¿Se pueden vincular los certificados de cliente a un certificado de servidor específico?

2

Tengo una Autoridad de certificación raíz y una Autoridad de certificación intermedia.

He creado un certificado para el servidor. SSL en Apache está funcionando bien. El navegador reconoce mi Cadena de confianza sin problemas.

Ahora he creado un certificado de cliente para restringir el acceso al sitio a aquellos con certificados. Esto también funciona bien para autenticar o denegar, según haya instalado el certificado en mi navegador.

Pero no creo que nada haya vinculado mi certificado de cliente a mi certificado de servidor. ¿Tal vez perdí un interruptor u opción al crear el certificado de cliente?

Entonces, si mi CA Intermediate firmara un certificado para otro servidor al que deberían tener acceso un conjunto diferente de clientes, ¿no se autenticaría también mi certificado de cliente original en ese servidor?

Si ese es el caso, ¿cuál sería mi opción? ¿Crear una Autoridad de Certificación Intermedia separada para cada servidor que necesite clientes separados?

    
pregunta Madness 04.07.2015 - 03:59
fuente

2 respuestas

4

En lugar de configurar varias CA, puede modificar la configuración de acceso en su configuración de Apache. Mira la directiva Requerir:

enlace

Si establece algún requisito de autenticación, entonces el nivel de Requerimiento predeterminado se establece implícitamente en "usuario válido" (cualquiera que cumpla con otros requisitos).

Pero al usar Require, opcionalmente combinado con AuthGroupFile, puedes limitar el acceso a usuarios con certificados particulares.

Por ejemplo, puede emitir certificados de cliente con direcciones de correo electrónico incrustadas en 2 dominios:

[email protected]
[email protected]

Luego, en primer Apache puede permitir solo usuarios con certificados para *@domain1.com, y en segundo Apache solo usuarios desde *@domain2.com.

    
respondido por el Tomasz Klim 04.07.2015 - 16:11
fuente
0

Los certificados de servidor pueden tener múltiples cadenas de confianza (el certificado tiene múltiples raíces), y el navegador solo necesita confiar en una cadena para confiar en el certificado del servidor.

No sé si el navegador también admite esto para los certificados de cliente. Pero si lo hacen, usted podría enviar el certificado de cliente firmado con dos certificados de raíz independientes, y el servidor puede elegir en qué raíces confía.

    
respondido por el Lie Ryan 06.07.2015 - 16:00
fuente

Lea otras preguntas en las etiquetas