Как лучше сделать аутентификацию пользователей по SSL сертификатам?

Question

[Александр Кубинцев]

В принципе ответ на сабж в простейшем виде знаю (openssl, nginx и т.д.)
Но то ли я не могу сформулировать короткий вопрос для Гугла, то ли всегда остается за кадром один момент.
Самоподписанный серверный сертификат меня не очень устраивает. В теории ведь получается, что для получения клиентского сертификата на домене с верифицированным сертификатом, нужно иметь ключ CA, который естественно никто не даст.
Так вот есть ли какой-то способ обойти эту проблему?

Предполагается, что клиентские сертификаты будут постоянно добавляться и использоваться вместо логина и пароля для входа в свой личный кабинет.

Answer 1

[Николай Корабельников]

Если вы хотите сами создавать сертификаты пользователей, то ключ УЦ должен быть у вас. Иначе ничего подписать вы не сможете. Тогда ваши действия такие:
1. Создаете ключевую пару УЦ
2. Создаете самоподписанный сертификат УЦ
3. Указываете веб-серверу, что этот сертификат - сертификат УЦ для аутентификации пользователей (не знаю, как на nginx, делал только на apache)
4. Создаете ключевую пару пользователя(или он сам ее создает) и генерируете csr - запрос на сертификат.
5. Выпускаете сертификат, подписывая его вашим УЦ.
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt
где
ca.crt - сертификат УЦ, из п.2
ca.key - закрытый ключ УЦ из п.1
client.csr - csr из п.4
client.crt - выходной файл сертификата пользователя.
6. Устанавилваете получившийся сертификат пользователю.
7. Настраиваете требование аутентификации по сертификатам.

Не забудьте сделать SSL сертификат самому серверу.

Можете развернуть полноценный PKI, для выпуска и управления сертифкатами пользователей. Это, конечно, значительно упростит жизнь.

Comments

[Александр Кубинцев]

Иными словами, проблему решить можно только через поддомен с самоподписанным сертификатом?

[Николай Корабельников]

не понимаю, где в моем ответе вы нашли поддомен. Совершенно неважно какого уровня у вас домен.

[Александр Кубинцев]

Николай Корабельников: в моём случае речь идёт об использовании (под)домена для авторизации через браузер.

[Николай Корабельников]

извините, не понимаю о чем речь.
То, что описал я: настройка аутентификации (не путайте с авторизацией) на веб сервере (хоть domain.com, хоть subdomain.domain.com). Аутентификация через браузер будет работать, да.

[Александр Кубинцев]

Я понимаю, что не важно какого уровня домен. Ключевое слово в вопросе - самоподписанный. Это принципиально.

[Николай Корабельников]

Прочитал ваш комментарий на соседний ответ.
То, что вам надо - получить сертификат от доверенного УЦ (например, Comodo).
Дальше настраивайте ваш веб сервер в соответсвтии с тем, как я описал:
выпускаете ключевую пару, сертификат УЦ, потом подписывете клиентские сертификаты вашим УЦ. А веб-серверу указываете сертификат вашего УЦ в том месте, где требуется, чтобы ваш веб-сервер проверял пользовательские сертификаты исходя из доверия сертификату вашему УЦ.

Это вообще 2 разные задачи: сертификат сервера и сертификат пользователя. И они не мешают друг другу.
Так что рекомендую перечитать мой изначальный ответ.

[Николай Корабельников]

Судя по всему вам надо сделать так в /etc/nginx/conf.d/default:
ssl_certificate /etc/nginx/certs/server.crt; - Это сертификат, выданный Comodo
ssl_certificate_key /etc/nginx/certs/server.key; - Это закрытый ключ в сертификату, выданному Comodo
ssl_client_certificate /etc/nginx/certs/ca.crt; - Это сертификат, который вы получите для сервера по моей инструкции в п.2
ssl_verify_client on;

[Александр Кубинцев]

Николай Корабельников: видимо я плохо разобрался в механизме аутентификации через сертификаты. Получается, что мне ничего не нужно делать подписанным ранее в Comodo серверным сертификатом. И всё сводится по сути к генерации своего ключа и сертификата CA + клиентского сертификата, подписанного своим CA-ключом?

[Николай Корабельников]

Александр Кубинцев: да, все верно.

[Александр Кубинцев]

Николай Корабельников: спасибо!

Answer 2

[3vi1_0n3]

Серверный сертификат может быть подписан кем угодно, на использование клиентских это никак не влияет, их можете подписывать своим CA, главное серверу указать потом его, чтобы клиентские считались валидными. Вот тут можно пример посмотреть, например. При использовании mutual аутентификации при помощи сертификатов может, конечно, возникнуть вопрос, если клиент не знает корневого сертификата, которым подписан серверный.

Comments

[Александр Кубинцев]

С точки зрения безопасности вопросов нет. Но с точки зрения пользователя будет неприятное предупреждение безопасности в браузере при входе на домен, у которого CA неизвестен.
Именно поэтому и возникла тема. Была надежда на использование подписанного сертификата узнаваемым CA, вроде Comodo.

[3vi1_0n3]

Александр Кубинцев: Я про это и писал. Серверный известным CA, клиентские - своим. Плюс указать серверу свой корневой сертификат, которым подписаны клиенты, чтобы он мог принимать клиентские сертификаты. Самоподписанный сертификат сервера очень плохой вариант, а самоподписанные сертификаты клиентов - вполне нормальный.

[3vi1_0n3]

Александр Кубинцев: Можно одним ключом, но совсем не обязательно. Сервер должен знать CA, которым подписаны клиентские сертификаты, и этого должно быть достаточно, он может не совпадать с тем CA, которым подписан сертификат сервера.

[Александр Кубинцев]

3vi1_0n3: спасибо, кажется ко мне пришло понимание