The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"SSL Аутификация + Apache"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"SSL Аутификация + Apache" 
Сообщение от cybpoison emailИскать по авторуВ закладки(??) on 06-Июл-05, 23:00  (MSK)
Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в Apache, перерыл кучу доков но некак не получается сделать это. Задача такова:
Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого, т.е. привязанные к CA сертификату, и затем уже выданы клиенту для импорта.
После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату пускать на сайт. Если сертификат истёк, то соответственно его не должно пускать. Помогите реализовать такую задачу.

Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это на платформе FReeBSD реализуется... перерыл много манов, а так же пролез не один форум, нигде не упоминается о таком виде аутификации. Пример такой аутификации на https://light1.webmoney.ru/
Хотелось бы воспользоваться таким удобным способом...

Жду ваших ответов, ICQ:623091

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "SSL Аутификация + Apache" 
Сообщение от cybpoison emailИскать по авторуВ закладки(??) on 08-Июл-05, 12:14  (MSK)
Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`?

p.s. Sorry za translite

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "SSL Аутификация + Apache" 
Сообщение от .zZz. emailИскать по авторуВ закладки(??) on 11-Июл-05, 10:18  (MSK)
>Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi
>primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`?
>
>p.s. Sorry za translite

В своё время помогли ссылкой:
http://www.pseudonym.org/ssl/ssl_cook.html

однако ж я потерял интерес (да и времени особо не было разбираться) и, обломавшись пару раз, не стал дальше копать - хотя, конечно, тема интересная.

По-большому счёту, единственный затык - это импорт созданных сертификатов на клиентскую машину через броузер. В статье - пример тока для нетшкапа и осла. При этом для осла - необходимо использовать activex.

<!-- Use the Microsoft ActiveX control to generate the certificate -->
<OBJECT CLASSID="clsid:33BEC9E0-F78F-11cf-B782-00C04FD7BF43"
        CODEBASE=certenr3.dll
   ID=certHelper>
</OBJECT>


я там в ицку стукнул, если что - попробую помочь. ;)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "SSL Аутификация + Apache" 
Сообщение от ksnov Искать по авторуВ закладки(ok) on 09-Авг-05, 18:28  (MSK)
>Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в
>Apache, перерыл кучу доков но некак не получается сделать это. Задача
>такова:
>Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты
>на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у
>кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого,
>т.е. привязанные к CA сертификату, и затем уже выданы клиенту для
>импорта.
>После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено
>наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату
>пускать на сайт. Если сертификат истёк, то соответственно его не должно
>пускать. Помогите реализовать такую задачу.
>
>Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это
>на платформе FReeBSD реализуется... перерыл много манов, а так же пролез
>не один форум, нигде не упоминается о таком виде аутификации. Пример
>такой аутификации на https://light1.webmoney.ru/
>Хотелось бы воспользоваться таким удобным способом...
>
>Жду ваших ответов, ICQ:623091


Добрый день!
Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии одноуровневой CA. Хотя возможно Вы не так выразились:)
Схема реализации в принципе такова:
Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь подробно описан в документации на OpenSSL (найти ее можно и на opennet.ru и на openssl.org)
Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить на https://sf.net и поискать там по ключевому слову PKI - там найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и реализующих все необходимые Вам функции.
СУВЖ Кирилл

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "SSL Аутификация + Apache" 
Сообщение от .zZz. emailИскать по авторуВ закладки(??) on 10-Авг-05, 09:06  (MSK)
>Добрый день!
>Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии
>одноуровневой CA. Хотя возможно Вы не так выразились:)
>Схема реализации в принципе такова:
>Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете
>его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь
>подробно описан в документации на OpenSSL (найти ее можно и на
>opennet.ru и на openssl.org)
>Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить
>на https://sf.net и поискать там по ключевому слову PKI - там
>найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и
>реализующих все необходимые Вам функции.
>СУВЖ Кирилл
Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это ещё не самое ужасное (т.к. про это также написано в документации к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный CA (этим же CA подписывается серверный сертификат апача). Это в свою очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище сертификатов на клиентской машине. Вот как это сделать? ;)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "SSL Аутификация + Apache" 
Сообщение от tekiza emailИскать по авторуВ закладки on 10-Авг-05, 12:58  (MSK)
>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а
>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это
>ещё не самое ужасное (т.к. про это также написано в документации
>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на
>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный
>CA (этим же CA подписывается серверный сертификат апача). Это в свою
>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище
>сертификатов на клиентской машине. Вот как это сделать? ;)
Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/ при получении демо сертификата от них, их скрипт просит импортировать их CA(демо-CA)(Официальные CA уже импортированы в браузер)

С уважением ко всему IT-сообществу, прошу помочь...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "SSL Аутификация + Apache" 
Сообщение от ksnov Искать по авторуВ закладки(ok) on 10-Авг-05, 17:27  (MSK)
>>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а
>>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это
>>ещё не самое ужасное (т.к. про это также написано в документации
>>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на
>>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный
>>CA (этим же CA подписывается серверный сертификат апача). Это в свою
>>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище
>>сертификатов на клиентской машине. Вот как это сделать? ;)
>Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет
>ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться
>сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно
>импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же
>в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это
>осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/
>при получении демо сертификата от них, их скрипт просит импортировать их
>CA(демо-CA)(Официальные CA уже импортированы в браузер)
>
>С уважением ко всему IT-сообществу, прошу помочь...
Тут 2 варианта либо покупать коммерческий продукт (Unicert,RSA,CryptoPRO)либо брать с sf.net продукт наиболее полно отвечающий Вашим требованиям
К примеру:
1.http://ejbca.sourceforge.net/ Полнофункциональный продукт и судя по описанию покрывает все Ваши потребности
http://ejbca.sourceforge.net/features.html
Правда он достаточно много за собой тянет (Tomcat,JBOSS)
2.http://www.newpki.org/modules.php?op=modload&name=News&file=article&sid=8
3.http://sourceforge.net/projects/op-en-pki/
Это первые  ссылки после поиска по слову PKI Если поискать то наверняка что то найдется:)
СУВЖ Кирилл
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру