» »

Apache server - certifikati

Apache server - certifikati

Ezekiel ::

Ali lahko potrdite:

Za omejitev dostopa na internetno stran s pomočjo certifikatov (.htaccess, openssl) morajo imeti uporabniki certifikate, podpisane s serverjevim certifikatom, torej tistim, definiranim v ssl.conf datoteki.

Oziroma, podajte pravilen odgovor :)

lp

BigWhale ::

Podpisan mora biti s strani CAja, ki ga imas oziroma s CAjem, ki ga dolocis...

Ezekiel ::

torej s CA (certifikatom), ki je zapisan v ssl.conf? ... ki ga jaz določim...

SSLCACertificateFile

kopernik ::

Server lahko ima certifikat ene ustanove, uporabniki pa druge. Npr. server ima lahko verisign certifikat, uporabniki pa npr. NLB klik. Moraš samo paziti, da serverju poveš, da zaupa klikovim certifikatom (to storiš tako, da mu podaš pot do root certifikata NLB, ki ga lahko dobiš kar tako da greš z browserjem na klik in shraniš serverski certifikat nlb strežnika - javni del, seveda).

Dobro je tudi, da ima tvoj strežnik certifikat priznane ustanove (npr. verisign), sicer bo moral vsak uporabnik posebej določati, da zaupa tvojemu strežniku (kar ni nič posebnega, lahko pa je moteče za uporabnike).

Vse to skonfigurirati ni tako težko, je pa kar zakomplicirano, če delaš prvič in ne veš, za kaj se gre ... google is your friend :-)

Zgodovina sprememb…

  • spremenil: kopernik ()

Ezekiel ::

samo mimogrede, kako spraviš več poti do dovoljenih certifikatov (SSLCACertificatePath) v ustrezno *.pam datoteko?

In kaj hudiča je hash symlink...

kopernik ::

Jih kar namečeš v direktorij, saj to, da jih spraviš v en fajl zahteva le dodatno delo. Primer :

# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
SSLCACertificatePath /export/home/xyz/apache_new/apache2/conf/ssl.CA
#SSLCACertificateFile /export/home/xyz/apache_new/apache2/conf/ssl.CA/sigen-ca.pem


Torej, kakor vidiš, imam vse certifikate v direktoriju /export/home/xyz/apache_new/apache2/conf/ssl.CA.

Za hash sym links in razne konverzije med formati certifikatov (der, pem, itd.) si poglej openssl. Sicer pa apache ssl faq vsebuje tudi ukaz za kreiranje hash sym linkov. Prek googla sem našel tudi naslednje :

openssl x509 -noout -hash -in $path_to_file

kar je v bistvu isti ukaz kot v apache ssql faq ...

Torej, z openssl je vse to piece of cake.

Zgodovina sprememb…

  • spremenil: kopernik ()

Ezekiel ::

Da nadaljujem debato:

V primeru, da dodam v certifikat poljubno novo polje, poleg že obstoječih (CN, O, ...)....
Na kakšen način nato povem .htaccess datoteki preko SSLRequire ukaza, da naj pregleda nov parameter.

Primer za že obstoječe parametre:

...
SSLRequire %{SSL_CLIENT_S_DN_CN} eq "common name"

za CN - common name

V manualu piše, da se za poljubne x509 opcije uporabi SSL_CLIENT_S_DN_x509, samo to deluje samo za predefinirane parametre.
Opcija je tudi, da se uporabi SSL_CLIENT_S_DN_xn, kjer je n numerična predstavitev parametra.

Torej, vprašanje:
Novi parameter ima v certifikatu (pregledano v Mozilli) naslednjo vrednost:

Object identifier (2 5 4 42) = "vrednost"

Kako naj to sedaj vtaknem v omejevanje v .htaccess datoteki?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Davčne blagajne (strani: 1 2 3 424 25 26 27 )

Oddelek: Programiranje
1344334007 (74010) Macketina
»

PHP davčna blagajna

Oddelek: Programiranje
188143 (6167) brble
»

Apache SSL težave

Oddelek: Programiranje
172090 (1542) hobbit
»

Prijava z certifikatorm sigen-ca, custom

Oddelek: Izdelava spletišč
196563 (6199) jkreuztzfeld
»

kako usposbim ssl

Oddelek: Izdelava spletišč
161955 (1684) pan

Več podobnih tem