Prijava z certifikatorm sigen-ca, custom

Povsem vseeno (iz tehničnega vidika) je kater CA je izdal certifikate.
Strežniški mora imeti namen Server Authentication, uporabniški Client Authentication

Na primer Apache...
Za client cert minimalac:

<Directory /var/www/SSL/Certneeded>
	SSLVerifyClient require
	SSLVerifyDepth 1
</Directory>

Spremenljivke, ki jih vlečeš iz certifikatov in vse ostalo kar te lahko zanima pa tule: http://httpd.apache.org/docs/2.2/mod/mo...

smash je 31. maj 2011 ob 13:57 izjavil:

če te prav razumem..

1.) da bi server sprejemal od sigen-ca certifikate, mora imet inštaliran nek poseben CA, ali je CA za sigen že naložen v brskalnike?

Vseeno je kateri CA, moraš imeti javni certifikat od CA-ja po izbiri označen kot "trusted authority" (če želiš sam štancat testne certifikate priporočam uporabo CACert.org namesto da greš sam delat svoj CA)

2.) jaz po prijavi z sigen-ca client certifikatom preberem iz njega podatke in ugotovim, da gre za Janeza Novaka, to potem primerjam z šifrantom uporabnikom v moji bazi, kjer najdem janeza novaka in to potem pomeni, da se lahko janez novak avtenticira? ali je bolje da namesto imena in priimka v bazo shranjujem nek ID, ki je na certifikatu?

Če hočeš samo avtentikacijo, je dovolj če certifikat povežeš z obstoječim uporabnikom (V Windows AD je opcija "Name mappings" pri userju)

3.) verjetno je poleg prijave z certifikatom treba se pokazati okno z geslom? zaradi varnosti?

To je stvar aplikacije. Lahko, ni pa nujno...je pa seveda še ena dodatna stopnja varnosti

smash je 31. maj 2011 ob 13:57 izjavil:

če te prav razumem..

1.) da bi server sprejemal od sigen-ca certifikate, mora imet inštaliran nek poseben CA, ali je CA za sigen že naložen v brskalnike?

Da lahko preverja sigen-ca uporabniške certifikate, server potrebuje od sigen-ca javni ključ - http://www.sigen-ca.si/identiteta.php

smash je 31. maj 2011 ob 13:57 izjavil:

2.) jaz po prijavi z sigen-ca client certifikatom preberem iz njega podatke in ugotovim, da gre za Janeza Novaka, to potem primerjam z šifrantom uporabnikom v moji bazi, kjer najdem janeza novaka in to potem pomeni, da se lahko janez novak avtenticira? ali je bolje da namesto imena in priimka v bazo shranjujem nek ID, ki je na certifikatu?

Tako je. Najbolje je preverjat nekaj iz SSL_CLIENT_S_DN_x509 (glej navodila za mod_ssl). Ti podatki se ponavadi ne spreminjajo tudi ko se uporabniški certifikat obnovi/zamenja.
S podatki iz zgoraj omenjene spremenljivke (in drugih) lahko zganjaš tuti avtorizacijo, npr.

smash je 31. maj 2011 ob 13:57 izjavil:

3.) verjetno je poleg prijave z certifikatom treba se pokazati okno z geslom? zaradi varnosti?

Odvisno. Če preverjaš še geslo imaš de facto dvofaktorsko avtentikacijo.


Če boš uporabljal client certifikate nujno tudi preverjaj CRL.

Heh. Takole je - če se želiš zadeve naučiti, sedaj počasi prihajaš do točke, ko se bo treba zakopat v čtivo. Če nameravaš zadeve delati enkrat in osnovno je Van's Apache SSL/TLS mini-HOWTO lep cookbook. (in ostali).

smash je 31. maj 2011 ob 15:09 izjavil:

1.) ok če prav razumem, sigen-CA javni ključ je treba namestiti na server, drugače ne prepozna sigen-ca certifikatov..to pomeni da se ga doda v certification store verjetno, je tako? lahko poveš v kateri store, mislim da so trije?

2.) ko se recimo z mojim certifikatom prijavim na ABANET spletno banko, me poleg certifikata vpraša tudi za geslo...je kak poseben razlog v tem, da sprašuje še za dodatno geslo? domnevam, da je to dodatni varnosti razlog v primeru, če se nekdo drug vsede za tvoj računalnik in se hoče prijaviti na stra...certifikat gre avtomatično skozi, ustavi se mu torej pri tem geslu..je tako?

3.) kaj je CRL? :) certificate revocation list? to pomeni, da se na nek način preveri veljavnost certifikatov? client ali server? ali tudi javnega ključa os sigen-ca-ja? verjetno je veljavnost client certifikata zapisana v samem certifikatu? si to mislil s tem preverjanjem?

ad 1. Prvi stavek - nekako prav razumeš, CA certifikat potrbuješ za preverjanje ali so client certifikati res izdani od tega CA. Če si mislil windows certificate store, obstajata User in Machine - in ne, nimata veze z zadevo.

ad 2. Recimo. Če certifikata nimaš dodatno zaščitenega. Al kako naj na to odgovorim.

ad 3. Ja. CRL. / Ja. / zakaj zaboga bi server preverjal svoj cert / huh? / kajpak / najbrž.

