¿Qué significa exactamente serverAuth y clientAuth?

4

Estoy creando una red que permitirá a los empleados y clientes acceder a la red. Sistemas de la empresa. Para ello estoy usando un servidor Red Hat Enterprise Linux (RHEL) 7.0 como servidor de firewall / autenticación. Inicialmente, para fines de prueba, voy a utilizar certificados autofirmados. El escenario operativo es el sistema cliente (Windows 7/8) que establece un VPN / IKEv2 sesión con el servidor.

Tengo que distribuir un certificado de cliente de clave pública a los sistemas Windows. ¿También tengo que definir un certificado de servidor, que contiene la clave privada? Aquí es donde me confundo un poco, porque he visto tantas variantes: He visto el campo de Uso de clave extendido configurado tanto para clientAuth como serverAuth; sólo a clientAuth; o simplemente a serverAuth.

Mi suposición es que el cliente, al intentar establecer una sesión VPN / IKEv2 con el servidor, debe estar "autorizado" por el servidor si el cliente envía la clave pública "correcta". Entonces, ¿debería establecer el EKU en el certificado de servidor en clientAuth? o serverAuth? ¿o ambos? (lo que no tiene ningún sentido para mí)

    
pregunta Guy 29.03.2015 - 17:11
fuente

2 respuestas

3

Teoría
Este es el proceso habitual en teoría:

Su cliente establece una conexión con el servidor. El servidor presenta su certificado. El cliente se asegura entonces de que:
(1) el certificado es válido,
(2) el servidor está en posesión de la clave privada correspondiente mediante un mecanismo de desafío y respuesta,
(3) que "serverAuth" está establecido en el certificado.

Luego, el servidor puede o no solicitar al cliente un certificado propio. Y es casi lo mismo en esta dirección de nuevo. El cliente presenta su certificado. El servidor entonces se asegura de que:
(1) el certificado es válido,
(2) el cliente está en posesión de la clave privada correspondiente mediante un mecanismo de desafío y respuesta,
(3) que "clientAuth" está establecido en el certificado. De lo contrario, el servidor desconecta la conexión.

Práctica
Ahora, si su software realmente aplica el paso 3 es un asunto completamente diferente.
Entonces, ¿cómo descubres qué funciona?

(1) Modo completo: lea el manual, haga algunos experimentos, póngase en contacto con el soporte de software.
(2) Modo perezoso: simplemente configure cada marca de uso en los certificados.

Estándar RFC 5280
Ahora RFC 5280 describe los EKU en sección 4.2.1.12 pero no es muy detallado.

    
respondido por el StackzOfZtuff 29.03.2015 - 20:14
fuente
0

La "autenticación" en cuestión es autenticación , no autorización . serverAuth indica que el certificado se puede usar para autenticar el servidor (es decir, el certificado permite que un servidor demuestre su identidad al cliente); Los certificados clientAuth están destinados a permitir que un cliente demuestre su identidad (es decir, se autentique) al servidor.

    
respondido por el Wim Lewis 31.08.2015 - 10:22
fuente

Lea otras preguntas en las etiquetas