客户端证书身份验证

Endpoint Central服务器使用客户端证书身份验证来验证尝试与服务器建立连接的已安装代理的计算机。每个代理都有一个唯一的证书和一个由服务器的可信根证书颁发机构签名的相应私钥。成功验证证书和密钥后，服务器将连接到代理。如果验证失败，连接将被断开。这样做是为了确保安全，并防止未经授权的客户端连接到服务器。

客户端证书身份验证工作

1. 在传统的SSL事务中，通过安全连接连接到服务器的代理将在启动SSL事务前检查服务器的证书。同样，如果您希望服务器对代理计算机进行身份验证，则需要配置客户端证书身份验证。服务器将在SSL握手期间向代理请求客户端证书。通过在其信任存储中检查签发机构签名以及证书的有效性，验证代理提供的证书。
2. 客户端将证书发送到中央服务器，在验证客户端证书期间，服务器将验证私钥的所有权。如果证书和私钥有效，Endpoint Central服务器将与代理建立连接。但是如果证书无效或代理无法证明私钥的所有权，服务器将在SSL握手期间丢弃代理的请求。

   注意：客户端证书不同于服务器证书。服务器在会话开始时提供服务器证书，代理使用该证书来验证服务器的可信度。另一方面，客户端证书由代理在SSL握手期间提供，并由服务器用于对代理进行身份验证。

3. 安装代理后，它会生成一对密钥——公钥和私钥。公钥将由服务器的可信证书颁发机构签名。在SSL握手过程中，代理将使用来自服务器的签名证书来证明其身份。代理和服务器之间发生的所有通信都是严格加密的。

启用客户端证书身份验证

应在“管理”页签下的“安全设置”页面中手动启用客户端证书身份验证。此选项仅在Endpoint Central构建号100647或更高版本上可用。

注意：

• 启用此选项前，请确保所有受管计算机都升级到代理版本100647或更高版本。

启用此身份验证时，您将收到未升级到上述代理版本的代理数量。如果升级失败，这些装有代理的计算机将不再在Endpoint Central下进行管理。

客户端证书身份验证的优点

客户端证书限制对具有证书授权的代理的访问。假设您的证书是安全管理和分发的，那么未经授权的客户端很难连接到服务器，因为您需要的不仅仅是用户名和密码。

客户端证书身份验证的限制

客户端证书通过HTTPS TLS握手进行身份验证。如果在代理和服务器之间配置了代理服务器，则不会发生身份验证，因为代理服务器会断开HTTPS连接并代表代理连接到服务器。由于上述限制，如果启用了客户端证书身份验证，则无法为分发服务器配置代理服务器。如果配置了代理服务器，则无法启用客户端证书身份验证。