Riutilizzare i certificati client

Naviga le tue risposte
1

Ho un'applicazione web legacy in cui gli utenti sono identificati e autenticati con i certificati client. Ora, il cliente desidera utilizzare lo stesso certificato client per l'autenticazione con un'applicazione Web appena creata (nome host diverso). Penso che questo non è possibile, dal momento che i certificati del server devono essere diversi.

C'è un modo per aggirare questo? È possibile ri-firmare un certificato? (Ho accesso a tutti i certificati, le chiavi del server e la firma CA e sto scrivendo la nuova applicazione).

    
posta Karsten Kroesch 12.01.2015 - 11:45
fonte

1 risposta

2

I certificati client sono utilizzati per autenticare i client, quindi non dovrebbero avere nulla a che fare con il certificato del tuo server.

Passaggio 1 I certificati client sono firmati da una CA. Se comunichi alla tua app Web (il tuo server) di considerare attendibile tale CA, il tuo server accetterà il certificato client. Semplice come quella. A seconda della configurazione, questo è facile da fare. Ad esempio, per Apache, è possibile aggiungere quanto segue in httpd.conf: 

SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile conf/ssl.crt/ca.crt

Dove "SSLCaCertificateFile" contiene il percorso del certificato della CA che è stato utilizzato per firmare i certificati client.

Passaggio 2 Il passaggio 2 è quindi assicurarsi che il client sia conosciuto (ma ciò dovrebbe essere irrilevante per la tua domanda). Questo è, il certificato è attendibile ora (passaggio 1), ora è necessario estrarre il nome del client (che è presente nel certificato) e assicurarsi che a questo client possa essere concesso l'accesso.

    
risposta data 12.01.2015 - 12:01
fonte

Leggi altre domande sui tag

Quanto sono sicuri gli ACL di rete basati sull'indirizzo IP? Hosting di più siti Web sullo stesso server - Prevenzione da DoS