Che cosa si intende esattamente per serverAuth e clientAuth

Question

Che cosa si intende esattamente per serverAuth e clientAuth

#1 da (3 voti)
#2 da (0 voti)

4

Sto costruendo una rete che consentirà a dipendenti e clienti di accedere a sistemi aziendali. A tal fine sto usando un server Red Hat Enterprise Linux (RHEL) 7.0 come server firewall / di autenticazione. Inizialmente a scopo di test, userò i certificati autofirmati. Lo scenario operativo è il sistema client (Windows 7/8) che stabilisce una VPN / IKEv2 sessione con il server.

Devo distribuire un certificato client a chiave pubblica ai sistemi Windows. Devo anche definire un certificato del server, che contiene la chiave privata? Ecco dove mi sento un po 'confuso, perché ho visto così tante varianti: ho visto il campo Extended KeyUsage impostato su clientAuth e serverAuth; solo a clientAuth; o solo su serverAuth.

La mia ipotesi è che il client nel tentativo di stabilire una sessione VPN / IKEv2 con il server, dovrebbe essere "autorizzato" dal server se il client invia la chiave pubblica "corretta". Quindi dovrei impostare l'EKU sul server cert su clientAuth? o serverAuth? o entrambi? (che non ha senso per me)

client certificates

posta Guy 29.03.2015 - 17:11

fonte

2 risposte

Leggi altre domande sui tag client certificates

Impedisci a un'applicazione client desktop di abusare di un token di accesso API ottenuto tramite OAuth2 per conto di un'applicazione Qual è un termine per descrivere più attacchi di spallamento per scoprire diverse parti della password?

score 3 · Answer 1

Teoria
Questo è il solito processo in teoria:

Il tuo client stabilisce una connessione al server. Il server presenta il suo certificato. Il client quindi si assicura che:
(1) il certificato è valido,
(2) il server è in possesso della chiave privata corrispondente tramite un meccanismo di verifica e risposta,
(3) che "serverAuth" è impostato nel certificato.

Quindi il server può o non può chiedere al cliente un proprio certificato. Ed è più o meno lo stesso in questa direzione. Il cliente presenta il suo certificato. Il server quindi si assicura che:
(1) il certificato è valido,
(2) il cliente è in possesso della chiave privata corrispondente tramite un meccanismo di richiesta e risposta,
(3) che "clientAuth" è impostato nel certificato. Altrimenti il server interrompe la connessione.

Practice
Ora, se il tuo software impone effettivamente il passaggio 3 è una questione completamente diversa Quindi, come scopri cosa funziona?

(1) Approfondimento: leggere il manuale, fare qualche esperimento, contattare l'assistenza software.
(2) Modo lento: basta impostare ogni singolo flag di utilizzo sui certificati.

RFC 5280 standard Ora la RFC 5280 descrive gli EKU nella sezione 4.2.1.12 ma non è molto prolissa.

score 0 · Answer 2

"auth" in questione è autenticazione , non autorizzazione . serverAuth indica che il certificato può essere utilizzato per autenticare il server (ovvero, il certificato consente a un server di dimostrare la propria identità al client); I certificati clientAuth hanno lo scopo di consentire a un client di provare la propria identità (cioè autenticarsi) sul server.