Modo sicuro per passare il certificato client al client2

Naviga le tue risposte
1

Il nostro prodotto è composto da due server. Vorremmo autenticare un server sul server principale per mezzo del certificato client. Suppongo che dovremmo chiedere ai clienti (che acquistano il prodotto) di utilizzare la propria CA per generare un certificato per il server principale.

1) Sarebbe un certificato CA intermedio? Quindi, presumo che il server principale debba generare un certificato client e inviarlo al server subordinato.

2) Quale sarebbe un modo sicuro per passare il certificato client dal server principale al sottoserver?

3) Tutto questo è supportato da OpenSSL?

Grazie.

{Ho già fatto questa domanda in precedenza ma il mio nuovo utente non era disponibile.}

    
posta user54875 03.09.2014 - 13:04
fonte

1 risposta

6

Non vuoi generare un certificato client per il tuo cliente. Ciò significherebbe che hai la chiave privata per le loro comunicazioni. Questa è una cattiva pratica.

  1. Hai una buona idea. Si desidera generare un certificato CA di root per il proprio server principale. Il cliente dovrebbe quindi generare un certificato CA intermedio per il proprio server. Inviano questo certificato CA intermedio all'utente tramite una Certificate Signing Request (CSR) , e firmerai il certificato con il tuo certificato CA radice. Il link precedente è solo a scopo informativo, non sto pubblicizzando il loro prodotto. Questo certificato firmato verrebbe quindi rispedito al cliente per l'uso.

  2. Una CSR è un formato che contiene tutte le informazioni necessarie per firmare il certificato fornito. Non contiene la chiave privata del certificato. Questa risposta e i commenti spiegano che un modulo in una pagina Web per l'invio è ragionevole perché non vengono trasmessi dati privati. Ciò ti darà anche la possibilità di raccogliere altre informazioni necessarie per verificare il cliente al fine di elaborare il CSR. Una volta elaborato il CSR è possibile inviare il certificato tramite lo stesso mezzo, via e-mail o qualunque altro metodo si scelga. Non sono state aggiunte informazioni private dopo aver firmato il loro certificato.

  3. Sì, OpenSSL fornisce tutte le funzionalità necessarie per configurarlo. Esistono diversi esempi di configurazioni PKI su Tutorial PKI OpenSSL . Ecco un'altra grande passeggiata per la creazione di PKI (PDF) . Ora questi esempi vanno oltre lo scopo di ciò che state facendo, ma vi forniranno la piena comprensione di ciò che deve accadere affinché le autorità di certificazione funzionino.

Ecco un bella spiegazione di come le cose si incastrano tutte insieme a un livello superiore.

    
risposta data 03.09.2014 - 15:29
fonte

Leggi altre domande sui tag

Impostazione DNSsec per un TLD esotico In quali situazioni un hacker può tentare di rompere le password milioni di volte? [duplicare]