Reutilizar los certificados de cliente

1

Tengo una aplicación web heredada donde los usuarios están identificados y autenticados con certificados de clientes. Ahora, el cliente desea usar el mismo certificado de cliente para autenticarse en una aplicación web recién creada (nombre de host diferente). Creo que esto no es posible, ya que los certificados del servidor tienen que ser diferentes.

¿Hay una manera de evitar eso? ¿Es posible volver a firmar un certificado? (Tengo acceso a todos los certificados, claves de servidor y la CA firmante y estoy escribiendo la nueva aplicación).

    
pregunta Karsten Kroesch 12.01.2015 - 11:45
fuente

1 respuesta

2

Los certificados de cliente se utilizan para autenticar a los clientes, por lo que no deben tener nada que ver con su certificado de servidor.

Paso 1 Los certificados de cliente están firmados por una CA. Si le dice a su aplicación web (su servidor) que confíe en esa CA, entonces su servidor aceptará el certificado de cliente. Simple como eso. Dependiendo de su configuración, esto es fácil de hacer. Por ejemplo, para Apache, puede agregar lo siguiente en httpd.conf:

SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile conf/ssl.crt/ca.crt

Donde el 'SSLCaCertificateFile' contiene la ruta al certificado de la CA que se usó para firmar los certificados del cliente.

Paso 2 El paso 2 es entonces asegurarse de que el cliente sea conocido (pero esto debería ser irrelevante para su pregunta). Esto es, el certificado es de confianza ahora (paso 1), ahora debe extraer el nombre del cliente (que está presente en el certificado) y asegurarse de que se le pueda otorgar acceso a este cliente.

    
respondido por el Michael 12.01.2015 - 12:01
fuente

Lea otras preguntas en las etiquetas