SSL-(Client)-Zertifikat auf Forward Proxy

Alles, was den Apache betrifft, kann hier besprochen werden.

SSL-(Client)-Zertifikat auf Forward Proxy

Postby mupf » 28. April 2010 09:27

Hallo,

ich will eine Webseite betreiben, bei der ein Teilbereich nur über ausgewählte Lokale Netzwerke zugänglich sein soll.
Nun würde ich gerne neben einer Filterung auf IP-Adressen durch die Firewall, das von SSL angebotene Prinzip der Client-Authentifizierung nutzen.
Um aber in dem Netzwerk nicht auf jedem Rechner ein Zertifikat installieren zu müssen, dachte ich mir, dass es praktisch wäre, dieses nur einmal auf dem Forward Proxy Server abzulegen.
(Der Server-seitige Endpunkt der SSL-Verbindung ist ein Apache Webserver.)

Ist das sinnvoll/möglich? Wenn ja, wie könnte man das konkret realisieren? Wie würde das Zertifikat auf dem Forward Proxy abgelegt werden?

Vielen Dank für die Antworten!
mupf
 
Posts: 2
Joined: 28. April 2010 09:18

Re: SSL-(Client)-Zertifikat auf Forward Proxy

Postby bemar » 05. May 2010 11:04

Hi,

wenn du SSL Authentifizierung möchtest, muss das Zertifikat natürlich schon auf den jeweiligen Rechnern vorhanden und installiert sein.

Meiner Meinung nach bringt dir die SSL Authentifizierung nichts, wenn du diese Sicherheit wieder an einem Punkt (Forward-Proxy) aushebelst.
Jeder der diesen Proxy kennt kommt ja dann wieder auf die Seiten für das er eigentlich ein Zertifkat brauchen würde.

Der Ansatzt mit der SSL Authentifizierung ist schon gut. Allerdings würde ich das Zertifikat nur den Leuten geben die Zugriff haben dürfen.
Die Installation unter Windows ist recht einfach und kann von Usern per Doppelklick selbst gemacht werden.
Unter Linux hab ichs noch nicht gemacht aber mit Sicherheit auch nicht die Welt. Google ist dein Freund.

Gruß
Ben
bemar
 
Posts: 6
Joined: 21. April 2009 11:34

Re: SSL-(Client)-Zertifikat auf Forward Proxy

Postby mupf » 06. May 2010 14:45

Die idee das zertifikat auf den forward proxy zu legen kommt daher, dass zum einen jeder, der über dieses Intranet über diesen Forward proxy (und außerhalb des intranet kann ja keiner auf diesen zugreifen, oder?) ins internet geht, authentifiziert werden soll. (Es gibt danach noch eine Anmeldung mit Benutzername und Passwort.) Außerdem sieht es wohl so aus, dass die Benutzer aus diesem Kreis auf wechselnden Rechnern arbeiten.
Der Gedanke war, dass es für den Zugriff aus diesem Netzwerk neben der Filterung auf IP-Adressen noch auf der Ebene von SSL eine weitere Überprüfung gibt, ob die Anfrage aus diesem Netz kommt.
Würde eine solche Authentifizierung eine zusätzliche Sicherheitshürde darstellen?
mupf
 
Posts: 2
Joined: 28. April 2010 09:18


Return to Apache

Who is online

Users browsing this forum: No registered users and 25 guests