Ist es möglich Apache Authentisierung per Client-Zertifikat zu nutzen?
SSL als Grundlage läuft ja bereits.
SSL als Grundlage läuft ja bereits.
Authentisierung per Client-Zertifikat
- Ersteller freako
- Erstellt am
- Status
Hallo freako,
Bücher und Hardware zum Thema gibt es bei Amazon: Authentisierung per Client-Zertifikat
Bücher und Hardware zum Thema gibt es bei Amazon: Authentisierung per Client-Zertifikat
THX genau das meinte ich...
Der Titel ist recht seltsam "Zertifikat Download unterbinden" aber der 2. Beitrag trifft es "web Interface über client Zertifikat absichern".
Der Titel ist recht seltsam "Zertifikat Download unterbinden" aber der 2. Beitrag trifft es "web Interface über client Zertifikat absichern".
Eigentlich nicht wirklich seltsam. Bei SSL läuft ja immer alles über Zertifikate - im Normalfall werden diese Zertifikate aber automatisch dem Client zur Verfügung gestellt, damit dieser eine Verbindung herstellen kann. Das Zertifikat wird dann zum Aushandeln der Verschlüsselung benutzt und zur Identifikation der Gegenseite. Und wenn man jetzt genau diesen automatischen Download des Zertifikats verhindert, können eben nur noch Clients zugreifen, die bereits über dieses Zertifikat verfügen...
SSL läuft über Zertifikate das ist richtig.
SSL verschlüsselt die Verbindung mehr auch nicht.
Authentisierung ist wieder ein anderes Thema.
Apache unterstützt 3 verschiedene Arten:
Authentisierung per IP-Adresse
Authentisierung per Passwort
Authentisierung per Client-Zertifikat
Ich möchte halt eine Authentisierung per Client-Zertifikat, das setzt in dem Fall SSL voraus. Dabei wird allerdings nicht das "normale" SSL Zertifikat (Server Zertifikat) underdrückt, sondern es setzt ein weiteres vorraus (Client Zertifikat). Das SSL Server Zertifikat wird immer übertragen wenn SSL aktiv ist.
Dadurch erreiche ich das ein Nutzer ohne Client Zertifikat erst garnicht das Login Fenster zu sehen bekommt. Der Browser gibt dann nur die Meldung die "Die Seite kann nicht angezeigt werden".
Ich werde mal Beiträge und Wiki durchstöbern, DSM unterstützt es ja nicht direkt. Mal schauen wie es dann mit DSM Updates aussieht wenn man Änderungen an der Apache Konfiguration gemacht hat.
SSL verschlüsselt die Verbindung mehr auch nicht.
Authentisierung ist wieder ein anderes Thema.
Apache unterstützt 3 verschiedene Arten:
Authentisierung per IP-Adresse
Authentisierung per Passwort
Authentisierung per Client-Zertifikat
Ich möchte halt eine Authentisierung per Client-Zertifikat, das setzt in dem Fall SSL voraus. Dabei wird allerdings nicht das "normale" SSL Zertifikat (Server Zertifikat) underdrückt, sondern es setzt ein weiteres vorraus (Client Zertifikat). Das SSL Server Zertifikat wird immer übertragen wenn SSL aktiv ist.
Dadurch erreiche ich das ein Nutzer ohne Client Zertifikat erst garnicht das Login Fenster zu sehen bekommt. Der Browser gibt dann nur die Meldung die "Die Seite kann nicht angezeigt werden".
Ich werde mal Beiträge und Wiki durchstöbern, DSM unterstützt es ja nicht direkt. Mal schauen wie es dann mit DSM Updates aussieht wenn man Änderungen an der Apache Konfiguration gemacht hat.
Bei der Umsetzung habe ich leider ein Problem
Der Befehl
openssl genrsa -out client.key 2048
funktionierte client.key wurde erstellt
nun wollte ich mit openssl req -new -key client.key -out client.csr die client.csr erstellen und bekomme diesen Fehler
Unable to load config info from /usr/syno/ssl/openssl.cnf
Kann mir jemand was dazu sagen?
Der Befehl
openssl genrsa -out client.key 2048
funktionierte client.key wurde erstellt
nun wollte ich mit openssl req -new -key client.key -out client.csr die client.csr erstellen und bekomme diesen Fehler
Unable to load config info from /usr/syno/ssl/openssl.cnf
Kann mir jemand was dazu sagen?
DKeppi
Benutzer
- Mitglied seit
- 01. Apr 2011
- Beiträge
- 3.225
- Punkte für Reaktionen
- 91
- Punkte
- 114
Standardmäßig hast du keine openssl.cnf auf der Syno!
Mach mal folgendes in der Kommandozeile:
Danach sollte es funktionieren!
P.S.: Trägt übrigens auch dazu bei, dass man bei der IPKG Bootstrap Installation keine Fehlermeldung zu openssl.cnf bekommt!
Mach mal folgendes in der Kommandozeile:
Rich (BBCode):
cd /usr/syno
Rich (BBCode):
mkdir ssl
Rich (BBCode):
cd ssl
Rich (BBCode):
wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnfDanach sollte es funktionieren!
P.S.: Trägt übrigens auch dazu bei, dass man bei der IPKG Bootstrap Installation keine Fehlermeldung zu openssl.cnf bekommt!
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
