

从高层次的角度来看，这里是这个对话包括的内容的简化概述：

• 您的客户端连接到服务器，端点交换信息。此请求是您的客户端如何开始与服务器的对话。它们交换与其加密能力相关的信息以及它们可用于最终为会话建立安全、加密连接的其他信息。
• 服务器向您的客户端提供其 SSL/TLS 证书和公钥以验证其身份。证书包含有关域的 CA 验证信息（以及拥有它的组织以获取具有业务验证的证书），是服务器验证自身的一种方式。当您的客户端在握手过程中收到服务器证书时，它会对文件运行一系列加密检查，以确保其真实性和由其所属的 CA 合法颁发。如果信息通过验证，这两个实体将继续进行 TLS 握手过程的下一部分。
• 服务器和您的浏览器交换可用于创建会话密钥的数据。目标是让每一方贡献加密数据，他们将单独使用这些数据来生成匹配的对称会话密钥。两个实体在整个过程中进行通信，以便在会话密钥准备好使用时让对方知道。
• 双方都切换到使用加密通道。TLS 握手的这一部分涉及客户端和服务器从他们一直使用的密码更改为他们同意使用新生成的密钥的新密码。客户端将首先切换，然后是服务器。此后，他们将使用经过身份验证和加密的连接进行通信。

此过程最初依赖于非对称加密，因为它是在公共渠道中交换信息的最安全方式。但是，就开销而言，公钥加密被认为有点“慢”，因为它需要使用两个唯一但相关的密钥。一旦客户端对服务器进行身份验证并且两个实体就会话密钥达成一致，它们就可以切换到使用对称加密（仅使用一个密钥）。这种加密方法对于大规模数据加密和解密更为有效。

不用说，PKI 对于网站安全至关重要，因为没有前者就没有后者。例如，无论何时访问安全网站，您都会在网络浏览器中看到挂锁图标（如下图所示）。如果您单击该网址将其展开，您还会注意到它在 URL 的开头显示“HTTPS”。这意味着服务器使用安全的 HTTPS 协议为您提供网站服务。

那么既然您了解了网站身份验证的工作原理，那么客户端身份验证在哪里适合呢？

客户端身份验证证书在握手期间提供相互身份验证

与网站服务器在 TLS 握手期间向客户端验证自身身份的方式大致相同，您的客户端也可以向服务器验证自身身份。这称为相互身份验证或双向身份验证，因为两个设备都对自己进行身份验证，而不是通常的单向身份验证。这有点像服务器身份验证过程，但它是向服务器验证客户端，而不是相反。

那么，PKI 客户端身份验证是如何工作的呢？

1. 您的设备启动 HTTPS 连接。这将启动尝试访问受保护资源（例如服务或内部网站）的过程。
2. 服务器和您的设备交换 PKI 证书。就像传统的 TLS 握手一样，站点或服务会向您的客户端发送其自己的 SSL/TLS 证书的副本。但这一次，它还会请求您设备的客户端身份验证证书和公钥的副本，以验证其身份。
3. 您的客户端确保服务器证书有效且合法。为了验证证书的有效性，客户端通过信任库将 SSL/TLS 证书追溯到原始颁发的根证书。如果匹配，则可以继续。如果没有，它将立即终止连接。
4. 您的客户端将其客户端身份验证证书发送到 Web 服务器。这是 SSL/TLS 握手的客户端身份验证部分发生的地方。这将启用服务器和客户端之间的相互身份验证。
5. 服务器验证证书合法有效。不能太小心，对吧？验证客户端身份验证证书的合法性需要检查证书的信息以及它链接回的中间和根。目标是确保：
   • 证书有效（即，它没有过期或被吊销），
   • 它显示为记录在 CT 日志中（意味着它在发出后被正确记录），并且
   • 证书是可信的（它包含数字签名并由可以追溯到颁发 CA 的加密公钥签名）。
6. 服务器验证用户是否有权访问所请求的资源。这就是将证书与用户的个人身份相关联很重要的地方。服务器将检查以确保用户或设备具有访问他们请求的资源的权限或授权。如果配置文件没有与其关联的资源的权限，服务器将拒绝连接。
7. 服务器将根据身份验证过程的结果允许或拒绝对资源的访问。一旦您的设备和您连接的服务器或服务成功地相互验证，它们就会建立一个安全的加密连接。这意味着您可以安全地访问网站或服务，而不必担心有人会拦截您的连接和数据。但是，如果服务器或服务无法成功验证您设备的身份，或者如果您的数字身份没有访问该特定资源的必要权限，服务器将结束连接请求的速度比您说“不”的速度还快。

当然，我们需要注意一件非常重要的事情：基于证书的身份验证的安全性依赖于用户保持其私钥和物理设备的安全。例如，假设您的同事鲍勃每次去吃午饭时总是让他的计算机在办公室中间未锁定。在这种情况下，Bob 的身份验证凭据容易被未经授权的用户访问和使用。

