How-to-do-client-Zertifikat-Authentifizierung mit Apache

Die Frage ist sehr klar, aber ich fand keine nützliche tutorial online. Also ich wünschte, ich könnte etwas Glück haben Sie hier.

Im Grunde, das ich bauen will ein client-Zertifikat-Authentifizierung mit Apache. Ich konfigurierte die conf-Datei für Apache für die Website, die ich bin hosting. Die conf lege ich hier:

SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile /etc/apache2/ssl/client.crt

Allerdings habe ich keine Idee, wie das zum generieren des Zertifikats und Schlüssel-Datei für den client. Und auch, welche Datei soll ich auf die SSLCACertificateFile in der Apache-server-Konfigurationen?

Wird der server einfach vergleichen Sie die Zertifikat-Datei gesendet werden vom client mit dem Zertifikat-Datei auf dem server? Was genau, das client-Zertifikat-Authentifizierung zu tun ?

  • Du bist off-topic und deine Frage macht keinen Sinn. Wenn Sie den server läuft, den Sie nicht erzeugen, alles für den Kunden. Der Kunde generiert seinen eigenen key und Zertifikat. Wenn er will, Sie zu authentifizieren, ihm ist es auch bis zu ihm zu bekommen es entweder von einer ZERTIFIZIERUNGSSTELLE signiert wurden, dem Sie Vertrauen, oder es exportieren, um Sie.
  • das ist falsch: wenn Sie Ihre eigene ZERTIFIZIERUNGSSTELLE, der client generiert einen Schlüssel und ein Zertifikat beantragen, dann generieren Sie ein Zertifikat (cert Anfrage und Ihre CA). Sie können dann überprüfen, dass ein Benutzer eine Verbindung mit einem Zertifikat (und passender Schlüssel), das "unterzeichnet" von Ihrer CA.
InformationsquelleAutor user3354832 | 2014-07-03
  1. 14

    Finden Sie Anweisungen zum erstellen von einem CA-cert und CERT signiert das CA-Zertifikat hier:
    http://pages.cs.wisc.edu/~zmiller/ca-howto/

    Dinge, die gehen so:

    • Sie setup deiner root-CA-key und cert
    • Kunde generiert seinen privaten Schlüssel und die Zertifikatsanforderung
    • Sie senden Sie die Zertifikat-Anforderung
    • generieren Sie das Zertifikat mit der Zertifikat-Anfrage, Ihre root-CA-Zertifikat und root-CA-Schlüssel
    • Sie Rückgabe des Zertifikats an den client

    Können Sie dann überprüfen, dass der client stellt ein Zertifikat "unterzeichnet" von der CA.

    • Das macht so viel Sinn, Danke! Auch was ist der Schlüssel für die während der überprüfung?
    • So funktioniert die client-Zertifikat-völlig unabhängig von dem server-Zertifikat?
    • Aus dem server-Zertifikat (diejenige, die in den meisten https-Situationen), ja. Es verknüpft ist, nur das root-CA-Zertifikat.
    • natürlich könnte man auch client-Zertifikate verwenden, die generiert werden, indem jemand anderes Sie Vertrauen, anstatt Ihre eigene ZERTIFIZIERUNGSSTELLE.
    InformationsquelleAutor jcaron
  2. 3

    Ist es wichtig zu verstehen, SSLVerifyClient und die anderen Richtlinien.
    Von Praktische Probleme mit der TLS-Client-Zertifikat
    Authentifizierung     (Seite 3):

    Den default-Wert keine von SSLVerifyClient hat
    nicht erforderlich, CCA, daher die server nicht ein
    CertificateRequest-Nachricht in der TLS-handshake.

    Den Wert erfordern benötigen CCA, und damit die
    CertificateRequest-Nachricht wird in die
    handshake. Wenn der client nicht jedes Zertifikat, das in
    die client-Zertifikat-Nachricht oder mod_ssl fehl
    überprüfen Sie das Zertifikat zur Verfügung gestellt, der TLS-handshake wird
    abgebrochen und ein fataler TLS-Alarm-Nachricht wird an das
    client.

    Den Wert optional ist das gleiche wie erfordern, aber
    eine leere client-Zertifikat-Nachricht, werden nicht toleriert.

    Den letzten möglichen Wert optional_no_ca ist das gleiche wie
    optional, aber darüber hinaus ermöglicht es einem client-Zertifikat zu sein
    vorgelegt, der nicht die Kette bis zu der ZERTIFIZIERUNGSSTELLE, die der server vertrauenswürdig
    (aufgrund eines Bugs in OpenSSL [Sechs] noch nicht gültig oder abgelaufen
    nicht-selbst-signierte client-Zertifikate werden ebenfalls akzeptiert).

    Den
    Wert optional_no_ca kann verwendet werden, um Zertifikat
    überprüfung auf Anwendungsebene oder zur Umsetzung von PKI-weniger
    public-key-Authentisierung verwendet X. 509-Zertifikate als
    public-key transport.

    InformationsquelleAutor FaST4
Schreibe einen Kommentar