Autentizace SSL Certifikátem

Martin Svoboda

Varování !!!

• Tyto slidy obsahují můj postup jak jsem se dopracoval ke stádiu "funguje to" :-)
• proto za nic neručím... ;-)

HTTPS - nastavení

1. Přístup ke konfiguračním souborům Apache
2. Nutná podmínka pro autentizaci osobním certifikátem je mít web zabezpečený pomocí SSL
   • certifikáty, cerifikační autority...
3. Upravit nastavení HTTPS VirtualHostu v Apache:
   • ke stávajícímu funkčnímu nastavení SSL přidat:

Upravit nastavení Apache - SSL VirtualHostu

• SSLVerifyClient
  • none || optional || require || optional_no_ca
• SSLVerifyDepth 2
• SSLCACertificateFile /home/ssl/ca.crt
  • CA vůči které ověřujeme certifikáty
• SSLOptions +ExportCertData +StdEnvVars
  • zajístíme si export do systémových proměnných

Certifikáty - ověřování

• Chceme-li ověřovat platnost osobního certifikátu musíme zadat cestu k certifikátu CA
• V osobním certifikátu musí být přítomen email daného subjektu
• Neověříme-li platnost osobního certifikátu, pak autentizace není dostatečná - může tak kdokoli s certifikátem a daným emailem projít...
• Jiná možnost je nevyžadovat certifikát, ale být připraven, co když:
  • s certifikátem OK || KO
  • bez certifikátu

Autentizace - příklad PHP

<?php
if ( $_SERVER[SSL_CLIENT_VERIFY] == "SUCCESS" AND $_SERVER[SSL_CLIENT_S_DN_Email] == "email@ja.tu" ) {
...echo "Úspěšně autentizován OSOBNÍM CERTIFIKÁTEM";
} elseif ( $_SERVER[PHP_AUTH_USER] == "jmeno" AND $_SERVER[PHP_AUTH_PW] == "heslo" ) {
...echo "Úspěšně autentizován HTTP AUTENTIFIKACÍ";
} else {
...echo "Přístup zamítnut";
}
?>

Osobní certifikát

• Vytvoří nám jej Certifikační autorita (třeba sami :-)
• Musí obsahovat email pro autentizaci
• Vyexportujeme do formátu PKCS#12 - klíč+certifikát chráněný heslem, následně importujeme do prohlížeče
• Autentizujeme se svým certifikátem....

Odkazy

• Apache.org
• ModSSL.org
• OpenSSL.org