comprensione del certificato client - pfx sul generale

1

Oggi mi viene dato un pfx e mi viene detto di accedere a un sito web. Non ho assolutamente idea di quello che mi è stato dato inizialmente, quindi per favore conferma gentilmente la mia comprensione a livello generale

1) il pfx è un contenitore che viene utilizzato per salvaguardare la chiave privata e il certificato.

2) quando faccio doppio clic sul file pfx, in realtà mi richiede una password. Questa è l'uso della password per estrarre il contenuto (ad esempio chiave privata e certificato).

La finestra

mi ha suggerito di scegliere in quale negozio inserire il certificato o selezionare automaticamente l'archivio certificati

q1) how do I find out where is the certificate store on my system ?

q2) where is the private key extracted to then ?

In questo scenario, credo che per poter accedere a un sito Web, il cliente dovrà fornire il certificato che contiene la chiave pubblica che il server utilizzerà per comunicare con esso.

Affinché tutto funzioni (autenticazione client)

  • a) il cliente deve generare un CSR con la sua chiave pubblica all'interno
  • b) il cliente deve inviare il CSR per essere firmato da una CA autorizzata
  • c) deve essere la certificazione CA autorizzata e tutti i certificati relativi alle radici installato / disponibile sul lato SERVER
  • d) il client invia il certificato al server, il server convalida il certificato, utilizza la chiave pubblica del certificato per crittografare le informazioni prima di inviarle al client.
  • e) il client che ha la chiave privata lo decrittografa informazioni ecc ecc.

questa chiave privata e il certificato sono archiviati in un file pfx. Chiunque abbia il file pfx (e la password per aprire il file pfx) può comunicare con il server.

q3) does that means anyone/client who has a valid certificate signed by a CA can access the server then ? how does the server choose which client to allow access and which not to ?

    
posta Noob 30.03.2016 - 10:13
fonte

2 risposte

1

Quindi affrontiamo prima in modo semplice:

Q1 / Q2 puoi vedere i tuoi certificati nel gestore certificati a.k.a. certmgr.msc

Q3 il tuo scenario è probabilmente sbagliato. Se viene fornito un certificato client, è probabilmente già firmato da qualche autorità di certificazione (forse una CA interna utilizzata dal servizio a cui si sta tentando di accedere).

Pertanto, non è necessario che il flusso di lavoro CSR avvenga qui, poiché non è necessario generare un certificato da una coppia di chiavi appena generata.

Se ti stai riferendo al processo di creazione del certificato prima di averne ricevuto uno, allora sei corretto. La chiave pubblica entra in una CSR con le tue informazioni. Alcuni CA lo firmano. È necessaria la CA radice della catena.

L'ultima parte è l'autenticazione. Attualmente sto cercando il protocollo giusto, se ce n'è uno. Ma ciò che dovrebbe essere fatto è:

  • controlla la firma del certificato rispetto alla chiave pubblica CA
  • verifica la validità del certificato
  • controlla la revoca
  • controlla l'oggetto del certificato (da chi proviene)
  • valutare la prova di possesso (attraverso una sfida)

Il certificato del client potrebbe non dover essere inviato, se esiste un keystore pubblico per il servizio web.

Risorse:

risposta data 30.03.2016 - 10:33
fonte
0

q1) Se ti viene chiesto di connetterti a una pagina web tramite il tuo browser, è molto probabile che si supponga che si trovi nel tuo negozio "Personale".

q2) Finisce nell'archivio certificati, molto probabilmente 'Utente' 'Personale', usa MMC. (Google 'Come: Visualizza certificati con lo snap-in MMC')

q3) Sì. Più probabilmente. Probabilmente hai ricevuto il tuo certificato cliente che ti darà accesso.

Potrebbe richiedere un certificato client firmato dalla CA, ma non è necessario che sia l'unico requisito. Un'applicazione Web può anche avere un elenco di quali certificati client accettare o accettare solo quelli con un nome che inizia con "A". Date le informazioni fornite, è davvero difficile dirlo.

Immagino che questa sia l'autenticazione client SSL senza trucchi speciali, quindi "Sì".

    
risposta data 30.03.2016 - 10:30
fonte