My<cod/>.net
Как я могу поддерживать проверку подлинности сертификата клиента SSL?
Я хочу сделать то же, что делает myopenid - после того, как вы вошли в систему, вы можете нажать кнопку, которая генерирует вам сертификат SSL; браузер затем загружает этот сертификат и сохраняет его. Когда вы позже вернетесь к yourid.myopenid.com, Ваш браузер может использовать свой сохраненный сертификат для аутентификации, поэтому вам никогда не понадобится пароль.
Итак, мои вопросы - что требуется для того, чтобы это сработало? Как создать сертификаты? Как я могу подтвердить их, когда они будут представлены мне обратно?
Мой стек составляет Rails на Apache, используя Passenger, но я не слишком разборчив.
Они обычно называются клиентскими сертификатами.
Я на самом деле не использовал его, но модифицированная версия restful-authentication может быть найдена здесь, здесь , что выглядит как то, что вы после.
Я нашел это через сообщение доктора Nic
Зависит от сервера, но самое простое решение, которое я знаю, используя Apache:
"Когда эта опция включена, отличительное имя субъекта (DN) сертификата клиента X509 преобразуется в имя пользователя для базовой авторизации HTTP. Это означает, что для управления доступом можно использовать стандартные методы аутентификации Apache. Имя пользователя является только субъектом сертификата X509 клиента (можно определить, выполнив команду OpenSSL openssl x509: openssl x509-noout-subject-in certificate.crt). Обратите внимание, что пароль от пользователя не получен... "
Не уверен насчет rails, но обычная переменная среды REMOTE_USER должна быть доступна каким-то образом.
Если вы хотите создать сертификаты, вам нужно заставить клиента создать пару ключей и отправить вам по крайней мере открытый ключ. Вы можете сделать это в Firefox через вызов Javascript, это crypto.generateCRMFRequest . Я предполагаю, что есть специальные браузерные методы, доступные и в других браузерах. Но сначала вам нужно выяснить, как оформить сертификат, как только вы получите открытый ключ.
Вы можете написать что-то на сервере с OpenSSL, но он имеет встроенную поддержку CSRs, а не формат CRMF Firefox отправит вас. Поэтому вам нужно будет написать некоторый код для преобразования CRMF в CSR, что потребует некоторой обработки DER capability… я просто царапаю поверхность here—operating a CA, даже для игрушечного приложения, не тривиально.
SSO такие решения, как OpenId и PKI, действительно накладываются друг на друга, и в PKI есть элегантность. Но дьявол кроется в деталях, и есть веские причины, по которым этот подход существует уже давно, но только начал применяться в правительственных и военных целях.
Если вы заинтересованы в продолжении этой работы, ответьте на некоторые вопросы, касающиеся платформы, на которой вы хотели бы развивать свой сервис CA.
Вы можете создать сертификат в браузере клиента, используя специальный код браузера. Смотрите этот вопрос
Вы также можете создать SSL клиентских сертификатов на стороне сервера, используя OpenSSL в Ruby (см. Этот вопрос ). (Это будет работать в любом браузере без специального кода браузера, но ваш сервер будет генерировать закрытый ключ клиента, что не идеально подходит для крипто-пуристов.)
Независимо от того, какой метод вы используете для их создания, вам нужно будет настроить webserver, чтобы требовать сертификаты клиента. Смотрите пример Apache docs .
Я работаю над решением этой проблемы. Я хотел сделать то же самое, и я знаю, что многие другие владельцы веб-сайтов хотят эту функцию, с или без стороннего поставщика.
Я создал необходимую настройку сервера и плагин firefox для обработки аутентификации на основе сертификатов. Перейдите к mypassfree.com, чтобы захватить бесплатный плагин firefox. Email me (ссылка на этой странице) для установки сервера, так как я еще не упаковал его с хорошим установщиком.
Настройка сервера-это Apache2 + OpenSSL + Perl (но вы можете переписать скрипты perl на любом языке)
Джонатан