GNU/Linux >> Linux Esercitazione >  >> Linux

VPN con certificato client tramite PKI gestita:da dove viene la chiave privata?

Sto facendo una leggera supposizione, tuttavia, sospetto che nel browser stia usando generateCRMFRequest e importUserCertificate in combinazione. Una panoramica del processo è fornita dalla deprecata documentazione Javascript_crypto per Firefox.

Cose simili possono essere ottenute con Internet Explorer. Non ho guardato ma immagino che anche Safari abbia un certo livello di supporto.

Si tratta di estensioni completamente non standard e, secondo questo post sul forum CA/Browser, non il futuro.

La chiave viene generata localmente, tuttavia, è difficile stabilire se la chiave viene inviata o meno anche alla CA per "l'archiviazione" come in generateCRMFRequest. Poiché il javascript ha accesso alla chiave generata, potrebbe plausibilmente inviarla tramite Internet.

Un'ultima informazione, esiste uno strumento generico per farlo in Linux? Non che io sappia. Puoi certamente passare attraverso il processo di:

openssl genrsa ... -out private.key
openssl req -new ... -inkey private.key -out certplease.csr

inviando certplease.csr alla CA. Da loro otterrai un certificato PKCS#7 firmato da loro (ed eventualmente altri certificati nella catena, nel caso fossero necessari).

Tuttavia, non credo che in Linux esista un archivio di chiavi private standard basato sull'utente, piuttosto ogni ambiente desktop ne ha uno leggermente diverso.


Questa è una domanda affascinante.

Innanzitutto, alcune riflessioni sul .cer file che ottieni:Controlla l'elenco degli standard PKCS; PKCS#7 è solo un contenitore per il trasporto di dati firmati/crittografati, che non ci dice nulla su quali potrebbero essere quei dati. Se i dati all'interno erano in formato PKCS#12, è del tutto possibile che la chiave privata fosse inclusa in bundle con esso. Immagino che la domanda importante sia:hai dovuto inserire una password come parte dell'importazione del .cer ?

Symantec Managed PKI

Ci sono alcuni suggerimenti (ma nessuna risposta) nella guida alle opzioni di implementazione del servizio Symantec™ Managed PKI.

Stai chiaramente descrivendo

2.1.1 Registrazione del browser nativo

La registrazione del browser nativo non richiede l'installazione di software sul computer dell'utente finale e funziona sia in scenari cloud che ibridi.

Sebbene sia piuttosto carente di dettagli su dove viene generata la chiave.

Fare in modo che il server generi una chiave privata per te e la raggruppi nel .cer file sarebbe coerente con frasi come questa:

... Questa opzione è importante per garantire che i certificati ad alta sicurezza, come una smart card o un token USB, finiscano nell'archivio appropriato.

Poiché i certificati sono, per definizione, pubblici, l'unico modo in cui l'espressione "certificati ad alta sicurezza" ha senso è se è inclusa una chiave privata.

Fanno anche molti riferimenti ai servizi di registrazione / gestione delle chiavi di Microsoft Active Directory. Ma questo non spiega il tuo caso Linux.

Modifica: Ah. Qualcos'altro che è possibile è che il browser abbia accesso alla funzionalità di crittografia del sistema operativo (ad esempio Microsoft CAPI) e il javascript nella pagina di registrazione faccia in modo che il sistema operativo crei una chiave privata e generi una richiesta di certificato che includa una prova di possesso di quella chiave.


Linux
  1. Come verificare che il certificato Ssh sia stato firmato dalla chiave privata Ssh Ca specificata?

  2. Freebsd:da dove viene Mac Os X?

  3. Come recuperare la chiave pubblica da una chiave privata Ssh?

  4. Cosa si è smarrito+trovato e da dove viene?

  5. Come fare una VPN

Protezione del server di posta gestito da ISPConfig 3 con un certificato SSL Lets Encrypt valido

Autorità di certificazione con OpenSSL

Come generare la chiave CSR tramite WHM?

Accedi a un server Linux con una chiave privata SSH su un client Windows

Accedi con una chiave privata SSH su Linux e macOS

Come connettersi a una VPN con OpenVPN