不保护您的设备——无论是使用强密码还是其他因素（例如生物识别）——就像你去洗手间时把身份证留在桌子上一样。你只是不这样做。

如何使用客户端身份验证证书启用 PKI 身份验证：IT 管理员指南

想要在您自己的企业中使用证书身份验证吗？伟大的。我们可以帮助您做到这一点。当然，您可以手动执行此过程，也可以通过使用远程证书管理工具自动执行此过程。

但是，就在您的组织内启用 PKI 客户端身份验证而言，您实际上是如何从头到尾进行操作的呢？我们要打破这一切。

我们开始这个派对吧。

1.购买并生成客户端认证证书

这始终是该过程的第一步。一旦您决定了要为哪些员工获取证书（例如，那些有权访问您的受保护数据、网络、IT 系统、设备或工具的员工），您就会想要购买您的证书。

之后，您需要提交证书签名请求 (CSR)。您可以通过网络托管控制面板或网络托管平台生成 CSR 。（如果您在 TheSSLstore.com 上购买，您也可以直接在您的用户仪表板中生成您的证书。）此过程会创建您的客户端身份验证证书和随附的加密密钥对（公钥和私钥）。

2.完成验证过程

生成 CSR 后，您需要将其提交给您选择的证书颁发机构，然后完成他们的验证过程。完成验证所需的时间长短取决于您请求的证书类型。

客户端身份验证证书的三种验证类型包括：

• 基本的，
• 临，和
• 企业。

这些验证级别，从头到尾，有点像 SSL/TLS 证书的域验证 (DV)、组织验证 (OV) 和扩展验证 (EV)，因为每个级别都有越来越多的验证要求。

3.下载或导出用户的客户端证书

一旦 CA 批准并颁发了您的证书，接下来您需要将其下载到它要识别的用户的设备上。您应该会通过电子邮件收到指向 p.12 文件的链接。只需将其保存到桌面即可快速访问。否则，您可能必须直接从您的 cPanel 导出它。

以下是一些您可能会觉得有用的说明：如何使用 Internet Explorer 下载和导出您的电子邮件签名证书

但是，等等，上面列表中的说明说它们用于下载电子邮件签名证书。不，这不是技巧：X.509 数字证书的下载和导出过程几乎完全相同。这在 IE 中很容易做到，因为浏览器仍然支持注册机功能（Firefox 曾经支持，但他们不久前取消了该功能）。

4. 将客户端身份验证证书导入您的操作系统和浏览器证书存储

对于使用 PKI 身份验证证书的员工，首先需要使您的设备及其浏览器可以访问该证书。您可以通过将证书导入设备的证书库（这是 Windows 用户的信任库或 Apple 用户的钥匙串）和您的个人浏览器来执行此操作。

有关如何导入客户端身份验证证书的说明也会因您选择使用的浏览器而有所不同。但不用担心，我已经为您整理了一些针对两种最流行浏览器的分步说明。

如何在 Google Chrome 中导入 PKI 客户端身份验证证书

1. 您首先要做的是从 Google Chrome 设置菜单中选择设置。（这是显示在浏览器窗口右上角的三个点。）

2. 在弹出的窗口中，选择左侧导航菜单中的隐私和安全。这将在主窗口中显示一个包含四个选项的列表。在那里，您需要选择安全性。 

3. 在出现的“安全”窗口中，向下滚动到“高级”部分并选择“管理证书”选项，如下所示。

4. 将弹出一个单独的窗口，标有“证书”，您应该自动进入“人员”选项卡。（如果没有，请从顶部导航菜单中选择“人员”选项卡。）这是您安装的所有证书都会显示的地方。要进入下一步，请选择“导入” ——这将启动浏览器的用户友好型证书导入向导。

5. 在证书导入向导中，按下一步继续。

6. 要选择要上传的特定证书文件，请选择“浏览”按钮并导航到桌面上保存证书文件的位置。

7. 要更快地找到特定的 .pfx 文件（如果你有一个像我一样凌乱的桌面），你可以通过扩展类型缩小浏览功能——在这种情况下，你需要选择个人信息交换（*.pfx，* .p12)以仅显示那些类型的文件。选择文件后，按“确定”按钮。（这将使您返回到上一个窗口，但会选择该文件。）

8. 在打开的窗口中，按“下一步”以继续进行该过程。

9. 在这里，您将被要求输入您的 私钥 密码。这是您在证书导出过程中创建的密码（即，当您下载 .pfx 证书文件时）。输入该秘密后，您必须选中以下选项：将此密钥标记为可导出和包括所有扩展属性。选择完这些导入选项后，按下一步。

10. 这将完成证书导入向导过程。繁荣！当然，您需要检查并仔细检查您的设置。如果一切正常，请选择Finish。如果成功，您应该会收到一条消息，表明同样如此——只需按Ok即可。如果没有，那么您需要重试该过程。

如何在 Mozilla Firefox 中导入 PKI 客户端身份验证证书

好的，现在我们将引导您完成几乎相同的过程，但以下步骤将分解 Firefox 中的过程。

1. 在 Firefox 中，通过单击浏览器右上角的堆叠线打开浏览器菜单。从弹出的菜单中，选择选项以打开一个新窗口。

2. 在出现的首选项窗口中，从左侧导航中选择隐私和安全。之后，滚动直到到达屏幕底部的证书部分。仔细检查是否已选中每次询问您选项，然后按查看证书按钮。

3. 应弹出一个新的证书管理器窗口，并应自动将其放置在“您的证书”选项卡中。（如果没有，只需自己单击该选项卡。）此窗口将显示您在浏览器中安装的任何客户端身份验证证书或其他 PKI 证书。到达那里后，按导入以打开一个新窗口。

4. 在“要导入的证书文件”窗口中，选择要上传的文件。如果您没有看到所需的文件，请确保在文件扩展名下拉菜单（文件名字段的右侧）中选择了PKCS12 文件 (*.p12,*.pfx) ，它应该会显示。然后，按打开。

5. 将弹出一个新的密码输入提示窗口。在这里您将输入您之前创建的密码（当您最初导出或下载您的证书和私钥时）。按确定完成该过程。

成功完成导入过程后，您应该会收到一条消息，告诉您证书已成功导入。现在，您即将允许该授权用户访问您的安全资源。但首先，您必须在后端处理其他事情才能实现这一点……

5.配置您的服务器以支持客户端身份验证

执行此步骤后，当用户的客户端身份验证证书提交给您的服务器时，它将使他们能够自动进行身份验证。（注意：该过程尚未完成。在此之前，您还需要完成几个步骤。）

当然，具体如何执行此操作取决于您的组织使用的服务器类型。例如，配置特定 NGINX 服务器的说明将不同于您在 Apache 服务器上执行相同操作的说明。

我们整理了一些您可能会觉得有用的快速资源：

• Apache 客户端身份验证和访问控制
• Windows IIS 服务器的客户端证书映射身份验证
• Citrix 客户端身份验证

6. 测试您的证书以确保其有效

事故时有发生，事情有时会出错。这就是为什么您必须确保您的 PKI 客户端身份验证证书安装正确且没有问题。要验证这一点，您需要输入用户将使用安装了证书的设备访问的资源的 URL。如果该站点显示您的用户帐户信息，则表示证书已正确安装，您可以开始新的一天。   

如果你想练习（或者只是想看看这个过程是如何工作的），你可以从 badssl.com 下载一个测试客户端证书并安装在你的浏览器上。安装客户端身份验证证书后，您可以使用 badssl.com 的客户端对其进行测试。正确安装后，您将收到一条 OK 消息。否则，您将收到一个不太有趣的 400 错误。

相关：使用 Comodo SSL 证书保护您的网站。

7. 将用户权限添加到服务器的访问控制列表 (ACL)。

好的，您已经设置了证书、配置了服务器，并且一切准备就绪。正确的？不完全的。您仍然需要为授权用户的帐户设置权限。访问控制列表或 ACL 是限制对特定文件、站点或服务的访问的好方法，以便它们只能由您批准的用户列表访问。在这种情况下，您可能希望为您的内部网站和其他您希望保护的资源设置 URL ACL。

管理证书身份验证的最佳实践

在我们结束这篇文章之前，还有一件重要的事情要提一下。正确管理使组织内的证书身份验证成为可能的流程和技术非常重要，我们不应跳过。

但别担心——我保证会保持简短。侦察兵的荣誉。以下是一些快速的客户端身份验证管理技巧：

• 设置证书管理操作策略。此表是您快速获取与证书内部管理相关的所有内容的资源。本文档应概述组织内证书的管理方式和人员、您应使用的 CA 以及哪些人拥有哪些权限（以及其他相关主题）。
• 确保您的私钥安全。考虑到这些密钥的重要性和敏感性，这一点至关重要。安全存储密钥的一种好方法是使用 TPM 或 HSM。切勿将它们存储在面向公众的服务器上。
• 设置证书吊销流程。技术和 IT 安全领域可能会出错，证书也不例外。这就是正确管理证书生命周期至关重要的原因。当证书偶尔被 CA 吊销时，您需要制定流程以确保快速有效地处理吊销，以管理吊销的影响。
• 使用户权限保持最新。访问管理如果管理不当，可能会带来灾难。如果访问权限应该被撤销但仍然无法访问敏感系统的人，那么他们可能会对您的业务造成无法减轻的损害。
• 使用全面的证书和密钥管理工具。拥有合适的工具是游向目标与原地踏步的区别。一个优秀的证书管理器可以提供 IT 环境中存在的所有数字证书和密钥的可见性。它还提供了一个集中式平台，您可以在其中管理证书的生命周期。考虑到最近的 Keyfactor 数据显示 53% 的受访组织不知道他们拥有多少密钥或证书，很容易看出为什么需要这样的工具。