¿Qué significa exactamente serverAuth y clientAuth?

Question

¿Qué significa exactamente serverAuth y clientAuth?

#1 de StackzOfZtuff (3 votos)
#2 de Wim Lewis (0 votos)

4

Estoy creando una red que permitirá a los empleados y clientes acceder a la red. Sistemas de la empresa. Para ello estoy usando un servidor Red Hat Enterprise Linux (RHEL) 7.0 como servidor de firewall / autenticación. Inicialmente, para fines de prueba, voy a utilizar certificados autofirmados. El escenario operativo es el sistema cliente (Windows 7/8) que establece un VPN / IKEv2 sesión con el servidor.

Tengo que distribuir un certificado de cliente de clave pública a los sistemas Windows. ¿También tengo que definir un certificado de servidor, que contiene la clave privada? Aquí es donde me confundo un poco, porque he visto tantas variantes: He visto el campo de Uso de clave extendido configurado tanto para clientAuth como serverAuth; sólo a clientAuth; o simplemente a serverAuth.

Mi suposición es que el cliente, al intentar establecer una sesión VPN / IKEv2 con el servidor, debe estar "autorizado" por el servidor si el cliente envía la clave pública "correcta". Entonces, ¿debería establecer el EKU en el certificado de servidor en clientAuth? o serverAuth? ¿o ambos? (lo que no tiene ningún sentido para mí)

certificates client

pregunta Guy 29.03.2015 - 17:11

fuente

2 respuestas

Lea otras preguntas en las etiquetas certificates client

¿Qué tan segura es la clave de host visual y cómo se convierte SHA2 en esa representación? Clasificación de XSS reflejados y basados en DOM

score 3 · Answer 1

Teoría
Este es el proceso habitual en teoría:

Su cliente establece una conexión con el servidor. El servidor presenta su certificado. El cliente se asegura entonces de que:
(1) el certificado es válido,
(2) el servidor está en posesión de la clave privada correspondiente mediante un mecanismo de desafío y respuesta,
(3) que "serverAuth" está establecido en el certificado.

Luego, el servidor puede o no solicitar al cliente un certificado propio. Y es casi lo mismo en esta dirección de nuevo. El cliente presenta su certificado. El servidor entonces se asegura de que:
(1) el certificado es válido,
(2) el cliente está en posesión de la clave privada correspondiente mediante un mecanismo de desafío y respuesta,
(3) que "clientAuth" está establecido en el certificado. De lo contrario, el servidor desconecta la conexión.

Práctica
Ahora, si su software realmente aplica el paso 3 es un asunto completamente diferente.
Entonces, ¿cómo descubres qué funciona?

(1) Modo completo: lea el manual, haga algunos experimentos, póngase en contacto con el soporte de software.
(2) Modo perezoso: simplemente configure cada marca de uso en los certificados.

Estándar RFC 5280
Ahora RFC 5280 describe los EKU en sección 4.2.1.12 pero no es muy detallado.

score 0 · Answer 2

La "autenticación" en cuestión es autenticación , no autorización . serverAuth indica que el certificado se puede usar para autenticar el servidor (es decir, el certificado permite que un servidor demuestre su identidad al cliente); Los certificados clientAuth están destinados a permitir que un cliente demuestre su identidad (es decir, se autentique) al servidor.