Sichere CA zertifizierte ClientServer Verbindung über SSL

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Sichere CA zertifizierte ClientServer Verbindung über SSL

Postby Tefole » 01. July 2003 07:00

Hi,
habe zwar die Boardsuche bemüht ,bin allerdings nicht allzu schlauer geworden.

Baue grade einen Intranetseite (wampp2) ,und da ich auch einen Webmailer (smail) einrichte, möchte ich die Daten nicht im RAW format übers Netzwerk versenden.

Mein Ziel ist es den Server so einzurichten ,das Clients die im lokalen LAN dranhängen wahlweise mit oder ohne SSL die Seite betrachten können und alle anderen die von draussen kommen (der Server hat ne T3-Verbindung) das Intranet nur über https:// ansurfen können..
Ne Idee ,wie man das am einfachsten hinkriegen könnte ?

Jetzt brauchte ich natürlich eigene Server/Client Zertifikate..
Mit der Anleitung von Netzadmin hat das mit Openssl eigentlich auch ganz gut geklappt.
Habe danach die .conf editiert ,und die neuen Schlüsseln eingetragen.
Das funktioniert auch ,auch wenn nicht wie erwünscht.

Ich werdet schon gemerkt haben , das ich eigentlich das Funktionsprinzip von SSL nicht so ganz verstehe, darum auch die Frage :
Wenn ich jetzt meine Seite ansurfe bekomme ich immer diesen Sicherheitshinweis (siehe anhang).
Ich denke das hängt auch damit zusammen , da ich keinen "CA zertifizierten" Schlüssel benutze , was das immer bedeutet.

Wenn ich jetzt beispielsweise im Gegenzug meine Onlinebank ansurfe ,welches auch über ne sichere Verbindung arbeitet, kommt keine Sicherheitswarnung und ich muss nichts bestätigen...

Kann mir jemand das nicht allzu detailiert erkläen oder mir eine Quelle nennen wo ich das nachlesen kann ?
Wie schaffe ich einen eigenen CA Zertifikat erstellen ohne jetzt kommerz. Angebote á Verisign benutzen müssen und vorallem ohne die dumme Sicherheitswarnung beim ansurfen ?
Es gibt doch mit Sicherheit einen Weg ...

Ich hoffe meine Fragen sind nicht allzu Lame :roll:
thx in advice
Greetz
Tefole
 
Posts: 3
Joined: 01. July 2003 06:54

Postby AlexPausB » 01. July 2003 16:45

Hey! Hier mal ein kleiner Text zu Zertifikaten, evtl hilfts Dir mit dem Verständnis...

[-- SNIP --]
Ein Zertifikat kann wie eine elektronische Urkunde verstanden werden. Folgende Informationen sind enthalten:
• Antragsteller und dessen Public Key
• Aussteller, Unterzeichner
• Gültigkeit/Verfallsdatum
• Version/Seriennummer
Ein solches Zertifikat kann bei einer so genannten vertrauenswürdigen Instanz, einer Certificate Authority (CA) oder auch Trust Center , beantragt werden. In der Regel sind solche Trust Center auch gleichzeitig die Unterzeichner entsprechender Zertifikate.
Der Unterzeichner bestätigt mit seiner digitalen Signatur das „Distinguished Name Information“ Feld der digitalen Urkunde. Hier wird die Identität des Antragstellers mit folgenden Informationen beschrieben: Common name (CN), Organization or Company (O), Organizational Unit (OU), City/Location (L), State/Province (ST) und Country (C).

Der Client bekommt dieses Zertifikat jeweils beim ersten Verbindungsaufbau vom Server zugesendet. Woher aber weiß der Empfänger, dass der Unterzeichner des Zertifikates selbst auch vertrauenswürdig ist?

Bevor der Client die Kommunikation mit dem Server fortsetzt, muss zum Einen der Aussteller / Unterzeichner beim Client als vertrauenswürdig registriert sein, zum Anderen darf der Gültigkeitsbereich des Zertifikates nicht abgelaufen sein.
So werden z.B. die derzeit gängigen WWW-Browser mit einer Liste vertrauenswürdiger Unterzeichner ausgeliefert. Es ist aber auch möglich, eigene Unterzeichner als vertrauenswürdig am Browser anzumelden.
Darüber hinaus muss die IP Adresse des Absenders der Zertifikatsdaten mit der durch den Nameserver aufgelösten IP Adresse des Antragstellers, der im Zertifikat vermerkt ist, übereinstimmen. Treffen diese Bedingungen zu, so interpretiert der Client die Verbindung als vertrauenswürdig und fährt mit der kodierten Datenübertragung fort.
[-- SNIP --]

So long...

[ Keine Garantie auf Richtigkeit... Verbesserungen bitte posten ]
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby Tefole » 01. July 2003 17:42

Jo danke dir für den doch sehr hilfreichen Text...
Mittlerweile ,habe ich es geschafft die Sicherheitswarnung am Clienten auf eine zu reduzieren ,in der er motzt das das zertifikat von einer nicht vertrauenswürdigen quelle stammt....

Ich habe eingesehen , das es nicht möglich eine vertrauenswürdige CA-Zertifikat selbst zu erstellen.
Was solls , mann kann ja gott sei dank ,zertifikate ohne weiteres mit den *.der files in den jeweiligen browser zu importieren/installieren.

Zu meiner Frage von oben....

How can I require HTTPS with strong ciphers and either basic authentication or client certificates for access to a subarea on the Intranet website for clients coming from the Internet but still allow plain HTTP access for clients on the Intranet?

das hier:
http://www.modssl.org/docs/2.8/ssl_howto.html#ToC10
Tefole
 
Posts: 3
Joined: 01. July 2003 06:54


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 10 guests