Вход | Регистрация


Информационные технологии ::

Метки: 

SSL Дочерние сертификаты, доступ к web серверу

Я
   Pilokarpios
 
18.01.18 - 11:53
Приветствую всех.

Ранее создавалась тема: Сертификаты SSL на web сервер.

Решение проблемы следующее:

Создан самозаверенный сертификат, который добавлен в сертификаты web сервера, на основании него, созданы дочерние сертификаты для каждого юзера. все работает, но пишет, что подключение "не защищено" и это правильно, сертификат то самозаверенный.

Подскажите пожалуйста кто в курсе:
1. Какой сертификат нужно купить, чтобы создавать дочерние сертификаты.
У меня вообще складывается впечатление, что это невозможно, т.к. весь интернет трафик через ssl, аккумулируется и оседает в базах данных тех воротил, которые эти сертификаты и "заверяют", так сказать на потом. Потому что при создании дочернего сертификата будет новый зашифрованный трафик, который они контролировать не смогут или придется тратить время на расшифровку.

2. Есть у кого то подобные решения, как заблокировать/разрешить конкретного пользователя на уровне вэб сервера не используя ручную авторизацию и vpn?
 
 
   arsik
 
1 - 18.01.18 - 12:01
(0) Тонким клиентом не получилось? Зачем браузер использовать?
   Pilokarpios
 
2 - 18.01.18 - 12:06
(1) тонкий отпадает, не подходит.
   arsik
 
3 - 18.01.18 - 12:20
(2) причины?
   Pilokarpios
 
4 - 18.01.18 - 12:23
(3) ))) зачем тему в другое русло переводить? Давай закроем это ответвление. Есть причины, нужен веб-клиент, чтобы работать без установки 1С на разные ОС.
   eklmn
 
5 - 18.01.18 - 12:24
(0) Ну так поднимайте свой RootCA, делайте сертификаты как угдно, если боитесь покупать wildcard у других.
   arsik
 
6 - 18.01.18 - 12:26
(0) Зачем покупать? Чем "Let's Encrypt" не подходит?
   arsik
 
7 - 18.01.18 - 12:27
(5) В браузере валидность не пройдет
   Pilokarpios
 
8 - 18.01.18 - 12:27
wildcard не решает проблему. Он не позволяет создавать дочерние сертификаты, в том то и дело, он распространяется на субдоменты и только.
   Pilokarpios
 
9 - 18.01.18 - 12:31
(6) OpenSLL создает сертификаты из 1С. все устраивает в принципе. Не устраивает красная надпись "НЕ ЗАЩИЩЕНО", которую во все браузеры засунули. С таким же успехом, могли бы тогда поставить ALARM сирену при работе по HHTP:80
   Pilokarpios
 
10 - 18.01.18 - 12:49
(9) *OpenSSL, очепятка
 
 Рекламное место пустует
   arsik
 
11 - 18.01.18 - 13:09
(9) А нельзя в вебсервер воткнуть 2 сертификата? 1 для домена (купить в центре сертификации), а второй самоподписной для авторизации.
   Pilokarpios
 
12 - 18.01.18 - 13:13
(6) Я думаю к нему тоже скоро "доверие" выключат.
   Pilokarpios
 
13 - 18.01.18 - 13:14
(11) Насколько я знаю, в привязках на 443 порт привязывается только один сертификат для верификации.
   arsik
 
14 - 18.01.18 - 13:19
(13) А вот и нет.
https://www.opennet.ru/base/sec/ssl_cert.txt.html
Читать ниже "Запрос и проверка клиентских сертификатов."
   Pilokarpios
 
15 - 18.01.18 - 13:22
(14) Интересно, спасибо, надо будет кумекать как подобное настроить на IIS (apache использовать не вариант, так сложилось)
   arsik
 
16 - 18.01.18 - 13:29
+ (14) Вроде как можно https://toster.ru/q/187473
   Pilokarpios
 
17 - 18.01.18 - 13:37
(16) Вот это скорее больше подходит:
https://habrahabr.ru/post/249503/
   Pilokarpios
 
18 - 18.01.18 - 13:46
Пока что я склоняюсь к тому, что "зеленый HTTPS" получить нельзя, без получения сертификата сервера и сертификата клиента от доверенных центров.
   eklmn
 
19 - 18.01.18 - 13:48
(7) правильно, в браузере надо устанавливать корневой сертификат СА
   arsik
 
20 - 18.01.18 - 13:49
(18) Что бы зеленый был нужен только сертификат сервера.
https и авторизация - это 2 разные части.
https - ты организуешь за счет сертификата сервера от центра сертификации, а авторизацию по самоподписанным сертификатам
   eklmn
 
21 - 18.01.18 - 13:49
   arsik
 
22 - 18.01.18 - 14:01
(19) Меня тоже такая мысль посещала.
(0) Ты как сертификаты сложил? ca.crt импортировал клиенту или только клиентский?
Для браузера различия валидность проверяется на список валидных из своего списка. Для хрома это виндовое хранилище сертификатов.
   Exec
 
23 - 19.01.18 - 12:12
(12) это не китайская "поделка", а совместное дело - Cisco, EFF, Mozilla, и прочих гигантов, так что - не отключат. На самом деле очень удобно - лимит регистраций - 200 доменных сертификатов на 1 емейл, Один раз сделал, настроил - и всё, оно дальше само будет работать и и обновляться. Удобно очень, я б рекомендовал воспользоваться :)
   Fragster
 
24 - 19.01.18 - 12:44
наверное можно всех в домен и там свой в доверенные добавить
   arsik
 
25 - 22.01.18 - 14:05
Я все еще не успокоился :)
Судя по http://www.r-notes.ru/administrirovanie/sluzhby/113-avtorizatsiya-po-ssl-sertifikatam.html
Можно взять сертификат и ключ выданный центром сертификации, и подписать им любой клиентский сертификат.
То есть создаете клиентские сертификаты сколько нужно и подписываете их своим валидным.



Список тем форума
Рекламное место пустует Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует