HttpClientCertificate是否返回任何“签名”数据？

Question

我正在写一个关于基于网络的智能卡认证的研究故事。我们已经成功地设置了一个在身份验证过程中需要智能卡PIN条目的环境，但是对于最终的HttpClientCertificate是否包含任何表示签名的信息(即使用智能卡上的PIN/私钥加密的一些任意数据)，存在一些分歧。

有人有处理这种签名的经验吗？我很难找到描述任何基于网络的智能卡/PIN身份验证的示例，然后从HttpClientCertificate记录将验证签名的数据。

Answer 1

顾名思义，HttpClientCertificate包含证书(通常遵循X.509)。因此，它不包含使用智能卡上的PIN/私钥加密的“任意”数据(我假设您实际上试图引用会话身份验证数据)。

证书只包含静态数据，这是

• 证书签发的公钥，
• 一些元数据(如密钥对的标识信息、公钥密码系统的参数、有效期、使用约束等)，以及
• 该静态数据上的签名，由证书颁发机构(在证书颁发机构颁发证书时)或使用与证书中公钥相对应的私钥创建(如果是自签名证书/ CA根证书，尽管TLS客户端证书不应该是这种情况)。

因此，HttpClientCertificate既不包含与证书关联的私钥，也不包含任何由私钥签名的动态数据，以便验证TLS会话。