come eseguire l'autenticazione ssl a 2 vie senza utilizzare una CA autofirmata

Question

come eseguire l'autenticazione ssl a 2 vie senza utilizzare una CA autofirmata

#1 da (1 voti)
#2 da (1 voti)

1

Ho il requisito di impostare un'autenticazione reciproca di ssl tra il nostro apache e un'applicazione. Ho acquistato un SSL economico da SSL rapido per fare questo. RapidSSL ha inviato una cartella zip con

CACertificate-1.cer  (RapidSSL SHA256 CA - G3)
CACertificate-2.cer  (GeoTrust Global CA)
ServerCertificate.cer (Actual Certificate)

Ma sono bloccato al punto in cui ho bisogno di creare il certificato del cliente. Il tutorial di cafesoft.com che sto seguendo fa uso della chiave del certificato della CA per generare / firmare il certificato del cliente. Ovviamente non ho la chiave del certificato della CA. Come andare su questo? Dovrei semplicemente rinunciare e usare una CA autofirmata o c'è un modo per farlo?

Grazie in anticipo,

authentication apache openssl

posta black sensei 17.06.2015 - 00:45

fonte

2 risposte

Leggi altre domande sui tag authentication apache openssl

Attacchi su computer criptato? Ho bisogno di un ASV per uscire quando faccio un SAQ?

score 1 · Answer 1

Il certificato del server e il certificato CA utilizzati per l'autenticazione dei client sono due cose diverse.

Per prima cosa è necessario che il certificato del server sia installato (SSLCertificateFile e SSLCertificateFileKey). Dovresti già averlo.

A questo punto, hai il tuo server che presenta il suo certificato ai clienti.

Ora è necessario generare una CA (autofirmata) e comunicare all'istanza di Apache che questa è la CA che si desidera utilizzare per l'autenticazione dei client. (Richiede SSLCACertificateFile e SSLVerifyClient)

Devi solo firmare i tuoi clienti csr con la CA appena creata.

Saluti.

score 1 · Answer 2

Hai bisogno di un certificato client per ogni utente (o app client se l'app si sta autenticando sul server) che utilizzerà l'autenticazione reciproca SSL. È possibile acquistare certificati client da una CA esistente o creare un certificato CA autofirmato e rilasciare certificati personalizzati. Se hai molti utenti, l'acquisto di certificati può essere costoso.