Zertifikat - Wie funktioniert es?

Dieses Thema im Forum "Security Talk" wurde erstellt von SethGecko, 18.07.2006.

  1. #1 SethGecko, 18.07.2006
    SethGecko

    SethGecko Nich aussem Block!

    Dabei seit:
    21.09.2004
    Beiträge:
    168
    Zustimmungen:
    0
    Ort:
    Naehe FFM
    hallo community.

    ich habe fragen über folgendes probelm:

    auf einem www-server soll ein zertifikat "installiert" werden... ein client kann auf diesen server connecten.

    das zertifikat soll nun überprüfen, ob der user überhaupt zugriff auf diesen server haben darf oder nicht.


    wie kommt der server an so ein zertifikat (reicht ssl?)
    wie kommt der client an ein zertifikat?
    wie ist der ablauf?
    die wikipedia seite, bringt mich nicht weiter... und ich habe keine ahnung, was ich bei google eingeben soll.
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. rygar

    rygar Routinier
    Moderator

    Dabei seit:
    15.07.2002
    Beiträge:
    332
    Zustimmungen:
    0
    Ort:
    Kaarst
    Also, erstmal was zu den Zertifikaten :

    Ein Zertifikat sorgt nicht für die Verschlüsslung, ein Zertifikat sorgt für eine Authentifizierung.

    Klar... SSL ist auch die sichere Übertragung, aber nur weil nachdem für den Client klar ist das er mit dem richtigen Server spricht ein Schlüssel ausgehandelt wird und dann zwischen Client und Server alles verschlüsselt wird.

    Siehe : http://www.bsi-fuer-buerger.de/browser/02_05.htm

    Wenn Du jetzt deine eigene CA hast gibt es die Möglichkeit deinen Usern ein Zertifikat auszustellen, das von deiner CA unterschrieben ist.

    Dem Apache sagst Du dann, das jeder User aus deiner CA (dafür braucht der Apache den CA Key) auf die Seite darf.

    Beispiel :
    Code:
    #   require a client certificate which has to be directly
    #   signed by our CA certificate in ca.crt
    SSLVerifyClient require
    SSLVerifyDepth 1
    SSLCACertificateFile conf/ssl.crt/ca.crt
    
    Weitere Infos hier : http://www.modssl.org/docs/2.8/ssl_howto.html
     
  4. #3 SethGecko, 18.07.2006
    SethGecko

    SethGecko Nich aussem Block!

    Dabei seit:
    21.09.2004
    Beiträge:
    168
    Zustimmungen:
    0
    Ort:
    Naehe FFM
    ich hab gerade noch ein paar infos bekommen...

    also... der user connected durch eine firewall zu einem gateway. und auf diesem gateway, soll dieses zertifikat installiert werden.
     
  5. rygar

    rygar Routinier
    Moderator

    Dabei seit:
    15.07.2002
    Beiträge:
    332
    Zustimmungen:
    0
    Ort:
    Kaarst
    Sei mir nicht böse, aber lies Dir doch bitte die Sachen oben erstmal durch und versteh wie SSL und Zertifikate funktionieren.

    Wenn Du das nicht machst wirst Du NIE eine sichere Authentifizierung bekommen weil Du einfach die Theorie nicht verstanden hast.
     
  6. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Ich kann rygar nur zustimmen. Du solltest dich evtl. mal damit auseinander setzen, was Zertifikate ueberhaupt sind und was SSL tut. Dann wuesstest du, dass Server-Zertifikate lediglich sicher stellen, dass der Client sich mit dem richtigen Server unterhaelt und SSL lediglich fuer eine zusaetzliche Verschluesselung im HTTP sorgt. Das ganze hat also mit der Benutzer-Authentifizierung garnichts zu tun. Das was du da vor, laesst sich wohl am Besten ueber eine Key-Authentifizierung z.B. ueber einen SSH-Tunnel regeln.
     
  7. mcas

    mcas Routinier

    Dabei seit:
    29.12.2005
    Beiträge:
    398
    Zustimmungen:
    0
    Man kann den Apache so einstellen, dass sich nur Benutzer mit einem Zertifikat auf den https - Server verbinden können. Die Apachedoku geht da mein ich mit ein paar Beispielen drauf ein.
    Also nicht "das Zertifikat" prüft sondern der Webserver lässt nur Clients mit bestimmten Zertifikaten zu.
     
  8. #7 SethGecko, 18.07.2006
    SethGecko

    SethGecko Nich aussem Block!

    Dabei seit:
    21.09.2004
    Beiträge:
    168
    Zustimmungen:
    0
    Ort:
    Naehe FFM
    bis ich diesen thread eröffnet habe, hatte ich mich mit dem thema noch nie wirklich befasst...

    ich habe nur den auftrag wiedergegeben, welchen ich bekommen habe.

    in de letzten stunden, habe ich schon etwas gelesen...
     
  9. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Kannte ich bisher nur ueber LDAP und andere DBs und Client-Schluessel. Aber ich habe gerade nachgeschaut und festgestellt, dass das tatsaechlich auch ueber mod_ssl und Client-Zertifikate machbar ist. War mein Fehler, sorry. Der Trick ist einfach, dass der Server kein Server-Zertifikat zur Verfuegung stellt, sondern stattdessen ein Client-Zertifikat anfordert. Dazu muessen im SSLCACertificatePath die CA-Zertifikate zur Validierung der Client-Certs zur Verfuegung stehen. Einfach mal einen Blick in http://httpd.apache.org/docs/2.2/mod/mod_ssl.html werfen. :)
     
Thema: Zertifikat - Wie funktioniert es?
Besucher kamen mit folgenden Suchen
  1. wie funktioniert ein zertifikat youtube

Die Seite wird geladen...

Zertifikat - Wie funktioniert es? - Ähnliche Themen

  1. Let's Encrypt stellt eine Million Zertifikate aus

    Let's Encrypt stellt eine Million Zertifikate aus: Das Projekt Let's Encrypt hat seit dem Beginn der offenen Betaphase vor knapp über drei Monaten eine Million Zertifikate ausgestellt. Weiterlesen...
  2. Zertifikatsdateien

    Zertifikatsdateien: Hallöchen und einen schönen Abend! Ich habe zurzeit folgendes Problem. Ich habe eine SSL Wildcard für subdomain (als Beispiel *.example.com). Ich...
  3. Let's Encrypt hat ein erstes Zertifikat freigegeben

    Let's Encrypt hat ein erstes Zertifikat freigegeben: Die Internet Security Research Group (ISRG) hat im Rahmen des Projekts »Let's Encrypt« ein erstes kostenloses Zertifikat freigegeben. Das Projekt...
  4. Chrome und Firefox sperren gefälschte Server-Zertifikate

    Chrome und Firefox sperren gefälschte Server-Zertifikate: Seit Freitag waren offenbar gefälschte Server-Schlüssel von Google im Umlauf. Google reagierte darauf, indem es die betroffenen Schlüssel im...
  5. Projekt »Let's Encrypt«: Kostenlose Krypto-Zertifikate für alle

    Projekt »Let's Encrypt«: Kostenlose Krypto-Zertifikate für alle: Das Projekt »Let's Encrypt« will die letzte Hürde für den flächendeckenden Einsatz von Verschlüsselung schließen: Signierte Schlüssel, denen man...