Вопросы Теги

Клиентский автор сертификата

Я хотел бы установить Клиентского Автора Сертификата со своим котом. Я настроил веб-приложение для этого автора, и это - моя конфигурация кота. Я использую Windows PKI для своих сертификатов, таким образом, у меня есть pfx файлы. keystore с моим pfx для ssl хорошо работает. Я могу получить доступ с портом 443, когда я отключаю clientauth.

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="D:\SSL\Keystore\.keystore" keystorePass="Pass" maxHttpHeaderSize="65536"/>

Это веб-приложение также имеет мобильное приложение. Я установил pfx сертификат на своем Устройстве на iOS и попытался соединиться. В Wireshark I видят 

Client Hello
Server Hello, Certificate, Server Key Exchange, Certificate Request, Server Hello Done
Certificate
Client Key Exchange
Encrypted Handshake Massage

Для Клиентского Протокола квитирования Exchange Ключа используется Diffie-Hellman. 

Diffie-Hellman Client Params
Pubkey Length: 96
Pubkey: 3e11d540564377e996b0f7d13de11838ccc7f0d00f918592...

Когда я получаю доступ к веб-приложению через браузер, я перехожу к сути дела, где я могу выбрать сертификат, но это не показывает мне сертификат, что я хочу использовать.

Client Hello
Server Hello, Certificate, Server Key Exchange, Certificate Request, Server Hello Done
Certificate, Client Key Exchange, Certificate Verify, Change Cipher Spec, Encrypted Handshake Massage
Encrypted Handshake Massage

Таким образом, похоже, что у меня нет корректного сертификата, или веб-приложение не настроено правильно. Я просто хочу удостовериться, что я не пропускаю что-то в своей конфигурации кота.

0
задан 1 December 2014 в 14:33
1 ответ

Это может быть довольно элементарная, базовая информация, но я слишком много раз упускал простые вещи.

Предполагая, что ваш веб-клиент работает внутри Windows и является веб-клиентом, который понимает Windows CAPI, вам нужно, чтобы пользовательский сертификат находился в CAPI -> Текущий пользователь -> Личные -> Сертификаты и должен иметь расширенное использование ключа clientAuth. В этом случае он будет представлен селектором сертификатов в IE и Chrome.

Firefox выполняет свои собственные функции (я считаю, что это должно быть согласовано между ОС), а именно подсистему NSS и формат файла. Насколько мне известно, сертификат может быть загружен в NSS только через графический интерфейс браузера Firefox в Параметры -> Дополнительно -> Шифрование -> Просмотр сертификатов . Опять же, сертификат должен иметь разумные EKU и ограничения.

0
ответ дан 5 December 2019 в 13:01

Теги

Похожие вопросы