Forum » Operacijski sistemi » Apache server - certifikati
Apache server - certifikati
Ezekiel ::
Ali lahko potrdite:
Za omejitev dostopa na internetno stran s pomočjo certifikatov (.htaccess, openssl) morajo imeti uporabniki certifikate, podpisane s serverjevim certifikatom, torej tistim, definiranim v ssl.conf datoteki.
Oziroma, podajte pravilen odgovor
lp
Za omejitev dostopa na internetno stran s pomočjo certifikatov (.htaccess, openssl) morajo imeti uporabniki certifikate, podpisane s serverjevim certifikatom, torej tistim, definiranim v ssl.conf datoteki.
Oziroma, podajte pravilen odgovor
lp
Ezekiel ::
torej s CA (certifikatom), ki je zapisan v ssl.conf? ... ki ga jaz določim...
SSLCACertificateFile
SSLCACertificateFile
kopernik ::
Server lahko ima certifikat ene ustanove, uporabniki pa druge. Npr. server ima lahko verisign certifikat, uporabniki pa npr. NLB klik. Moraš samo paziti, da serverju poveš, da zaupa klikovim certifikatom (to storiš tako, da mu podaš pot do root certifikata NLB, ki ga lahko dobiš kar tako da greš z browserjem na klik in shraniš serverski certifikat nlb strežnika - javni del, seveda).
Dobro je tudi, da ima tvoj strežnik certifikat priznane ustanove (npr. verisign), sicer bo moral vsak uporabnik posebej določati, da zaupa tvojemu strežniku (kar ni nič posebnega, lahko pa je moteče za uporabnike).
Vse to skonfigurirati ni tako težko, je pa kar zakomplicirano, če delaš prvič in ne veš, za kaj se gre ... google is your friend :-)
Dobro je tudi, da ima tvoj strežnik certifikat priznane ustanove (npr. verisign), sicer bo moral vsak uporabnik posebej določati, da zaupa tvojemu strežniku (kar ni nič posebnega, lahko pa je moteče za uporabnike).
Vse to skonfigurirati ni tako težko, je pa kar zakomplicirano, če delaš prvič in ne veš, za kaj se gre ... google is your friend :-)
Zgodovina sprememb…
- spremenil: kopernik ()
Ezekiel ::
samo mimogrede, kako spraviš več poti do dovoljenih certifikatov (SSLCACertificatePath) v ustrezno *.pam datoteko?
In kaj hudiča je hash symlink...
In kaj hudiča je hash symlink...
kopernik ::
Jih kar namečeš v direktorij, saj to, da jih spraviš v en fajl zahteva le dodatno delo. Primer :
Torej, kakor vidiš, imam vse certifikate v direktoriju /export/home/xyz/apache_new/apache2/conf/ssl.CA.
Za hash sym links in razne konverzije med formati certifikatov (der, pem, itd.) si poglej openssl. Sicer pa apache ssl faq vsebuje tudi ukaz za kreiranje hash sym linkov. Prek googla sem našel tudi naslednje :
kar je v bistvu isti ukaz kot v apache ssql faq ...
Torej, z openssl je vse to piece of cake.
# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
SSLCACertificatePath /export/home/xyz/apache_new/apache2/conf/ssl.CA
#SSLCACertificateFile /export/home/xyz/apache_new/apache2/conf/ssl.CA/sigen-ca.pem
Torej, kakor vidiš, imam vse certifikate v direktoriju /export/home/xyz/apache_new/apache2/conf/ssl.CA.
Za hash sym links in razne konverzije med formati certifikatov (der, pem, itd.) si poglej openssl. Sicer pa apache ssl faq vsebuje tudi ukaz za kreiranje hash sym linkov. Prek googla sem našel tudi naslednje :
openssl x509 -noout -hash -in $path_to_file
kar je v bistvu isti ukaz kot v apache ssql faq ...
Torej, z openssl je vse to piece of cake.
Zgodovina sprememb…
- spremenil: kopernik ()
Ezekiel ::
Da nadaljujem debato:
V primeru, da dodam v certifikat poljubno novo polje, poleg že obstoječih (CN, O, ...)....
Na kakšen način nato povem .htaccess datoteki preko SSLRequire ukaza, da naj pregleda nov parameter.
Primer za že obstoječe parametre:
...
SSLRequire %{SSL_CLIENT_S_DN_CN} eq "common name"
za CN - common name
V manualu piše, da se za poljubne x509 opcije uporabi SSL_CLIENT_S_DN_x509, samo to deluje samo za predefinirane parametre.
Opcija je tudi, da se uporabi SSL_CLIENT_S_DN_xn, kjer je n numerična predstavitev parametra.
Torej, vprašanje:
Novi parameter ima v certifikatu (pregledano v Mozilli) naslednjo vrednost:
Object identifier (2 5 4 42) = "vrednost"
Kako naj to sedaj vtaknem v omejevanje v .htaccess datoteki?
V primeru, da dodam v certifikat poljubno novo polje, poleg že obstoječih (CN, O, ...)....
Na kakšen način nato povem .htaccess datoteki preko SSLRequire ukaza, da naj pregleda nov parameter.
Primer za že obstoječe parametre:
...
SSLRequire %{SSL_CLIENT_S_DN_CN} eq "common name"
za CN - common name
V manualu piše, da se za poljubne x509 opcije uporabi SSL_CLIENT_S_DN_x509, samo to deluje samo za predefinirane parametre.
Opcija je tudi, da se uporabi SSL_CLIENT_S_DN_xn, kjer je n numerična predstavitev parametra.
Torej, vprašanje:
Novi parameter ima v certifikatu (pregledano v Mozilli) naslednjo vrednost:
Object identifier (2 5 4 42) = "vrednost"
Kako naj to sedaj vtaknem v omejevanje v .htaccess datoteki?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Davčne blagajne (strani: 1 2 3 4 … 24 25 26 27 )Oddelek: Programiranje | 334007 (74010) | Macketina |
» | PHP davčna blagajnaOddelek: Programiranje | 8143 (6167) | brble |
» | Apache SSL težaveOddelek: Programiranje | 2090 (1542) | hobbit |
» | Prijava z certifikatorm sigen-ca, customOddelek: Izdelava spletišč | 6563 (6199) | jkreuztzfeld |
» | kako usposbim sslOddelek: Izdelava spletišč | 1955 (1684) | pan |