La CA deve essere uguale per l'autenticazione reciproca?

Question

La CA deve essere uguale per l'autenticazione reciproca?

Naviga le tue risposte

#1 da (2 voti)

2

Sto provando a stabilire un'autenticazione reciproca tra il mio server Tomcat e il firewall del mio cliente.

Il certificato del server che abbiamo è di Digicert (Root CA) e RapidSSL (intermedio).

La catena di certificati nel blocco ServerHello proviene da QuoVadis.

Ma prima della riga ServerHelloDone , Cert Authorities è vuota:

*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Supported Signature Algorithms: SHA256withRSA, SHA256withDSA, SHA256withECDSA, SHA384withRSA, Unknown (hash:0x5, signature:0x2), SHA384withECDSA, SHA512withRSA, Unknown (hash:0x6, signature:0x2), SHA512withECDSA, SHA1withRSA, SHA1withDSA, SHA1withECDSA
Cert Authorities:
<Empty>
ajp-line-1, READ: TLSv1.2 Handshake, length = 4
*** ServerHelloDone
Warning: no suitable certificate found - continuing without client authentication
*** Certificate chain
<Empty>

Vado qui per la documentazione - link

RapidSSL / Digicert dovrebbe essere disponibile nel blocco Cert Authorities affinché l'autorizzazione del client continui?

authentication tomcat tls certificates mutual

posta Hrishikesh Choudhari 03.12.2018 - 06:24

fonte

1 risposta

Leggi altre domande sui tag authentication tomcat tls certificates mutual

Come distruggere in modo sicuro il vecchio cellulare, per evitare il recupero dei dati personali? Come gestire la chiave pubblica con crittografia asimmetrica

score 2 · Accepted Answer

L'autenticazione client e server non deve utilizzare le stesse CA, ma dovresti dire al server quali CA deve fidarsi per autenticare i client , che sembra essere il problema qui.

Perché? Molte persone creano la propria CA e rilasciano i certificati direttamente ai propri clienti. Ciò risparmia ai clienti la difficoltà di passare attraverso una certificazione a volte disordinata. Questa informazione è anche trasmessa ai clienti durante l'handshake TLS.

Un'altra opzione è quella di dire ai clienti di ottenere i certificati dalle CA pubbliche: sembra che la vostra azienda abbia fatto questo e non abbia detto specificamente ai clienti da quale CA acquistare. Se interpreto correttamente la tua descrizione, questo cliente ha scelto QuoVadis per ottenere la certificazione sulla loro fine. Se ti fidi di QuoVadis per autenticare i server "abbastanza bene" per i tuoi scopi, allora configura il server in modo che si fidati di QuoVadis per l'autenticazione del client. Per Apache :

SSLCACertificateFile /etc/ssl/certs/name-of-quovadis-certificate.crt

Eventualmente, concatenare tutte le CA che conosci e di cui ti fidi (RapidSSL e Digicert, io raccolgo). Puoi anche prendere una scorciatoia e fidarti solo di tutte le CA conosciute. In Debian / Ubuntu:

SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt

Attenzione però: molte CA convalideranno automaticamente la proprietà del dominio ( Let's Encrypt lo fa gratuitamente, per esempio). Per farla breve, diciamo questo: se la convalida automatica del dominio gratuito non è abbastanza buona per te, guarda in Cloudflare o semplicemente dimentica le CA commerciali e rilascia i certificati manualmente ai tuoi clienti.

Se invece sei il cliente, rispondi alla domanda: chiedi all'altro lato quali CA si fidano, aggiungi RapidSSL o DigiCert all'elenco e assicurati che l'elenco sia inviato.