forum.opennet.ru - "SSL Аутификация + Apache" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"SSL Аутификация + Apache"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"SSL Аутификация + Apache"
Сообщение от cybpoison (??) on 06-Июл-05, 23:00 (MSK)
Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в Apache, перерыл кучу доков но некак не получается сделать это. Задача такова: Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого, т.е. привязанные к CA сертификату, и затем уже выданы клиенту для импорта. После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату пускать на сайт. Если сертификат истёк, то соответственно его не должно пускать. Помогите реализовать такую задачу. Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это на платформе FReeBSD реализуется... перерыл много манов, а так же пролез не один форум, нигде не упоминается о таком виде аутификации. Пример такой аутификации на https://light1.webmoney.ru/ Хотелось бы воспользоваться таким удобным способом... Жду ваших ответов, ICQ:623091
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

SSL Аутификация + Apache, cybpoison, 12:14 , 08-Июл-05, (1)
- SSL Аутификация + Apache, .zZz., 10:18 , 11-Июл-05, (2)
SSL Аутификация + Apache, ksnov, 18:28 , 09-Авг-05, (3)
- SSL Аутификация + Apache, .zZz., 09:06 , 10-Авг-05, (4)
  - SSL Аутификация + Apache, tekiza, 12:58 , 10-Авг-05, (5)
    - SSL Аутификация + Apache, ksnov, 17:27 , 10-Авг-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "SSL Аутификация + Apache"

Сообщение от cybpoison (??) on 08-Июл-05, 12:14  (MSK)

Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`?
p.s. Sorry za translite

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "SSL Аутификация + Apache"

Сообщение от .zZz. (??) on 11-Июл-05, 10:18  (MSK)

>Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi
>primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`?
>
>p.s. Sorry za translite
В своё время помогли ссылкой:
http://www.pseudonym.org/ssl/ssl_cook.html
однако ж я потерял интерес (да и времени особо не было разбираться) и, обломавшись пару раз, не стал дальше копать - хотя, конечно, тема интересная.
По-большому счёту, единственный затык - это импорт созданных сертификатов на клиентскую машину через броузер. В статье - пример тока для нетшкапа и осла. При этом для осла - необходимо использовать activex.

<OBJECT CLASSID="clsid:33BEC9E0-F78F-11cf-B782-00C04FD7BF43"
        CODEBASE=certenr3.dll
   ID=certHelper>
</OBJECT>

я там в ицку стукнул, если что - попробую помочь. ;)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "SSL Аутификация + Apache"

Сообщение от ksnov (ok) on 09-Авг-05, 18:28  (MSK)

>Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в
>Apache, перерыл кучу доков но некак не получается сделать это. Задача
>такова:
>Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты
>на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у
>кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого,
>т.е. привязанные к CA сертификату, и затем уже выданы клиенту для
>импорта.
>После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено
>наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату
>пускать на сайт. Если сертификат истёк, то соответственно его не должно
>пускать. Помогите реализовать такую задачу.
>
>Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это
>на платформе FReeBSD реализуется... перерыл много манов, а так же пролез
>не один форум, нигде не упоминается о таком виде аутификации. Пример
>такой аутификации на https://light1.webmoney.ru/
>Хотелось бы воспользоваться таким удобным способом...
>
>Жду ваших ответов, ICQ:623091

Добрый день!
Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии одноуровневой CA. Хотя возможно Вы не так выразились:)
Схема реализации в принципе такова:
Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь подробно описан в документации на OpenSSL (найти ее можно и на opennet.ru и на openssl.org)
Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить на https://sf.net и поискать там по ключевому слову PKI - там найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и реализующих все необходимые Вам функции.
СУВЖ Кирилл

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "SSL Аутификация + Apache"

Сообщение от .zZz. (??) on 10-Авг-05, 09:06  (MSK)

>Добрый день!
>Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии
>одноуровневой CA. Хотя возможно Вы не так выразились:)
>Схема реализации в принципе такова:
>Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете
>его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь
>подробно описан в документации на OpenSSL (найти ее можно и на
>opennet.ru и на openssl.org)
>Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить
>на https://sf.net и поискать там по ключевому слову PKI - там
>найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и
>реализующих все необходимые Вам функции.
>СУВЖ Кирилл
Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это ещё не самое ужасное (т.к. про это также написано в документации к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный CA (этим же CA подписывается серверный сертификат апача). Это в свою очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище сертификатов на клиентской машине. Вот как это сделать? ;)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "SSL Аутификация + Apache"

Сообщение от tekiza on 10-Авг-05, 12:58  (MSK)

>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а
>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это
>ещё не самое ужасное (т.к. про это также написано в документации
>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на
>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный
>CA (этим же CA подписывается серверный сертификат апача). Это в свою
>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище
>сертификатов на клиентской машине. Вот как это сделать? ;)
Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/ при получении демо сертификата от них, их скрипт просит импортировать их CA(демо-CA)(Официальные CA уже импортированы в браузер)
С уважением ко всему IT-сообществу, прошу помочь...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "SSL Аутификация + Apache"

Сообщение от ksnov (ok) on 10-Авг-05, 17:27  (MSK)