Resno... Čitaj. Veliko. Začni tule
(ponavljaj ad nauseum ), potem se loti external linkov članka. Se splača.

jkreuztzfeld je 31. maj 2011 ob 23:19 izjavil:

Heh. Takole je - če se želiš zadeve naučiti, sedaj počasi prihajaš do točke, ko se bo treba zakopat v čtivo. Če nameravaš zadeve delati enkrat in osnovno je Van's Apache SSL/TLS mini-HOWTO lep cookbook. (in ostali).

smash je 31. maj 2011 ob 15:09 izjavil:

1.) ok če prav razumem, sigen-CA javni ključ je treba namestiti na server, drugače ne prepozna sigen-ca certifikatov..to pomeni da se ga doda v certification store verjetno, je tako? lahko poveš v kateri store, mislim da so trije?

2.) ko se recimo z mojim certifikatom prijavim na ABANET spletno banko, me poleg certifikata vpraša tudi za geslo...je kak poseben razlog v tem, da sprašuje še za dodatno geslo? domnevam, da je to dodatni varnosti razlog v primeru, če se nekdo drug vsede za tvoj računalnik in se hoče prijaviti na stra...certifikat gre avtomatično skozi, ustavi se mu torej pri tem geslu..je tako?

3.) kaj je CRL? :) certificate revocation list? to pomeni, da se na nek način preveri veljavnost certifikatov? client ali server? ali tudi javnega ključa os sigen-ca-ja? verjetno je veljavnost client certifikata zapisana v samem certifikatu? si to mislil s tem preverjanjem?

ad 1. Prvi stavek - nekako prav razumeš, CA certifikat potrbuješ za preverjanje ali so client certifikati res izdani od tega CA. Če si mislil windows certificate store, obstajata User in Machine - in ne, nimata veze z zadevo.

ad 2. Recimo. Če certifikata nimaš dodatno zaščitenega. Al kako naj na to odgovorim.

ad 3. Ja. CRL. / Ja. / zakaj zaboga bi server preverjal svoj cert / huh? / kajpak / najbrž.

Resno... Čitaj. Veliko. Začni tule
(ponavljaj ad nauseum ), potem se loti external linkov članka. Se splača.

ok hvala za linke, bom prebral :)

drugače pa:

ad 1. kam torej namestiti javni ključ od sigen-ca (če ne v tem crtificate store na serverju), da bo pravilno prepoznal client certifikate?

ad 2. aha to verjetno misliš, ko certifikat sam ni zaščiten z geslom? torej bi se nekdo lahko enostavno vsedel za tvoj comp in prijavil notri..ok

ad 3. je preverjanje CRL-ja mišljeno iz moje aplikacije na strežniku, ali je to del strežnika? v aplikaciji namreč brez težav preverim veljavnost certifikata..je to to?

ok..večina stvari mi je jasnih..tud za crl sem najdu kako se preverja..z certifikatom od sigen-ca se sedaj uspešno prijavim na strežnik in dostopma do aplikacije

zdaj imam dilemo samo še pri tem, pod čem voditi uporabnika v moji bazi

napisal si (ticko551): "Tako je. Najbolje je preverjat nekaj iz SSL_CLIENT_S_DN_x509 (glej navodila za mod_ssl). Ti podatki se ponavadi ne spreminjajo tudi ko se uporabniški certifikat obnovi/zamenja.
S podatki iz zgoraj omenjene spremenljivke (in drugih) lahko zganjaš tuti avtorizacijo, "

ok to mi ni cisto jasno...moj streznik je IIS in ko pride uporabnik v aplikacijo (asp.net) imam tam nek objekt HttpClientCertificate, ker imam določene variable od certifikata....tega SSL_CLIENT_S_DN_x509 tam ni,

zato me zanima, kaj oz. kje je to...sicer sem na brzino našel, da je ta mod_ssl nekaj povezan z apachejem, ampak se mi zdi, da mi boš ti hitreje dal nek bolj ajsen odgovor

imam nek serialnumber, pa znotraj polja subject še nek drug serialnumber, poleg seveda imena in priimka...misliš da se ti serialnumberji ob novem certifikatu spremenijo?

hvala

bom pogledal ...

še to me zanima...v čem se razlikujeta certifikata, kjer imata dve osebi enako ime in priimek...je kak tak specifičen parameter enoličen za neko osebo razen ter serialnumberjev?

veš kaj o tem? kako ju razlikovati torej?

jype je 1. jun 2011 ob 12:20 izjavil:

smash> je kak tak specifičen parameter enoličen za neko osebo razen ter serialnumberjev?

Object Identifier (2 5 4 5) =

1. kje najdem ta object identifier?

2. med podatki znotraj svojega certifikata sem našel celo email (seveda star in napačen)..sicer nima neke zveze s to temo pa vendar me zanima, če je kak poseben razlog, da se v certifikat spravlja email naslov

smash je 1. jun 2011 ob 12:54 izjavil:

(snip, snip)

1. kje najdem ta object identifier?

2. med podatki znotraj svojega certifikata sem našel celo email (seveda star in napačen)..sicer nima neke zveze s to temo pa vendar me zanima, če je kak poseben razlog, da se v certifikat spravlja email naslov

ad 1. OIDji ki jih je uporabil CA te v bistvu prav dosti ne zanimajo. Sicer imaš politike od sigen-ca tule.
Pri sigen-ca imaš v polju Subject naslednje atribute

 SERIALNUMBER = 2463532715118
 CN = JANEZ KOVAC
 OU = FIRMA - 93855262
 OU = companies-web
 OU = sigen-ca
 O = state-institutions
 C = si
 

V polju SubjectAlternativeName imaš

 RFC822 Name = janez.kovac@firma.si
 

Enoličen je žal samo serial number (in najbrž e-mail). Problem vezave uporabnika na serial # se ti seveda pojavi ob menjavi/obnovi certifikata.

ad 2. Taka je politika CA-ja.

Preverjanje CRL je naloga strežnika. Najbrž IIS to dela avtomagično.