AIR应用程序中TLS客户端身份验证的使用 [译]

原文：http://blogs.adobe.com/simplicity/2009/02/using_tls_client_auth.html

 

在客户端用密码身份验证依然是一种常用的基本的验证方法，但对于些安全性要求更高的的应用程序需要其它一些更进一步的身份验证。在Adobe AIR 应用程序中，用户可以使用TLS（Transport Layer Security Protocol，安全传输层协议）来增强安全性。

在服务器端和客户端的身份验证中，许多开发人员熟悉在HTTPS 协议中使用TLS 。服务器端通过私钥来证实自己（服务器）的身份，而客户端是通过受信证书来证实自己（服务器）的身份。大家可能不怎么熟悉，TLS身份验证也可以是对称的（使用对称加密算法），即用同一个证书既可以用来验证客户端和服务器端的通信，同时可以验证服务器和客户端的通信。

 

具体的部署细节会因不同的web服务器和操作系统上有些许不同，但基本步骤大致相同。服务器端：
1. 创建或选择一个给客户端签发证书的证书授权中心。
2. 配置Web服务器：需要TLS客户端身份验证。
3. 配置Web服务器：信任你选择的证书授权中心签发的证书。

 

客户端：
1. 为客户端生成一个私钥。
2. 产生一个证书签署请求。
3. 用证书颁发机构，给你的客户端创建一个证书。
4. 安装证书到系统信任区。

 

如上步骤并不是特定于AIR应用程序，也是用其它程序。 AIR采用了底层操作系统的网络堆栈的来对HTTP，HTTPS和TLS提供支持。所有AIR TLS连接会在该系统的信任证书存储区来查找证书和访问私钥。这和你电脑上其它的非AIR应用程序保持了一致性。如果你有别的解决方案来管理证书存储库，那么你在AIR应用程序中也可以使用此解决方案分发和维护证书和密钥。

客户端安装了这个证书，此证书就和特定的这台机器绑定，可以证明这台机器发出的信息是可信的。这对我们熟知的密码身份验证是一个很好的完善。密码身份验证和TLS为AIR应用程序创建了一个合理的适用的双因子验证方法。