X509 Sertifikası, genel / özel anahtar çiftindeki bir tür genel anahtartır. Bu anahtar çiftleri, SSL yoluyla şifreleme veya tanımlama gibi farklı şeyler için kullanılabilir. SSL Sertifikaları, bir X509 sertifikası türüdür. SSL, trafiği şifrelemenin yanı sıra partiyi doğrulayarak çalışır (Verisign bu web sitesinin söyledikleri kişi olduğuna güvenir, bu nedenle muhtemelen siz de yapabilirsiniz). Verisign, bir Sertifika Yetkilisi (CA) görevi görür. CA'ya söylediği her şeyin doğru olarak alınması gerektiğine güvenilir (Bir CA'yı çalıştırmak büyük güvenlik hususları gerektirir). Bu nedenle, bir CA size gerçekten siz olduğunuza güvendiğini belirten bir sertifika verirse, bir kullanıcı sertifikanız / istemci sertifikanız olur.

Bu tür sertifikalardan bazıları her yerde kullanılabilir, ancak diğerleri yalnızca belirli etkinlikler için kullanılabilir.

Windows'ta bir sertifika açarsanız (IE'de SSL üzerinden bir şeye göz atın ve sertifika özelliklerine bakın) veya certmgr.msc'yi çalıştırıp bir sertifikayı görüntülerseniz, Ayrıntılar'a bakın sekmesi> Anahtar Kullanımı. Bu, sertifikanın ne için yapılmasına / kullanılmasına izin verileceğini belirleyecektir.

SOAP için sertifika iki şey için kullanılabilir: tanımlama ve şifreleme. Mesaj imzaları eklerseniz (mesaj karması) üç tane.

İstemci sertifikaları arayan istemciyi veya kullanıcıyı tanımlar. Uygulama bir SOAP talebinde bulunduğunda, talebi kimin yaptığını söylemek için sertifikayı web hizmetine verir.

TLS'de, sunucunun bir özel anahtara ve bir sertifikaya (bazen sunucu sertifikası olarak da bilinir) sahip olması gerekir. Sunucu, sunucuyu tanımlar ve doğrular. İstemci isteğe bağlı olarak kendi özel anahtarına ve sertifikasına da sahip olabilir (genellikle bir istemci sertifikası olarak adlandırılır). Bir istemci sertifikası kullanılırsa, istemciyi tanımlar ve doğrular.

Web'de, HTTPS ile, genellikle sunucunun bir sunucu sertifikası vardır, ancak istemci sertifikaları kullanılmaz. Bu, istemcinin konuştuğu sunucuyu doğrulayabileceği, ancak sunucunun hangi istemciye bağlandığını doğrulayamayacağı anlamına gelir.

Bununla birlikte, birçok programlı bağlamda, genellikle her iki uç noktasının da birbirinin kimliğini doğrulamasını isteyeceksiniz. . Bu nedenle, hem sunucu sertifikalarını hem de müşteri sertifikalarını kullanmak isteyeceksiniz.

TLS'de tüm sertifikalar X.509 sertifikalarıdır. X.509, yalnızca verilerin biçimidir.

Sertifikalar, bir genel anahtar ve bir sertifika yetkilisinden (CA) imzası içerir. Web'de, tipik olarak web sitelerinin Verisign veya diğer bazı iyi bilinen CA'lar tarafından verilen (imzalanan) bir sunucu sertifikası vardır. Web tarayıcıları, yaklaşık 100 farklı CA'nın bir listesi ile birlikte gelir, önceden yüklenmiş ve en yaygın olarak kullanılan web siteleri, bu CA'lardan biri tarafından verilen bir sunucu sertifikasına sahiptir. Örneğin Verisign, her tarayıcının standart CA listesindeki CA'lardan biridir. Size sertifika vermelerini istiyorsanız Verisign sizden ücret alır.

Sertifikanızın standart bir CA tarafından imzalanmasının alternatifi, kendinden imzalı bir sertifika kullanabilmenizdir: Standart CA'lardan biri tarafından değil, sizin tarafınızdan (veya istediğiniz herhangi biri) tarafından verilen bir sertifika. Bu, web'de çok yaygın olarak kullanılmamaktadır, çünkü kendi kendine imzalanan sunucu sertifikaları, tarayıcıların, çoğu web sitesinin kaçınmaya çalıştığı, kullanıcıya uyarı iletişim kutuları açmasına neden olur. Bununla birlikte, programatik kullanımlar için, kendinden imzalı sertifikalar iyi sonuç verebilir. Kendinden imzalı sertifikalar kullanıyorsanız, Verisign'a para ödemek zorunda değilsiniz. Kendi kendinden imzalı sertifikalarınızı oluşturmak için OpenSSL'nin komut satırı araçlarını nasıl kullanacağınızla ilgili eğitimler bulabilirsiniz.

SSL, TLS ile eşanlamlıdır. (Teknik olarak SSL, standardın birkaç eski sürümünde kullanılan addır ve TLS, standartların daha yeni birkaç sürümü için yeni bir addır. Ancak birçok kişi bu iki terimi birbirinin yerine kullanır.)

Daha yararlı bilgiler için genel anahtar sertifikasıyla ilgili Wikipedia makalesini okumanızı tavsiye ederim.

"Normal" SSL sertifikaları genellikle X.509 sertifikalarıdır .
Ancak, bunlar yalnızca sunucu kimlik doğrulaması ve şifreleme için kullanılabilir: Sertifikaların özelliklerinden biri, belirlenmiş amacıdır ve genellikle farklı bir amaç için kullanamazsınız.
Bunun dışında, bir istemci sertifikası, sadece "İstemci Kimlik Doğrulaması" olarak belirlenmiş bir sunucu sertifikasıyla hemen hemen aynıdır.

İşlevsel olarak, çoğu zaman bazı sistemlerin yalnızca bir istemci sertifikası alt kümesini kabul ettiğini görürsünüz, örn. kendi CA tarafından verilmiş olanlar.

İşlevsel olarak aynıdır - genel bir RSA anahtarı ve bir yetkili tarafından imzalanmış tanımlayıcı bilgiler. Pratik olarak, sunucu anahtarlarınız genellikle söz konusu alanı tanımlayan ortak bir adla kurulur (örneğin * .wikimedia.org). Karşı tarafın kimlik doğrulama gereklilikleriyle eşleştiği sürece, kendi oluşturduğunuz sertifika da dahil olmak üzere, sizi bir sertifika kullanmanızı engelleyen herhangi bir şey olduğuna inanmıyorum.