Я хочу использовать SCEP для выдачи клиентских сертификатов, возможно, используя ADCS . У нас уже есть внутренний автономный корневой центр сертификации (надежно в сейфе, используется только для подписи и отзыва промежуточных центров сертификации), и этому корню доверяют все внутренние клиенты и серверы.
Я хочу, чтобы подписывать сертификаты клиентов. чтобы создать промежуточное звено, которое может только это: подписывать сертификаты клиентов. В частности, я не хочу, чтобы можно было подписывать сертификаты сервера с помощью этого промежуточного звена (причина в том, что промежуточное звено по необходимости должно быть в онлайн-системе, При базовой аутентификации клиент передает заголовок аутентификации, как показано ниже, в прокси {+ add-header {Proxy -...
Моя клиентская машина взаимодействует с прокси-сервером squid в режиме базовой аутентификации. При базовой аутентификации клиент передает заголовок аутентификации, как показано ниже, на прокси
{+add-header{Proxy-Authorization: Basic dGNvZTE6dGNvZTE=}}
Поскольку базовая аутентификация является слабой, мне нужно перенести аутентификацию на Negotiate / Kerberos.
Кто-нибудь может мне подсказать, как клиент будет общаться с прокси? Какую всю информацию я должен передать? Заголовок Proxy-Authorization требуется или нет? если требуется, что я должен передать как параметр? Примечание: я не знаком с этими конфигурациями, большинство источников в Интернете не ведут меня в правильном направлении.
Недавно я прочитал ветку История безопасной аутентификации пользователей в squid В этом я прочитал комментарий @gravity, @gravity упомянул, что он уже реализовал это. Пожалуйста, предложите мне решение.
вам необходимо использовать следующие документы squid для kerberos
. Если вам не нужно иметь дело с областью AD kerberos, шаги могут быть несколько другими, но суть он будет таким же.