Chrome nu solicită utilizarea unui certificat local după configurarea autentificării certificatului client pe Apache

lesssugar

12.03.2023, 12:26

am folosit acest ghid pentru a configura autentificarea certificatului client pe Apache.

Mi-am verificat certificatul folosind verifica openssl directivă (este validă), am importat cu succes și fișierul PFX în brelocul meu macOS și l-am setat la „Întotdeauna încredere”.

În plus, am creat un nou .htaccess document în /admin directorul site-ului meu și l-am completat cu două rânduri:

SSLVerifyClient necesită
SSLVerifyDepth 10

Ideea este, desigur, de a limita accesul la panoul de administrare prin intermediul certificatului de client.

Acum, când îmi accesez /admin pagină în Chrome, primesc asta:

Deci, lucruri pare a munci. Problema este că browserul nu mă solicită în niciun fel să furnizez certificatul local pe care l-am importat în Keychain, ceea ce mă împiedică să accesez efectiv /admin resursă.

Ce îmi lipsește?

662

0 + 0

autentificare

certificat ssl

apache-2.2

Puncte:2

Server

Lacek

12.03.2023, 13:43

Chrome doesn't support post-handhsake authentication, that is, renegotiating SSL and sending a client certificate when the connection is already established, because (from the Chrome bugreport page)

Post-handshake authentication has a mess of security, semantics, and DoS issues. (...) Some spec work is needed to make it defined in HTTP/1.1 at all and, more importantly, explicitly undefined in HTTP/2 in favor of a multiplexing-friendly solution (...)

In Firefox, you can turn it on, but it is not enabled by default, for the same reasons Chrome does not implement it.

You can check the bug reports (Firefox, Chrome) for additional info.

I think what you can do is to set the SSLVerifyClient to optional, move it to the VirtualHost level (with any SSL* directives, so the certificate will be requested during handshake), and require the presence of a certificate in the .htaccess file like this:

AuthName "Admin resource"
AuthType Basic
Require ssl-verify-client

0 + 0

lesssugar

12.03.2023, 16:05

Multumesc pentru raspuns si surse, are sens. Am aplicat sugestiile pe care le-ați menționat: mi-am editat .htaccess și am adăugat directiva SSL la fișierul meu default.conf din blocul VirtualHost. Acum pagina spune pur și simplu: Interzis, nu aveți permisiunea de a accesa această resursă. Inca nicio solicitare. Chestii complicate.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Chrome doesn't prompt to use a local certificate after setting up client certificate authentication on Apache

TH: Chrome ไม่แจ้งให้ใช้ใบรับรองในเครื่องหลังจากตั้งค่าการตรวจสอบสิทธิ์ใบรับรองไคลเอ็นต์บน Apache

RO: Chrome nu solicită utilizarea unui certificat local după configurarea autentificării certificatului client pe Apache

RU: Chrome не предлагает использовать локальный сертификат после настройки аутентификации клиентского сертификата в Apache

VI: Chrome không nhắc sử dụng chứng chỉ cục bộ sau khi thiết lập xác thực chứng chỉ ứng dụng khách trên Apache

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.