Utilizzare il certificato client SSL Apache per identificare un client su un server, impedendo al client di copiare il certificato SSL


0

Voglio usare i certificati SSL per identificare un client su un server Apache. Il client esegue Firefox su CentOS 7 su un laptop che prendo in prestito. La connessione di rete client utilizza NAT in modo che più client appariranno sul server Web con lo stesso IP. Solo il laptop che prendo in prestito dovrebbe essere in grado di accedere al server. Ho letto la documentazione sui certificati client SSL e sembra abbastanza facile da configurare. Tuttavia, non voglio che l'utente sia in grado di copiare il certificato dall'installazione di Firefox sul proprio laptop. Mi sembra che se Firefox può leggere il certificato, anche l'utente può copiarlo. L'utente ha anche accesso alla shell sul laptop perché sta usando il laptop per scrivere un test.

Risposte:


0

Quello che dici è vero, se un client può leggere un file, può anche copiarlo. Potresti renderlo più difficile, ma di solito sono solo misure stop-gap.

Se si desidera renderlo davvero sicuro, è possibile emettere una smart card al client. La smart card è progettata per contenere una chiave privata e per non lasciare mai quella chiave privata (o essere copiata). È inoltre possibile memorizzare una chiave privata nel chip TPM che potrebbe trovarsi nel laptop (TPM è come una smart card, ma integrata nel computer). Ciò renderà quasi impossibile la copia.


Sembra molto interessante. I laptop sono Lenovo T540, T550 e T560 e penso che supportino il TPM. Dovrò vedere se esiste il supporto CentOS 7 per TPM. Tuttavia, non è chiaro come si possa usarlo con l'autenticazione Apache. L'hai fatto?
Jason,

La configurazione di Apache è possibile ottenere direttamente da Internet (cercare "reciproca autenticazione SSL"). La parte interessante è far comunicare il chip TPM con Firefox. L'ho provato qualche anno fa, ma dopo 2 giorni di scherzi, ho rinunciato e ho usato un lettore di smartcard USB con una smart card :) Ora il supporto potrebbe essere migliore.
martedì
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.