LINUX.ORG.RU

Организация взаимного доверия с помощью SSL

 ,


0

2

Возможно ли с помощью платного SSL-сертификата, выданного удостоверяющим центром, создавать клиентские сертификаты для проверки подлинности клиентов ? Или как-либо совместить в рамках одной HTTPS-сессии авторизацию клиентов по клиентским сертификатам и авторизацию сервера по платному сертификату ?

Какой есть правильный способ для организации взаимной авторизации и доверия? Возможно ли это организовать без участия третьей стороны ? Должен быть общий удостоверяющий центр, которому доверяют обе стороны?


Нет. Информационная безопасность это вообще не про доверие.
Хочешь доверять – доверяй проприетарастам и ставь оффтопик или огрызок.
Безопасность это когда доверие полностью исключается.

Goury ★★★★★ ()
Ответ на: комментарий от Goury

Наверное я некоррекно выразился.

Под взаимным доверием я подразумевал возможность для сторон взаимно удостовериться в подлинности друг друга.

zensey ()

Возможно ли с помощью платного SSL-сертификата, выданного удостоверяющим центром, создавать клиентские сертификаты для проверки подлинности клиентов ?

Да. Только не с помощью сертификата, а сопомощью ключа, который ты сгенерируешь, и для которого получишь платный сертификат.

generator ★★★ ()
Ответ на: комментарий от generator

Это понятно, но можно ли заставить клиента подключаться ко мне по клиентскому сертификату, и при этом чтобы клиент мог проверить мою подлинность по платному публичному сертификату ?

zensey ()
Ответ на: комментарий от zensey

Можно заставить, но это уже не технический, а скорее административный вопрос. Не все клиенты согласятся авторизовываться по ключу :)

generator ★★★ ()
Ответ на: комментарий от generator

А как это вообще возможно технически ? Получается что у меня будет два публичных сертификата от двух разных удостоверяющих центров ?

zensey ()
Ответ на: комментарий от zensey

Я, наверно, не совсем понял вопрос. Но схема примерно такая:
1. Ты генерируешь ключ
2. На его основе делаешь запрос сертификата. Покупаешь сертификат.
3. Клиенты делают то же самое, но сертификат выдаёшь им ты (подписывая своим ключём их запросы на получение сертификата).
4. После этого прописываешь у себя в каком-нибудь апаче (или что там у тебя используется) авторизацию по клиентским ключам.
5. ...
6. PROFIT

generator ★★★ ()

SSL
доверие
АНБ

Вы точно всё правильно написали?

ktulhu666 ☆☆☆ ()

Возможно ли с помощью платного SSL-сертификата, выданного удостоверяющим центром, создавать клиентские сертификаты для проверки подлинности клиентов ?

Можно, если constraints на сертификате позволяют ему быть CA. Скорее всего, не позволяют, сейчас такие сертификаты очень мало кому выдают.

Проверить так:

openssl x509 -in blah.cer -noout -text

[...]

            X509v3 Basic Constraints: critical
                CA:FALSE

[...]

Вот если там True, то ключом такого сертификата можно подписывать другие CSR. Если там FALSE, то создай собственный CA (есть больше 9000 HOWTO на эту тему, например, тут: https://www.openssl.org/docs/HOWTO/certificates.txt), и на клиенте проверяй валидность серверного сертификата обычным образом, а на сервере - валидность клиентского, добавив свой собственный CA в список доверенных.

ivlad ★★★★★ ()

Сертификат промежуточного центра тебе вряд ли кто-то из публичных CA выдаст. Оно и не нужно. Создаешь свой Root CA, и им выписываешь сертификаты клиентам. А для аутентификации сервера используешь купленный, как и в системах без аутентификации клиентов.

segfault ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.