entendiendo el certificado del cliente - pfx en general

Question

entendiendo el certificado del cliente - pfx en general

#1 de M'vy (1 votos)
#2 de Simply G. (0 votos)

1

Hoy me dieron un pfx y me dijeron que accediera a un sitio web. No tengo la menor idea de lo que me dieron inicialmente, por lo que le ruego confirme mi comprensión a nivel general

1) pfx es un contenedor que se usa para proteger la clave privada y el certificado.

2) cuando hago doble clic en la pfx, en realidad me pide una contraseña. Este es el uso de la contraseña para extraer el contenido (por ejemplo, clave privada y certificado).

La ventana

me pidió que eligiera en qué tienda colocar el certificado o seleccionar automáticamente el almacén de certificados

q1) ¿cómo puedo saber dónde está el almacén de certificados en mi sistema?

q2) ¿dónde se extrae la clave privada?

En este escenario, creo que para acceder a un sitio web, el cliente deberá proporcionar el certificado que contiene la clave pública que el servidor utilizará para comunicarse con él.

Para que todo esto funcione (autenticación de cliente)

a) el cliente debe generar una CSR con su clave pública dentro
b) el cliente debe enviar el CSR para que lo firme una CA autorizada
c) la certificación de CA autorizada y todos los certificados de raíz deben ser instalado / disponible en el lado del SERVIDOR
d) el cliente envía su certificado al servidor, el servidor valida el certificado, utiliza la clave pública del certificado para cifrar la información antes de enviarla al cliente.
e) el cliente que tiene la clave privada descifra esto información etc. etc.

esta clave privada y el certificado se almacenan en un archivo pfx. Cualquier persona con el archivo pfx (y la contraseña para abrir el pfx) puede comunicarse con el servidor.

q3) significa que cualquier persona / cliente que tenga un certificado válido firmado Por una CA puede acceder al servidor entonces? ¿Cómo elige el servidor cuál Cliente para permitir el acceso y que no?

digital-signature tls certificates certificate-authority openssl

pregunta Noob 30.03.2016 - 10:13

fuente

2 respuestas

Lea otras preguntas en las etiquetas digital-signature tls certificates certificate-authority openssl

¿Cómo evitar el abuso del punto final del servidor web desde un cliente no autorizado? ¿Se puede autenticar a una persona que llama por teléfono?

score 1 · Answer 1

Así que vamos a abordar primero fácil:

Q1 / Q2 puede ver sus certificados en el administrador de certificados a.k.a. certmgr.msc

Q3 tu escenario es probablemente incorrecto. Si se le proporciona un certificado de cliente, es probable que ya esté firmado por alguna autoridad de certificación (quizás una CA interna utilizada por el servicio al que intenta acceder).

Por lo tanto, el flujo de trabajo de CSR no tiene que ocurrir aquí, ya que no es necesario generar un certificado a partir de un par de claves recién generado.

Si se refiere al proceso de creación del certificado antes de que le envíen uno, tiene razón. La clave pública entra en un CSR con su información. Algunos CA lo firman. Necesitas la CA raíz de la cadena.

La última parte es la autenticación. Actualmente estoy buscando el protocolo correcto, si hay uno. Pero lo que se debe hacer es:

compruebe la firma del certificado con la clave pública de la CA
verifique la validez del certificado
comprobar la revocación
verifique el asunto del certificado (de quién proviene)
evaluar la prueba de posesión (a través de un desafío)

El certificado del cliente podría no tener que enviarse, si hay un almacén de claves público para el servicio web.

Recursos:

score 0 · Answer 2

q1) Si se le pide que se conecte a una página web a través de su navegador, es muy probable que se suponga que se encuentre en su propia tienda "Personal".

q2) Termina en su almacén de certificados, lo más probable es que 'Su usuario' 'Personal' use MMC. (Google 'Cómo ver los certificados con el complemento MMC')

q3) si. Más probable. Probablemente le hayan entregado su certificado de cliente que le dará acceso.

Es posible que requiera un certificado de cliente firmado por la CA, pero no es necesario que sea el único requisito. Una aplicación web puede incluso tener una lista de los certificados de cliente que acepta, o aceptar solo aquellos con un nombre que comienza con 'A'. Dada la información proporcionada, es muy difícil de decir.

Supongo que esto es autenticación de cliente SSL sin ningún truco especial, así que 'Sí'.