/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
certifikater i forbindelse med https
Fra : Ole Michaelsen


Dato : 20-07-01 10:59

Tilgiv mig min uvidenhed: jeg kan lave et klientcertifikat til at smække
på en webklient, der så skal tilgå et SSL website, ved eksempelvis at
lave en request med openssl, producere certifikatet med de rette
besværgelser (også med openssl), og installere både certifikat og nøglesæt
på klienten.

I den proces er certifikatet ikke bundet til klienten på anden måde, end
at klienten skal have den rette private og offentlige nøgle, og have den
adgangskode indtastet, der beskytter den private nøgle.

Er der forskel på denne måde, og så den måde, hvor man får klientens
webbrowser (Internet Explorer eller Navigator) til at generere nøgle-
sættet og laver certifikat-requesten via et cgi-script?

I sidste tilfælde, er certifikatet "bundet" til klienten på anden/bedre
vis end i første tilfælde? Kan man stadig eksportere certifikatet og
installere det på en anden klient, hvis man har adgangskoden der
beskytter den private nøgle?

Jeg er selvfølgelig klar over at det administrativt er bedre med en
strømlinet PKI vha cgi-scripts end det er at lave certifikater og nøgler
"i hånden" med fx openssl.

Håber nogen kan kaste lys over dette.

Vh,

--
Ole Michaelsen
Copenhagen, Denmark

 
 
Mads Toftum (21-07-2001)
Kommentar
Fra : Mads Toftum


Dato : 21-07-01 16:28

On Fri, 20 Jul 2001 09:59:18 GMT, Ole Michaelsen <omic+usenet3@fys.ku.dk> wrote:
>Tilgiv mig min uvidenhed: jeg kan lave et klientcertifikat til at smække
>på en webklient, der så skal tilgå et SSL website, ved eksempelvis at
>lave en request med openssl, producere certifikatet med de rette
>besværgelser (også med openssl), og installere både certifikat og nøglesæt
>på klienten.
>
>I den proces er certifikatet ikke bundet til klienten på anden måde, end
>at klienten skal have den rette private og offentlige nøgle, og have den
>adgangskode indtastet, der beskytter den private nøgle.
>
>Er der forskel på denne måde, og så den måde, hvor man får klientens
>webbrowser (Internet Explorer eller Navigator) til at generere nøgle-
>sættet og laver certifikat-requesten via et cgi-script?
>
>I sidste tilfælde, er certifikatet "bundet" til klienten på anden/bedre
>vis end i første tilfælde?

Ja, i modellen hvor du lader klienten om at lave requestet, der er den
private nøgle ikke tilgængelig for CA'en.

>Kan man stadig eksportere certifikatet og
>installere det på en anden klient, hvis man har adgangskoden der
>beskytter den private nøgle?

I hvert fald så længe at nøglen ikke er gemt på et smartcard eller
noget der ligner.

vh

Mads Toftum
--
`Darn it, who spiked my coffee with water?!' - lwall


Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408930
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste