LINUX.ORG.RU

Авторизация по SSL-сертификатам и их отзыв

 ,


0

1

Хочу усилить некоторые свои сайты, на которые все равно никто не ходит, кроме меня, путем авторизации на них по SSL-сертификатам. У меня есть самоподписанный CA-сертификат, который мне обеспечивает HTTPS для некоторых моих сайтов. Теперь на его основе я хочу сделать клиентские сертификаты для всех устройств, с которых я хожу на эти сайты. Все SSL-сертификаты я обычно генерю на одной машине, а потом копирую их куда следует. CA-сертификат, разумеется, у меня один на все серверы.
В случае с клиентскими сертификатами мне непонятна вот какая вещь. Допустим, я сгенерю клиентские сертификаты на этой машине. CA-сертификат отправлю на удаленный сервер, клиентские сертификаты раздам всем устройствам по одному на каждый. Если какой-то клиентский сертификат будет скомпрометирован и я его отзову на той машине, на которой его генерировал, то как удаленный сервер сможет «узнать», что данный клиентский сертификат был отозван и его пускать не следует?

★★★★★

как удаленный сервер сможет «узнать», что данный клиентский сертификат был отозван

Я так понимаю, что ни как. Нужно руками файл с отозванными сертификатами на сервер выкладывать.

ThePretender ()

Этим должен заниматься веб-сервер, нужно поинтересоваться, есть ли в принципе проверка отозванных клиентских сертификатов у имеющихся вебсерверов, у того же апача

Harald ★★★★★ ()
Ответ на: комментарий от ThePretender

Где находится этот файл и как указать на этот файл в конфигах Apache и Nginx?

Rinaldus ★★★★★ ()

Апач умеет проверять статус клиентского сертификата по OCSP, нжынкс - наверное нет.

thesis ★★★★★ ()

Нужен будет свой OCSP сервер, по-хорошему, openssl для этого достаточно.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

Я читал про OCSP, но так и не понял, информация об этом сервере должна находиться в клиентских сертификатах или в CA-сертификате? Если в клиентских сертификатах, то хорошо. Я их тогда смогу сгенерировать уже с этой информацией. Но если эта информация должна быть в CA-сертификате и в существующий нельзя добавить информацию об OCSP, а только создать новый, то это мне не подойдет.

Rinaldus ★★★★★ ()
Последнее исправление: Rinaldus (всего исправлений: 2)

root CA у тебя же по идее - тогда с отзывами не должно быть проблем. Да и вообще это можно при желании перенести на прикладной уровень и в дальнейшем управлять сертификатами на лету.

anonymous ()
Ответ на: комментарий от anonymous

root CA у тебя же по идее - тогда с отзывами не должно быть проблем.

Почему не должно быть проблем? Я же создаю сертификаты в одном месте, а использую в другом.

Да и вообще это можно при желании перенести на прикладной уровень и в дальнейшем управлять сертификатами на лету.

Можно поподробнее, пожалуйста?

Rinaldus ★★★★★ ()
Ответ на: комментарий от Rinaldus

Я читал про OCSP, но так и не понял, информация об этом сервере должна находиться в клиентских сертификатах или в CA-сертификате

и там и там.

В вашем случае вы можете продолжить использовать текущий СА сертификат без OCSP, а клиентские с OCSP

snaf ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.