>>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а
>>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это
>>ещё не самое ужасное (т.к. про это также написано в документации
>>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на
>>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный
>>CA (этим же CA подписывается серверный сертификат апача). Это в свою
>>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище
>>сертификатов на клиентской машине. Вот как это сделать? ;)
>Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет
>ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться
>сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно
>импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же
>в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это
>осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/
>при получении демо сертификата от них, их скрипт просит импортировать их
>CA(демо-CA)(Официальные CA уже импортированы в браузер)
>
>С уважением ко всему IT-сообществу, прошу помочь...
Тут 2 варианта либо покупать коммерческий продукт (Unicert,RSA,CryptoPRO)либо брать с sf.net продукт наиболее полно отвечающий Вашим требованиям
К примеру:
1.http://ejbca.sourceforge.net/ Полнофункциональный продукт и судя по описанию покрывает все Ваши потребности
http://ejbca.sourceforge.net/features.html
Правда он достаточно много за собой тянет (Tomcat,JBOSS)
2.http://www.newpki.org/modules.php?op=modload&name=News&file=article&sid=8
3.http://sourceforge.net/projects/op-en-pki/
Это первые  ссылки после поиска по слову PKI Если поискать то наверняка что то найдется:)
СУВЖ Кирилл

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "SSL Аутификация + Apache"
Сообщение от cybpoison (??) on 08-Июл-05, 12:14 (MSK)
Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`? p.s. Sorry za translite
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "SSL Аутификация + Apache"
	Сообщение от .zZz. (??) on 11-Июл-05, 10:18 (MSK)
	>Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi >primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`? > >p.s. Sorry za translite В своё время помогли ссылкой: http://www.pseudonym.org/ssl/ssl_cook.html однако ж я потерял интерес (да и времени особо не было разбираться) и, обломавшись пару раз, не стал дальше копать - хотя, конечно, тема интересная. По-большому счёту, единственный затык - это импорт созданных сертификатов на клиентскую машину через броузер. В статье - пример тока для нетшкапа и осла. При этом для осла - необходимо использовать activex. <!-- Use the Microsoft ActiveX control to generate the certificate --> <OBJECT CLASSID="clsid:33BEC9E0-F78F-11cf-B782-00C04FD7BF43" CODEBASE=certenr3.dll ID=certHelper> </OBJECT> я там в ицку стукнул, если что - попробую помочь. ;)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "SSL Аутификация + Apache"
Сообщение от ksnov (ok) on 09-Авг-05, 18:28 (MSK)
>Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в >Apache, перерыл кучу доков но некак не получается сделать это. Задача >такова: >Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты >на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у >кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого, >т.е. привязанные к CA сертификату, и затем уже выданы клиенту для >импорта. >После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено >наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату >пускать на сайт. Если сертификат истёк, то соответственно его не должно >пускать. Помогите реализовать такую задачу. > >Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это >на платформе FReeBSD реализуется... перерыл много манов, а так же пролез >не один форум, нигде не упоминается о таком виде аутификации. Пример >такой аутификации на https://light1.webmoney.ru/ >Хотелось бы воспользоваться таким удобным способом... > >Жду ваших ответов, ICQ:623091 Добрый день! Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии одноуровневой CA. Хотя возможно Вы не так выразились:) Схема реализации в принципе такова: Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь подробно описан в документации на OpenSSL (найти ее можно и на opennet.ru и на openssl.org) Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить на https://sf.net и поискать там по ключевому слову PKI - там найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и реализующих все необходимые Вам функции. СУВЖ Кирилл
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "SSL Аутификация + Apache"
	Сообщение от .zZz. (??) on 10-Авг-05, 09:06 (MSK)
	>Добрый день! >Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии >одноуровневой CA. Хотя возможно Вы не так выразились:) >Схема реализации в принципе такова: >Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете >его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь >подробно описан в документации на OpenSSL (найти ее можно и на >opennet.ru и на openssl.org) >Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить >на https://sf.net и поискать там по ключевому слову PKI - там >найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и >реализующих все необходимые Вам функции. >СУВЖ Кирилл Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это ещё не самое ужасное (т.к. про это также написано в документации к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный CA (этим же CA подписывается серверный сертификат апача). Это в свою очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище сертификатов на клиентской машине. Вот как это сделать? ;)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "SSL Аутификация + Apache"
	Сообщение от tekiza on 10-Авг-05, 12:58 (MSK)
	>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а >в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это >ещё не самое ужасное (т.к. про это также написано в документации >к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на >основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный >CA (этим же CA подписывается серверный сертификат апача). Это в свою >очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище >сертификатов на клиентской машине. Вот как это сделать? ;) Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/ при получении демо сертификата от них, их скрипт просит импортировать их CA(демо-CA)(Официальные CA уже импортированы в браузер) С уважением ко всему IT-сообществу, прошу помочь...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "SSL Аутификация + Apache"
	Сообщение от ksnov (ok) on 10-Авг-05, 17:27 (MSK)
	>>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а >>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это >>ещё не самое ужасное (т.к. про это также написано в документации >>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на >>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный >>CA (этим же CA подписывается серверный сертификат апача). Это в свою >>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище >>сертификатов на клиентской машине. Вот как это сделать? ;) >Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет >ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться >сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно >импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же >в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это >осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/ >при получении демо сертификата от них, их скрипт просит импортировать их >CA(демо-CA)(Официальные CA уже импортированы в браузер) > >С уважением ко всему IT-сообществу, прошу помочь... Тут 2 варианта либо покупать коммерческий продукт (Unicert,RSA,CryptoPRO)либо брать с sf.net продукт наиболее полно отвечающий Вашим требованиям К примеру: 1.http://ejbca.sourceforge.net/ Полнофункциональный продукт и судя по описанию покрывает все Ваши потребности http://ejbca.sourceforge.net/features.html Правда он достаточно много за собой тянет (Tomcat,JBOSS) 2.http://www.newpki.org/modules.php?op=modload&name=News&file=article&sid=8 3.http://sourceforge.net/projects/op-en-pki/ Это первые ссылки после поиска по слову PKI Если поискать то наверняка что то найдется:) СУВЖ Кирилл
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]