Jump to content
Калькуляторы

Авторизация и аунтефикация с SSL сертификатами без своего CA

Есть проблема с сабжем.

 

Задача:

 

1. Выдавать юзерам персональные серты для доступа

2. Различать юзеров по выданным сертам (решается на уровне софта вебсервера или на уровне прикладного из переменных окружения)

3. Не пускать юзеров с другими цертами (решается на уровне софта вебсервера или на уровне прикладного из переменных окружения)

4. И все это так что бы браузер не ругался

 

Самое дешевое что нашли это церты от верисайна, которые персональные и примерно по 20 баксов за одну штуку. Они прокатывают как и в почтовом клиенте, так и в браузере... но под то и под это надо покупать. Если рассматривать вариант со своим CA, то надо пояснять каждому юзеру как проинсталить сертификат или же сгружать ему какой-то активх компонент под винду или что-то там под линукс... далее оно само прописывает CA в список доверенных и т.д. и т.п., но это всё имеет смысл если как-то по прямому решить нельзя.

 

Если мы все правильно поняли, то без своего CA никак это всё не решить... но как говориться надо бы убедиться что мы все правильно поняли. Есть тут кто с сабжектом сталкивался?

 

 

ps. что нужно купить для реализации сабжа? или чем бы свой CA подписать... так что бы браузеры не ругались.

Edited by kostich

Share this post


Link to post
Share on other sites

Извините, а зачем чтоб браузер не ругался? Ведь основной контингент - технари, и добавить один раз ваш "самодельный" CA в браузер - им труда не составит.

Сейчас проверю - но помоему процедура прописывания CA в браузере - тривиальна. Вебмани например пользуются самодельными сертификатами - и особо не дергаются.

Share this post


Link to post
Share on other sites
Извините, а зачем чтоб браузер не ругался? Ведь основной контингент - технари, и добавить один раз ваш "самодельный" CA в браузер - им труда не составит.

Сейчас проверю - но помоему процедура прописывания CA в браузере - тривиальна. Вебмани например пользуются самодельными сертификатами - и особо не дергаются.

да там не только бразуер... у нас есть RT пропатченная, которая мыло гоняет по S/MIME, а на вебники по сертам подписанным своим CA... как показал полуторогодичный опыт - не у всех технарей любимый почтовый клиент может нормально работать с S/MIME и не все технари могут прописать церты сами... я хочу патчи закинуть на RT для инцидентов, который там совместно с CERT-ом ваяют... следовательно сделать возможность слать и заполнять на ней формы в ней всем, но обсуждать только в режиме максимально исключающим утечки.

 

ps. браузеры на самоподписные церты как ругались так и ругаются... отучить некоторые браузеры невозможно... и на фоне этого пойми там скомпрометировано или нет.

Edited by kostich

Share this post


Link to post
Share on other sites

Если человек не рубит как добавить CA, то боюсь не врубится когда попытаются скомпрометировать...

Может как вариант поднять дополнительно PPTP? с EAP/TLS каким-нить

Share this post


Link to post
Share on other sites
Если человек не рубит как добавить CA, то боюсь не врубится когда попытаются скомпрометировать...

Может как вариант поднять дополнительно PPTP? с EAP/TLS каким-нить

Тут уже есть мысль зацепиться за гуглевское OpenID + обычный верисайновский ssl серт. Это даст гарантию того, что при компрометации самого сервиса с него не уплывут учетные записи (включая пароли в каком либо виде) т.к. они на нём не хранятся... жахнуть по сетке такое можно только если скомпрометировать гуглевские службы, что в конкретное локации не шибко сложно, если человек не врубится и не обратит внимание на ругню о недействительности гуглевского церта при логине. Компрометация самого юзера посредством стыривания гуглевской учетки с его компа менее сложная чем стыривание ssl серта... при этом всё всегда можно подлечить доступом конкретного юзера с ограничением по CIDR, но это никак не решает вопроса если человек с винды и на сервис ходят с прокси установленной прямо на его компе.

 

ps. 40 баксов что ли со всех за персональные церты брать... (под S/MIME и персональный SSL)... но это же скока денег верисайну в итоге уйдет.

Edited by kostich

Share this post


Link to post
Share on other sites

я думаю многим полезно будет:

http://www.opennet.ru/base/sec/openssl.txt.html - все в принципе описано как делать...

 

Единственное но - у меня opera 9.51 съела p12 сертификат только с опцией -descert при экспорте в p12.

Мозилла падает на импорте, хотя через pk12util все сработало, и в мозильнике так же появился сертификат.

 

Как я понял, при генерации можно задать персональные поля для каждого сертификата, по которым можно определять пользователя.

Так же там в статье описано, как делать базу недействительных сертификатов (если у кого-то сертификат пинч упер).

 

Хотя я не знаю, зачем так сложно все делать. Я бы проще сделал: купить сертификат на сервер нормальный, подписаный thawte или veirysign, каждому юзеру бумажку (пдфку с паролем) с кучей разовых паролей (как раньше в игрушках было: найдите в документации слово такое-то на странице такой-то), и вперед, авторизация по случайным паролям.

 

Еще немножко написано тут http://www.drh-consultancy.demon.co.uk/pkcs12faq.html

Edited by bitbucket

Share this post


Link to post
Share on other sites

Насколько массовым будет сервис?

Может проще какой-то механизм со смарткартами заюзать? Их никак не упрешь, кроме как физически. И надежность железобетонная.

Share this post


Link to post
Share on other sites

Может проще какой-то механизм со смарткартами заюзать? Их никак не упрешь, кроме как физически. И надежность железобетонная.

А куда смарткарту тыкать в компе ? И как быть в не-виндовс системах ?

Share this post


Link to post
Share on other sites
Работает так же как сертификаты в конечном итоге, но их невозможно спереть трояном.
Там железку покупать надо...

 

Share this post


Link to post
Share on other sites

Помоему смарткарты могут использоваться как дополнение при работе с сертификатами (т.е. ключ хранится не как файл, а в смарткарте и отдается процедурой только хеш).

Share this post


Link to post
Share on other sites
А куда смарткарту тыкать в компе ? И как быть в не-виндовс системах ?

1. В USB.

2. http://www.aladdin.ru/support/download/

 

Насчет покупки верисайн - не стОит. Никакого гемора с самоподписным СА нет, проверено на нескольких тысячах кроликов.

Share this post


Link to post
Share on other sites

Его нет, если самоподписанный при регистрации абонента (например, в момент подачи им заявки) CA сертификат ему дать скачать и строго-настрого указать, чтобы добавил его в доверенные корневые. Независимо от природы и происхождения его браузера.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this