¿Es posible restringir un certificado del lado del cliente (para autenticación web) válido solo para un nombre de sitio dado?

Question

¿Es posible restringir un certificado del lado del cliente (para autenticación web) válido solo para un nombre de sitio dado?

#1 de cpast (2 votos)

3

Si tengo 2 sitios web, a.example.com y b.example.com . Esos sitios usan TLS y SNI, y requieren la autenticación del cliente con certificados creados con mi propia CA.

El caso de uso es que algunos clientes tienen acceso a *.example.com , otros clientes tienen acceso solo a a.example.com .

¿Es posible crear un certificado para que la autenticación solo sea válida cuando se usa en el sitio a.example.com y se rechace cuando se intenta conectarse a b.example.com ?

¿O tendría que crear una segunda CA para este propósito?

En este caso, ¿es posible tener certificados de validación de a.example.com contra cualquiera de esas 2 CA? (En caso afirmativo, ¿la respuesta podría ser específica para nginx? o factible si una CA es una subordinada de la otra?)

authentication authorization certificates webserver

pregunta Bertrand Mathieu 19.02.2015 - 15:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication authorization certificates webserver

¿Qué significa "PIN encriptado bajo LMK"? ¿Qué constituye un exploit? Pude comprometer mi enrutador de la casa común

score 2 · Accepted Answer

Los certificados establecen autenticación (vincular a una persona con una identidad), lo cual es un enfoque incorrecto para limitar el acceso a b.example.com . Un usuario todavía está en ambos sitios, y todas las autenticaciones involucradas son Haciéndoles probar su identidad. La limitación del acceso es autorización , lo que debe hacer en su extremo al verificar la ID contenida en el certificado en su propia base de datos para ver si deberían tener acceso. El certificado contiene información sobre el sujeto que probablemente debería incluir algún tipo de nombre de usuario, y usted debería mantener la lista de usuarios y quién tiene permiso para acceder a qué. Eso también le permite cambiar el alcance del acceso de alguien sin necesidad de volver a emitir un certificado.

Los certificados de clientes no se vinculan a los dominios; eso es porque no están destinados a autenticar un servidor. Debería poder usar mi certificado en cualquier lugar que lo acepte, y con los certificados de los clientes es lo que sucede.