¿Hay alguna forma de utilizar certificados privados para acceder a sitios web privados que no requieran la instalación de un certificado raíz?

2

Recientemente empecé un nuevo contrato de consultoría. La empresa a la que asisto me pidió que instale manualmente un certificado raíz seguido de un certificado de cliente para poder conectarse a su sitio web de trabajo. Estoy en Mac y uso Chrome como mi navegador predeterminado. Mirando en la configuración de Chrome hay un enlace para administrar certificados. Al hacer clic en él, se abre la aplicación Mac Keychain Access. Agregando el certificado raíz allí dice

Company Name CA
Root certificate authority
Expires: Sunday, December 7, 2020 17:02:50 Pacific Standard Time
"Company Name CA" certificate is not trusted

Leer otro Q & A esto parece malo

El empleador me quiere para instalar el certificado raíz para trabajar de forma remota: ¿problemas de privacidad?

Básicamente, cuando estoy en su red, pueden leer todo mi tráfico de Internet. No es que yo espere que hagan eso, es una pequeña empresa que no es de TI. Pero aún así, no me gusta la idea.

Por ahora, configuraré una VM e instalaré el certificado raíz en eso y usaré la VM únicamente para acceder a su sitio.

Sin embargo, mi pregunta es: ¿es posible que hayan utilizado alguna solución que limitara las cosas para que su certificado raíz solo funcione con su dominio / dirección IP en lugar de que sea un certificado raíz y todos los problemas que conlleva?

Dado que la autenticación se realiza con su certificado de cliente, supongo que el certificado raíz solo es necesario para validar el certificado de cliente. Si es así, ¿es posible que hayan tenido / deberían haber generado un certificado de cliente que no requiera que instale un certificado raíz?

    
pregunta gman 19.06.2018 - 14:50
fuente

1 respuesta

2

Si está utilizando Chrome, podría generar una huella digital SPKI a partir de la clave pública de la compañía:

openssl x509 -pubkey < "pubkey.pem" | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64 > "fingerprints.txt"

Luego puedes iniciar Chrome desde la línea de comando con este indicador:

--ignore-certificate-errors-spki-list=$(cat fingerprints.txt)

Luego, Chrome tratará cualquier certificado con esa huella dactilar como válido y no mostrará el error de seguridad rojo en la barra de URL. Esto solo durará mientras Chrome tenga esa bandera de línea de comando.

    
respondido por el Raz Varren 19.06.2018 - 18:58
fuente

Lea otras preguntas en las etiquetas