I certificati client possono essere associati a un certificato server specifico?

2

Ho un'autorità di certificazione di root e un'autorità di certificazione intermedia.

Ho creato un certificato per il server. SSL su Apache sta funzionando bene. Il browser riconosce la mia catena di fiducia senza problemi.

Ora ho creato un certificato client per limitare l'accesso al sito a quelli con certificati. Funziona bene anche per autenticare o negare, a seconda se ho installato il certificato nel mio browser.

Ma non credo che nulla abbia collegato il mio certificato cliente al mio certificato server. Forse mi sono perso un interruttore o un'opzione durante la creazione del certificato client?

Quindi, se la mia CA intermedia dovesse firmare un certificato per un altro server a cui deve accedere un diverso gruppo di client, il mio certificato client originale non dovrebbe autenticarsi anche su quel server?

In tal caso, quale sarebbe la mia opzione? Creare un'Autorità di certificazione intermedia separata per ciascun server che necessitava di client separati?

    
posta Madness 04.07.2015 - 03:59
fonte

2 risposte

4

Invece di configurare più CA, puoi semplicemente modificare le impostazioni di accesso nella configurazione di Apache. Guarda la direttiva Require:

link

Se imposti i requisiti di autenticazione, il livello predefinito Require viene impostato implicitamente su "valid-user" (chiunque soddisfi altri requisiti).

Ma usando Require, opzionalmente combinato con AuthGroupFile, puoi limitare l'accesso agli utenti con determinati certificati.

Ad esempio, puoi rilasciare certificati client con addetti email incorporati in 2 domini:

[email protected]
[email protected]

Quindi, sul primo Apache, è possibile consentire solo agli utenti con certificati per *@domain1.com e sul secondo utente Apache solo da *@domain2.com.

    
risposta data 04.07.2015 - 16:11
fonte
0

I certificati server possono avere più catene di trust (il certificato ha più radici) e il browser deve solo fidarsi di una catena per fidarsi del certificato del server.

Non so se il browser supporta effettivamente questo anche per i certificati client. Ma se lo fanno, sarete in grado di spedire il certificato del cliente firmato con due certificati radice separati e il server può scegliere le radici che si fida.

    
risposta data 06.07.2015 - 16:00
fonte

Leggi altre domande sui tag