Forum » Informacijska varnost » Proxy za certifikate
Proxy za certifikate
tx-z ::
Imam spletno stran A, ki ne podpira certifikatov.
Imam stranko C, ki bi se rada v sistem A prijavila samo s certifikatom.
Ideja: Postavim sistem B, ki bo od stranke C zahteval certifikat, in če bo ustrezen, ga prijavi v sistem A.
Razmišljam da bi B bil nek server (nginx, apache), ki sprejme certifikat...V ozadju program, ki preveri ali je certifikat ustrezen in potem pošljem spletni strani A nekako (ne vem kako) podatek, da je uporabnik C avtoriziran in ga spustim naprej.
1. Ali je to nekakšna realna rešitev? Da bi preprečil, da se C poveže direkt na A, bi na A omejil da se lahko dostopa samo preko B. Torej C niti ne bo vedel da dostopa do A-ja preko B-ja...Kakšni predlogi, komentarji? Ali raje uporabim nginx, ali apache ali nekaj tretjega? A se to kako drugače rešuje?
2. Kakšen bi bil najboljši način za prvo prijavo (recimo če kdo ve kako je to na FRI-ju..prijaviš se z nekim userjem in passwordom in tam potrdiš da boš uporabljal ta certifikat in sistem si zapomni, da se boš lahko samo s tem certifikatom prijavljal) ...Kako se to dejansko izvede, kakšne smernice?
Hvala za odgovore!
Imam stranko C, ki bi se rada v sistem A prijavila samo s certifikatom.
Ideja: Postavim sistem B, ki bo od stranke C zahteval certifikat, in če bo ustrezen, ga prijavi v sistem A.
Razmišljam da bi B bil nek server (nginx, apache), ki sprejme certifikat...V ozadju program, ki preveri ali je certifikat ustrezen in potem pošljem spletni strani A nekako (ne vem kako) podatek, da je uporabnik C avtoriziran in ga spustim naprej.
1. Ali je to nekakšna realna rešitev? Da bi preprečil, da se C poveže direkt na A, bi na A omejil da se lahko dostopa samo preko B. Torej C niti ne bo vedel da dostopa do A-ja preko B-ja...Kakšni predlogi, komentarji? Ali raje uporabim nginx, ali apache ali nekaj tretjega? A se to kako drugače rešuje?
2. Kakšen bi bil najboljši način za prvo prijavo (recimo če kdo ve kako je to na FRI-ju..prijaviš se z nekim userjem in passwordom in tam potrdiš da boš uporabljal ta certifikat in sistem si zapomni, da se boš lahko samo s tem certifikatom prijavljal) ...Kako se to dejansko izvede, kakšne smernice?
Hvala za odgovore!
tx-z
blackbfm ::
1 varjanta: b lahko poslje nek session hash na streznik a, potem pa posljes uporabnika na A preko linka, istocasno das query string od tega session hasha zraven
2 varjanta: reverse proxy, se pravi da uporabnik dostopa do A preko B
2 varjanta: reverse proxy, se pravi da uporabnik dostopa do A preko B
SeMiNeSanja ::
Še vedno boš moral nekje naštrikati nekaj s certifikatom....zakaj nebi potem direktno poštimal server A, da bo delal s certifikati? Verjetno bo lažje in manj komplikacij kot pri kakršnemkoli drugem improviziranju.
jkreuztzfeld ::
Najbrž najenostavnejša je v2 od @blackbfm. Apache mod rewrite & proxy na 'B'. Ni zelo zapleteno. Je pa malo odvisno kakšna je aplikacija na 'A'.
--
Great minds run in great circles.
Great minds run in great circles.
MrStein ::
1.) kot rečeno, se temu reče reverse proxy in dela točno to, kar rabiš.
Nič nisi napisal, kako deluje prijava v sistem A.
A bi rabil pretvorbo "klinet certifikat --> username+geslo" ?
Nič nisi napisal, kako deluje prijava v sistem A.
A bi rabil pretvorbo "klinet certifikat --> username+geslo" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
tx-z ::
Hvala za opombo,
zaenkrat deluje username+pass ja. Rabil bi pa pretvorbo klient cert->username. Geslo pa vseeno vpiše.
zaenkrat deluje username+pass ja. Rabil bi pa pretvorbo klient cert->username. Geslo pa vseeno vpiše.
tx-z
MrStein ::
aaaa, to pa je nekaj čisto drugega.
Precej večji zalogaj.
Precej večji zalogaj.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
Na SSH sem se ravno pred kratkim igral s to pretvorbo certifikata -> username in zadeva ni tak problem.
Za https pa ti žal ne vem svetovati nič konkretnega, ker se s tem nisem (še) ukvarjal.
Bistveno je, da certifikat že vsebuje email uporabnika, njegovo ime in priimek. Če je email enak username-u, zgolj uporabiš email property certifikata, ko enkrat ugotoviš, da imaš opravka z veljavnim certifikatom.
Pri SSH-ju sem imel poseben 'PKI Services Manager', ki vključuje 'Identitiy Mapper', kjer lahko vzpostavljaš povezavo med latnostmi certifikata in uporabniškim imenom.
Ne vem, če ti to kaj pomaga pri https-u, vendar verjetno to tam v princiou tudi ni kaj dosti drugače izvedeno.
Za https pa ti žal ne vem svetovati nič konkretnega, ker se s tem nisem (še) ukvarjal.
Bistveno je, da certifikat že vsebuje email uporabnika, njegovo ime in priimek. Če je email enak username-u, zgolj uporabiš email property certifikata, ko enkrat ugotoviš, da imaš opravka z veljavnim certifikatom.
Pri SSH-ju sem imel poseben 'PKI Services Manager', ki vključuje 'Identitiy Mapper', kjer lahko vzpostavljaš povezavo med latnostmi certifikata in uporabniškim imenom.
Ne vem, če ti to kaj pomaga pri https-u, vendar verjetno to tam v princiou tudi ni kaj dosti drugače izvedeno.
jkreuztzfeld ::
Apache mod_ssl environment variables http://httpd.apache.org/docs/2.2/mod/mo...
--
Great minds run in great circles.
Great minds run in great circles.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | NLB Klikin (strani: 1 2 3 4 )Oddelek: Omrežja in internet | 44492 (8199) | Machete |
» | Dekriptiranje HTTPS povezave v WiresharkuOddelek: Omrežja in internet | 5406 (4658) | ragezor |
» | Spreminjanje HTTP prometa v HTTPS/SSLOddelek: Omrežja in internet | 1540 (1415) | Vaseer |
» | Zaščita web servisaOddelek: Programiranje | 4223 (3470) | SeMiNeSanja |
» | Prijava z certifikatorm sigen-ca, customOddelek: Izdelava spletišč | 6475 (6111) | jkreuztzfeld |