客户端身份验证证书
购置:
1. 选择证书
2. 选择持续时间
基于证书的机器、设备和用户访问控制
客户端身份验证证书是一种 X.509 数字证书,它具有以下特点: clientAuth 扩展密钥用途标志。当客户端在……期间提供此证书时 TLS 通过握手,服务器可以在授予访问权限之前以加密方式验证客户端的身份。
这是零信任网络架构的基础:相互信任 TLS (mTLS),其中连接的双方在交换任何数据之前证明自己的身份。
主要优点
防钓鱼身份验证
私钥永远不会离开设备:不会通过网络钓鱼或凭证泄露而被窃取。
每个设备的身份
每个设备都会获得一个唯一的证书:可以针对每个设备授予或撤销访问权限。
相互 TLS (mTLS)
客户端和服务器相互验证身份:这是零信任架构的基础。
API驱动的发行
在制造或配置过程中,通过 REST API 大规模颁发证书。
企业级 PKI
由 SSL.com 的 WebTrust 审计 CA 基础设施提供支持,并由 BDO 每年进行审核。
广泛的兼容性
兼容所有主要 TLS 堆栈、VPN 解决方案和网络访问控制系统。
可撤销
受损或已退役的设备可能会被吊销证书:访问权限立即终止。
适用人群
物联网设备制造商
在工厂为每台设备分配唯一标识。
企业 IT/安全团队
强制执行基于证书的 VPN 和网络访问。
OT/SCADA工程师
对操作员工作站进行工业控制系统身份验证。
DevOps/平台工程
实施 mTLS 用于服务间 API 安全。
能源行业组织
符合NAESB标准的市场交易客户证书。
零信任架构师
用加密身份取代基于密码的访问控制。
它是如何运行的?
购置:
选择证书类型和有效期,然后完成订单。
验证
SSL.com 会验证请求实体(电子邮件、域名或组织)。
签发证书
证书已生成并发送。请将其安装到目标设备或工作站上。
配置您的系统
配置您的服务器、VPN 或 NAC,使其要求并验证客户端证书。
认证
连接的客户端出示其证书:服务器验证并授予或拒绝访问权限。
兼容性
所有专业 TLS 栈
OpenSSL、BoringSSL、Schannel、SecureTransport:任何一种 TLS 1.2/1.3 实现。
VPN平台
Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet FortiClient、OpenVPN。
网络访问控制
Cisco ISE、Aruba ClearPass、Microsoft NPS/RADIUS:802.1X 认证。
API网关
Kong、AWS API Gateway、Azure API Management、NGINX:mTLS 支持。
工业控制系统
西门子、罗克韦尔、施耐德电气 SCADA:IEC 62443 标准。
合规与标准
客户端身份验证 EKU 符合 X.509 标准。
SSL.com 已获得 NAESB 认证。
mTLS 是零信任控制的基础。
工业自动化安全。
关键基础设施访问控制。
SSL.com每年接受审核。
