Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в Apache, перерыл кучу доков но некак не получается сделать это. Задача такова:
Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого, т.е. привязанные к CA сертификату, и затем уже выданы клиенту для импорта.
После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату пускать на сайт. Если сертификат истёк, то соответственно его не должно пускать. Помогите реализовать такую задачу.Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это на платформе FReeBSD реализуется... перерыл много манов, а так же пролез не один форум, нигде не упоминается о таком виде аутификации. Пример такой аутификации на https://light1.webmoney.ru/
Хотелось бы воспользоваться таким удобным способом...Жду ваших ответов, ICQ:623091
Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`?p.s. Sorry za translite
>Ya nemogy poverit`, 4to nikto ne stalkivalsya s takou` zada4eu` :( Hotyabi
>primerno kto nibyd` predstavlyaet kak eto mogno osyshestvit`?
>
>p.s. Sorry za transliteВ своё время помогли ссылкой:
http://www.pseudonym.org/ssl/ssl_cook.htmlоднако ж я потерял интерес (да и времени особо не было разбираться) и, обломавшись пару раз, не стал дальше копать - хотя, конечно, тема интересная.
По-большому счёту, единственный затык - это импорт созданных сертификатов на клиентскую машину через броузер. В статье - пример тока для нетшкапа и осла. При этом для осла - необходимо использовать activex.
<!-- Use the Microsoft ActiveX control to generate the certificate -->
<OBJECT CLASSID="clsid:33BEC9E0-F78F-11cf-B782-00C04FD7BF43"
CODEBASE=certenr3.dll
ID=certHelper>
</OBJECT>
я там в ицку стукнул, если что - попробую помочь. ;)
>Стоит задача следующая, на FreeBSD организовать SSL аутификацию на определённом домене в
>Apache, перерыл кучу доков но некак не получается сделать это. Задача
>такова:
>Будет создан корневой сертификат (CA), его нужно будет импортировать в доверенные сертификаты
>на клиенте(скрипт который поможет это сделать хотелось бы найти, видел у
>кого-то реализацию на perl). Затем будут созданы клиентские сертификаты согласно корневого,
>т.е. привязанные к CA сертификату, и затем уже выданы клиенту для
>импорта.
>После чего, клиент должен зайти на https://security.domain.ru и там должно быть сверено
>наличие у него корневого и провериться клиентский сертификат, по клиентскому сертификату
>пускать на сайт. Если сертификат истёк, то соответственно его не должно
>пускать. Помогите реализовать такую задачу.
>
>Используется сейчас для реализации Apache + mod_ssl + OpenSSL(генерирую серты)+PHP+PERL, всё это
>на платформе FReeBSD реализуется... перерыл много манов, а так же пролез
>не один форум, нигде не упоминается о таком виде аутификации. Пример
>такой аутификации на https://light1.webmoney.ru/
>Хотелось бы воспользоваться таким удобным способом...
>
>Жду ваших ответов, ICQ:623091
Добрый день!
Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии одноуровневой CA. Хотя возможно Вы не так выразились:)
Схема реализации в принципе такова:
Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь подробно описан в документации на OpenSSL (найти ее можно и на opennet.ru и на openssl.org)
Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить на https://sf.net и поискать там по ключевому слову PKI - там найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и реализующих все необходимые Вам функции.
СУВЖ Кирилл
>Добрый день!
>Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии
>одноуровневой CA. Хотя возможно Вы не так выразились:)
>Схема реализации в принципе такова:
>Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете
>его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь
>подробно описан в документации на OpenSSL (найти ее можно и на
>opennet.ru и на openssl.org)
>Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить
>на https://sf.net и поискать там по ключевому слову PKI - там
>найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и
>реализующих все необходимые Вам функции.
>СУВЖ Кирилл
Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это ещё не самое ужасное (т.к. про это также написано в документации к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный CA (этим же CA подписывается серверный сертификат апача). Это в свою очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище сертификатов на клиентской машине. Вот как это сделать? ;)
>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а
>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это
>ещё не самое ужасное (т.к. про это также написано в документации
>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на
>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный
>CA (этим же CA подписывается серверный сертификат апача). Это в свою
>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище
>сертификатов на клиентской машине. Вот как это сделать? ;)
Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/ при получении демо сертификата от них, их скрипт просит импортировать их CA(демо-CA)(Официальные CA уже импортированы в браузер)С уважением ко всему IT-сообществу, прошу помочь...
>>Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а
>>в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это
>>ещё не самое ужасное (т.к. про это также написано в документации
>>к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на
>>основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный
>>CA (этим же CA подписывается серверный сертификат апача). Это в свою
>>очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище
>>сертификатов на клиентской машине. Вот как это сделать? ;)
>Да, необходимо сделать свой центр выдачи сертификатов на основе WEB, т.е. будет
>ресурс в сети, на котором будет регистрироваться пользователь, ему будет создаваться
>сертификат для аутификации последующих на внутренних ресурсах этой сети. именно нужно
>импортировать наш CA сертификат в доверенные сертификаты клиенту, а так же
>в личные сертификаты импортировать пользовательский сертификат полученный при регистрации(генерации). Как это
>осуществить, и реализоваться на уровне PHP или PERL скриптов??? на http://verisign.com/
>при получении демо сертификата от них, их скрипт просит импортировать их
>CA(демо-CA)(Официальные CA уже импортированы в браузер)
>
>С уважением ко всему IT-сообществу, прошу помочь...
Тут 2 варианта либо покупать коммерческий продукт (Unicert,RSA,CryptoPRO)либо брать с sf.net продукт наиболее полно отвечающий Вашим требованиям
К примеру:
1.http://ejbca.sourceforge.net/ Полнофункциональный продукт и судя по описанию покрывает все Ваши потребности
http://ejbca.sourceforge.net/features.html
Правда он достаточно много за собой тянет (Tomcat,JBOSS)
2.http://www.newpki.org/modules.php?op=modload&name=News&file=...
3.http://sourceforge.net/projects/op-en-pki/
Это первые ссылки после поиска по слову PKI Если поискать то наверняка что то найдется:)
СУВЖ Кирилл