GNU/Linux >> Belajar Linux >  >> Linux

VPN dengan sertifikat klien melalui PKI terkelola - dari mana datangnya kunci pribadi?

Saya sedikit menebak, namun, saya menduga bahwa di browser menggunakan generateCRMFRequest dan importUserCertificate dalam kombinasi. Ikhtisar proses diberikan oleh dokumentasi Javascript_crypto yang tidak digunakan lagi untuk Firefox.

Hal serupa dapat dicapai dengan Internet Explorer. Saya belum melihat tetapi saya membayangkan Safari juga memiliki beberapa tingkat dukungan.

Ini sepenuhnya adalah ekstensi non-standar, dan menurut postingan ini di forum CA/Browser, bukan di masa mendatang.

Kunci dihasilkan secara lokal, namun sulit untuk mengatakan apakah kunci juga dikirim ke CA untuk "arsip" seperti pada generateCRMFRequest. Karena javascript memiliki akses ke kunci yang dibuat, itu dapat mengirimkannya melalui internet.

Sedikit info terakhir, apakah ada alat generik untuk melakukan ini di Linux? Tidak sepengetahuan saya. Anda pasti bisa melalui proses:

openssl genrsa ... -out private.key
openssl req -new ... -inkey private.key -out certplease.csr

mengirim certplease.csr ke CA. Dari mereka Anda akan mendapatkan kembali sertifikat PKCS#7 yang ditandatangani oleh mereka (dan mungkin sertifikat lain dalam rantai, jika diperlukan).

Namun, saya tidak percaya ada penyimpanan kunci pribadi berbasis pengguna standar di Linux - sebaliknya, setiap lingkungan desktop memiliki lingkungan yang sedikit berbeda.


Ini adalah pertanyaan yang menarik.

Pertama, beberapa pemikiran tentang .cer file yang Anda dapatkan:Lihat daftar standar PKCS; PKCS#7 hanyalah wadah untuk mengangkut data yang ditandatangani/dienkripsi, yang tidak memberi tahu kami apa pun tentang kemungkinan data tersebut. Jika data di dalamnya dalam format PKCS#12 maka sangat mungkin bahwa kunci pribadi dibundel dengannya. Saya kira pertanyaan pentingnya adalah:apakah Anda harus memasukkan kata sandi sebagai bagian dari mengimpor .cer ?

PKI yang Dikelola Symantec

Ada beberapa petunjuk (namun tidak ada jawaban) di panduan Opsi Penerapan Layanan PKI Terkelola Symantec™.

Anda dengan jelas menggambarkan

2.1.1 Pendaftaran browser asli

Pendaftaran browser asli tidak memerlukan penginstalan perangkat lunak di komputer pengguna akhir, dan bekerja di skenario cloud dan hibrid.

Meskipun agak kurang detail tentang di mana kunci dibuat.

Membuat server membuat kunci pribadi untuk Anda dan menggabungkannya ke dalam .cer file akan konsisten dengan kalimat seperti ini:

... Opsi ini penting untuk memastikan bahwa sertifikat keamanan tinggi, seperti kartu pintar atau token USB, berakhir di penyimpanan yang sesuai.

Karena sertifikat, menurut definisi, bersifat publik, satu-satunya cara frasa "sertifikat keamanan tinggi" menjadi masuk akal adalah jika ada kunci pribadi yang dipaketkan dengannya.

Mereka juga membuat banyak referensi ke layanan pendaftaran / manajemen kunci Microsoft Active Directory. Tapi itu tidak menjelaskan kasus Linux Anda.

Edit: Duh. Hal lain yang mungkin adalah browser memiliki akses ke fungsi crypto OS (misalnya Microsoft CAPI) dan javascript pada halaman pendaftaran membuat OS membuat kunci pribadi, dan menghasilkan permintaan sertifikat termasuk bukti kepemilikan. kunci itu.


Linux
  1. Gagal Menandatangani Csr Dengan Kunci Root Ca?

  2. Bagaimana Memverifikasi Bahwa Sertifikat Ssh Ditandatangani Dengan Kunci Pribadi Ssh Ca yang Ditentukan?

  3. Bagaimana Cara Mengambil Kunci Publik Dari Kunci Pribadi Ssh?

  1. Bagaimana Cara Menghasilkan Permintaan Penandatanganan Sertifikat (CSR) dengan OpenSSL?

  2. cara memperbarui homebrew dengan Cron di Mac os

  3. cara mendekripsi file ecryptfs dengan kunci pribadi alih-alih frasa sandi

  1. Cara menginstal sertifikat SSL pihak ketiga dengan cPanel

  2. Freebsd – Dari Mana Mac Os X Berasal?

  3. SSH dari A sampai B ke C, menggunakan kunci privat di B