cómo hacer autenticación ssl bidireccional sin usar una CA autofirmada

Question

cómo hacer autenticación ssl bidireccional sin usar una CA autofirmada

#1 de r00t (1 votos)
#2 de Neil Smithline (1 votos)

1

Tengo un requisito para establecer una autenticación mutua de 2 ssl entre nuestro apache y una aplicación. He comprado un SSL barato de SSL rápido para hacer esto. RapidSSL envió una carpeta zip con

CACertificate-1.cer  (RapidSSL SHA256 CA - G3)
CACertificate-2.cer  (GeoTrust Global CA)
ServerCertificate.cer (Actual Certificate)

Pero estoy atascado en el punto en que necesito crear el certificado del cliente. El tutorial de cafesoft.com A continuación, hace uso de la clave del certificado de CA para generar / firmar el certificado del cliente. Obviamente no tengo la clave de certificado de CA. ¿Como va esto? ¿Debería dejar de usar una CA autofirmada o hay una forma de hacerlo?

Gracias de antemano,

authentication apache openssl

pregunta black sensei 17.06.2015 - 00:45

fuente

2 respuestas

Lea otras preguntas en las etiquetas authentication apache openssl

¿Cómo funcionan los productos de la nube personal / privada? Antitampering de la tableta [cerrado]

score 1 · Answer 1

El certificado del servidor y el certificado de CA utilizado para autenticar a sus clientes son dos cosas diferentes.

Primero, necesita tener instalado su certificado de servidor (SSLCertificateFile y SSLCertificateFileKey). Ya deberías tener eso.

En este punto, tiene su servidor presentando su certificado a los clientes.

Ahora, necesita generar una CA (autofirmada) y decirle a su instancia de Apache que esta es la CA que desea usar para autenticar clientes. (SSLCACertificateFile y SSLVerifyClient requieren)

Solo tiene que firmar el csr de sus clientes con su CA recién creada.

Saludos.

score 1 · Answer 2

Necesita un certificado de cliente para cada usuario (o aplicación cliente si su aplicación se autentica en el servidor) que usará SSL de autenticación mutua. Puede adquirir certificados de clientes de una CA existente o crear un certificado de CA autofirmado y emitir sus propios certificados. Si tiene muchos usuarios, la compra de certificados puede ser costosa.