Pertanyaan Otentikasi Sertifikat


Saat ini saya sedang mengerjakan penggelaran situs web bagi staf untuk digunakan dari jarak jauh dan ingin memastikannya aman.

Saya berpikir akan mungkin untuk menyiapkan semacam otentikasi sertifikat di mana saya akan menghasilkan sertifikat dan menginstalnya di laptop mereka sehingga mereka dapat mengakses situs web?

Saya tidak benar-benar ingin mereka menghasilkan sertifikat itu sendiri meskipun itu bisa dengan mudah salah.

Seberapa mudah / mungkin ini dan bagaimana cara melakukannya?


6
2018-04-06 10:51






Jawaban:


Apa yang ingin Anda lakukan disebut otentikasi dua arah ssl

Cara mengimplementasikannya akan bervariasi berdasarkan server web Anda.

Panduan Apache


3
2018-05-10 04:20





Periksa CAcert, "Otoritas sertifikat yang didorong oleh komunitas yang mengeluarkan sertifikat kepada publik secara umum secara gratis."


1
2018-05-10 01:50





tinyca2 adalah front-end grafis yang bagus untuk menghasilkan sertifikat. Ini dikemas untuk distribusi Linux Debian dan Ubuntu. Anda akan dapat menghasilkan kunci dan sertifikat untuk server dan klien. Mereka dapat diekspor dalam sejumlah format. Saya akan merekomendasikan proses dokumentasi untuk menginstal ca-sertifikat Anda serta kunci klien dan sertifikat. Menetapkan atau mengubah kata sandi pada kunci klien oleh pengguna Anda juga harus dicakup.

Saya kedua menggunakan mod-rewrite untuk memaksa akses ke https: //.


1
2018-05-10 04:19



URL: tinyca.sm-zone.net - Nathan Hartley
@Nathan: Terima kasih atas tautannya. Ini adalah perangkat lunak paket untuk distribusi berbasis Debian termasuk Ubuntu. Saya tidak pernah pergi ke situs asli. Meskipun diklasifikasikan sebagai beta, saya merasa ini lebih stabil daripada beberapa perangkat lunak yang dirilis. - BillThor


Ini Artikel berurusan dengan membuat sertifikat untuk Microsoft Exchange, tetapi prosesnya serupa untuk setiap Situs Web IIS. Semoga itu membantu!


1
2018-04-06 15:38





Wow, jika Anda menggunakan apache Anda dapat menggunakan mod_rewrite untuk memaksa penggunaan SSL dan di httpd.conf Anda juga perlu menggunakan arahan 'SSLVerifyClient require' dan 'SSLVerifyDepth 4' di host virtual *: 443 Anda.

Untuk aturan penulisan ulang Anda dapat menggunakan sesuatu seperti ini:

RewriteCond %{HTTPS} !^on$ [NC]
RewriteRule . https://%{HTTP_HOST}%{REQUEST_URI} [L]

Semoga ini membantu.


0
2018-04-06 12:28



Saya khawatir saya menggunakan IIS / Windows. Saya mencari lebih banyak gambaran tentang proses sebenarnya dalam membuat sertifikat untuk situs web dan menerbitkannya kepada pengguna. - Steve McCall


Keamanan adalah pertanyaan yang lebih besar daripada mekanisme otentikasi atau otorisasi yang digunakan.

Kebanyakan petugas keamanan memanfaatkan beberapa prinsip dasar secara umum:

  • paling tidak istimewa
  • tolak secara default
  • Gagal terbuka atau Gagal ditutup
  • minimalisasi
  • pemisahan hak istimewa
  • pemisahan peran
  • pertahanan secara mendalam (untuk beberapa nama)

Kemudian terapkan itu pada aset, dalam kasus Anda, webserver, sistem operasi, dan berpotensi aplikasi web dan database yang mendasari - benar-benar bisnis sekalipun!

Untuk infrastruktur teknologi di atas, saya akan bertanya apakah Anda telah menerapkan pengamanan keamanan yang tepat untuk masing-masing, mis. DISA STIG, NSA SRG, panduan CIS, atau praktik keamanan vendor. Setelah itu, saya akan melihat kode aplikasi web, dan hal-hal lain.

Mendapatkan pertanyaan spesifik Anda tentang sertifikat - apakah sertifikat digital itu? Ini adalah kunci publik, yang disematkan dalam sertifikat digital, dengan beberapa bidang di dalamnya, biasanya x509v3. Sertifikat digital adalah enkripsi yang efektif, yang menggunakan decryptor (kunci pribadi) untuk mengotentikasi, menandatangani, atau melakukan beberapa jenis transaksi lainnya.

Sertifikat tidak memiliki kerahasiaan pada umumnya, kunci privat memiliki kerahasiaan dan membutuhkan perlindungan. Namun, menggunakan kunci pribadi pada sistem operasi dapat berarti mereka terkena dan dikompromikan. Salah satu bagian dari malware adalah semua yang diperlukan untuk masuk. Akibatnya, lingkungan keamanan yang lebih tinggi seperti perusahaan dan pemerintah biasanya menggunakan perangkat keras untuk menyimpan kunci pribadi dan memungkinkan proses otentikasi yang lebih aman.

Jika Anda tidak melakukan ini untuk lingkungan yang lebih aman, sertifikat perangkat lunak mungkin cukup baik untuk Anda.

Tergantung pada sistem operasi yang Anda gunakan, Anda mungkin memiliki jalan yang sangat sederhana ke depan menggunakan skema pendaftaran otomatis berbasis sertifikat seperti layanan sertifikat SCEP atau microsoft.

Implementasi Microsoft mudah diikuti http://msdn.microsoft.com/en-us/library/bb643324.aspx dan Anda dapat menemukan solusi lain yang bersaing untuk mempermudah pendaftaran otomatis PKI.

Anda dapat berbagi beberapa kebutuhan Anda dengan tautan di atas dengan administrator jaringan Anda dan minta mereka untuk mulai menguji coba.


0
2018-04-04 22:16