Autenticación de cliente SSL: uso básico y extendido (en teoría)

Navega tus respuestas
0

Hasta ahora entendí la autenticación del cliente como una forma de limitar el acceso para ciertos clientes.

Pero después de leer enlace Ya no estoy tan seguro y me gustaría discutir aquí para que me abran los ojos.

Todo es teóricamente.

  • El cliente tiene un par de llaves. En el protocolo de enlace, envía el certificado (la clave de publicación firmada) y también los datos aleatorios firmados. Debido a que el servidor utiliza el certificado enviado para verificar que los datos firmados sepan que el cliente también está en posesión de la clave privada. Y debido a la cadena de confianza y al emisor, el servidor también sabe que el cliente es auténtico.

  • Y no es absolutamente necesario que el certificado de clientes se firme con la clave del servidor. Puede ser cualquier emisor siempre que el servidor pueda verificar la cadena de confianza de los clientes. Pero eso depende de los servidores CA.

  • Para diseñar el acceso limitado podemos usar la CA. Coloque solo el par de llaves de los servidores y solo los clientes podrán acceder a los certificados que están firmados con la CA de los servidores. Todos los demás no pasarán la verificación porque la cadena de confianza.

¿Mi opinión es correcta?

Gracias! Chis

    
pregunta chris01 15.02.2017 - 20:20
fuente

1 respuesta

1

Básicamente esto es correcto. El servidor web solo aceptará certificados de cliente firmados por la CA de confianza.

Pero eche un vistazo a una directiva de apache (bueno, en desuso) SSLRequire . enlace

Además, puede establecer otras condiciones en los certificados de cliente, como el sujeto que se encuentra en un determinado OU o la dirección de correo electrónico de los sujetos siguiendo ciertas reglas.

¡Pero este es solo el requisito necesario para configurar la conexión TLS! Luego, dentro de esta conexión TLS es muy probable que aún esté ejecutando una aplicación. Esta aplicación puede solicitar la información del certificado de los clientes y permitir el acceso según el tema del certificado.

Lo que significa: puede restringir la configuración de la conexión TLS a un determinado departamento de su compañía identificado por ejemplo, por ejemplo. OU en el certificado. Pero aún así, la aplicación puede otorgar diferentes derechos o roles según la CN o la Dirección de correo electrónico dentro del tema del certificado.

    
respondido por el cornelinux 15.02.2017 - 23:57
fuente

Lea otras preguntas en las etiquetas

seguridad de configuración de nivel de ejecución de Linux Obtener IP del servidor web ubicado en el nivel de subdirectorio