|
| certifikater i forbindelse med https Fra : Ole Michaelsen |
Dato : 20-07-01 10:59 |
|
Tilgiv mig min uvidenhed: jeg kan lave et klientcertifikat til at smække
på en webklient, der så skal tilgå et SSL website, ved eksempelvis at
lave en request med openssl, producere certifikatet med de rette
besværgelser (også med openssl), og installere både certifikat og nøglesæt
på klienten.
I den proces er certifikatet ikke bundet til klienten på anden måde, end
at klienten skal have den rette private og offentlige nøgle, og have den
adgangskode indtastet, der beskytter den private nøgle.
Er der forskel på denne måde, og så den måde, hvor man får klientens
webbrowser (Internet Explorer eller Navigator) til at generere nøgle-
sættet og laver certifikat-requesten via et cgi-script?
I sidste tilfælde, er certifikatet "bundet" til klienten på anden/bedre
vis end i første tilfælde? Kan man stadig eksportere certifikatet og
installere det på en anden klient, hvis man har adgangskoden der
beskytter den private nøgle?
Jeg er selvfølgelig klar over at det administrativt er bedre med en
strømlinet PKI vha cgi-scripts end det er at lave certifikater og nøgler
"i hånden" med fx openssl.
Håber nogen kan kaste lys over dette.
Vh,
--
Ole Michaelsen
Copenhagen, Denmark
| |
Mads Toftum (21-07-2001)
| Kommentar Fra : Mads Toftum |
Dato : 21-07-01 16:28 |
|
On Fri, 20 Jul 2001 09:59:18 GMT, Ole Michaelsen <omic+usenet3@fys.ku.dk> wrote:
>Tilgiv mig min uvidenhed: jeg kan lave et klientcertifikat til at smække
>på en webklient, der så skal tilgå et SSL website, ved eksempelvis at
>lave en request med openssl, producere certifikatet med de rette
>besværgelser (også med openssl), og installere både certifikat og nøglesæt
>på klienten.
>
>I den proces er certifikatet ikke bundet til klienten på anden måde, end
>at klienten skal have den rette private og offentlige nøgle, og have den
>adgangskode indtastet, der beskytter den private nøgle.
>
>Er der forskel på denne måde, og så den måde, hvor man får klientens
>webbrowser (Internet Explorer eller Navigator) til at generere nøgle-
>sættet og laver certifikat-requesten via et cgi-script?
>
>I sidste tilfælde, er certifikatet "bundet" til klienten på anden/bedre
>vis end i første tilfælde?
Ja, i modellen hvor du lader klienten om at lave requestet, der er den
private nøgle ikke tilgængelig for CA'en.
>Kan man stadig eksportere certifikatet og
>installere det på en anden klient, hvis man har adgangskoden der
>beskytter den private nøgle?
I hvert fald så længe at nøglen ikke er gemt på et smartcard eller
noget der ligner.
vh
Mads Toftum
--
`Darn it, who spiked my coffee with water?!' - lwall
| |
|
|