কোন SSL সার্টিফিকেট ক্লায়েন্ট সার্টিফিকেট প্রমাণীকরণ উদ্দেশ্যে ব্যবহার করা যেতে পারে?

আমি একটি তৃতীয় পক্ষের API এ সংযুক্ত হওয়ার চেষ্টা করছি যার মধ্যে পারস্পরিক TLS প্রমাণীকরণ সেটআপ সক্ষম আছে। তাই আমি আমার কী স্টোরের ভিতরে আমার ক্লায়েন্ট সার্টিফিকেট ইনস্টল করতে এবং টিএলএস হ্যান্ডশেক প্রক্রিয়াতে পাঠাতে চাই।

এই প্রক্রিয়ার জন্য আমি এখন ব্যবহার করছি comodo ইতিবাচক SSL ক্লায়েন্ট পাশ সার্টিফিকেট হিসাবে। যখন আমি TLS কল করি, সার্ভারটি একটি শংসাপত্রের অনুরোধ করলেও, ক্লায়েন্ট এক পাঠাচ্ছেন না। এবং যখন আমি SChannel লগ চেক করেছিলাম, আমি এই রকম একটি সতর্কতা দেখতে পাচ্ছি

রিমোট সার্ভার টিএলএস ক্লায়েন্ট প্রমাণীকরণের অনুরোধ করেছে, কিন্তু কোন উপযুক্ত ক্লায়েন্ট শংসাপত্র পাওয়া যায়নি। একটি বেনামী সংযোগ চেষ্টা করা হবে। এই TLS সংযোগ অনুরোধ সার্ভারের নীতি সেটিংসের উপর নির্ভর করে সফল বা ব্যর্থ হতে পারে।

তাই আমার সন্দেহ এই মত, আমি কি ক্লায়েন্ট পার্শ্ব প্রমাণীকরণের উদ্দেশ্যে সঠিক X509 শংসাপত্র ব্যবহার করছি? আমি অন্য কোন নির্দিষ্ট টাইপ ব্যবহার করতে হবে? আমার বর্তমান সার্টিফিকেট প্রেরণ হচ্ছে না।

এটা নির্ভর করে. X.509v3 শংসাপত্র সাধারণত একটি "এক্সটেন্ডেড কী ব্যবহার" এক্সটেনশান ক্ষেত্রের সাথে আসে, যা অনুমোদিত ব্যবহারগুলির তালিকা (EKUs) ধারণ করে।

• নিয়মিত ওয়েব সার্ভার সার্টিফিকেটগুলিতে "টিএলএস সার্ভার প্রমাণীকরণ" ব্যবহার থাকে (কখনও কখনও "টিএলএস ওয়েব সার্ভার" হিসাবে দেখানো হয় তবে এটি আসলেই ওয়েব-নির্দিষ্ট নয়)।

• ক্লায়েন্ট হিসাবে কাজ করার জন্য, আপনাকে "টিএলএস ক্লায়েন্ট প্রমাণীকরণ" সহ একটি শংসাপত্রের প্রয়োজন (এটি আবার ওয়েব-নির্দিষ্ট কিছু না থাকা সত্ত্বেও আবার "টিএলএস ওয়েব ক্লায়েন্ট" হিসাবে দেখানো হয়)।

নিয়মিত "ওয়েব সার্ভার" SSL শংসাপত্রের জন্য এটি বেশ সাধারণ উভয় ব্যবহারসমূহ - উদাহরণস্বরূপ, আমি লেট এর এনক্রিপ্ট এবং ডিজি কার্ট দ্বারা জারি সার্টিফিকেটগুলি দেখছি এবং তাদের মধ্যে উভয়ই ব্যবহারযোগ্য রয়েছে, তাই ক্লায়েন্ট / পারস্পরিক প্রমাণীকরণের জন্য ব্যবহার করা যেতে পারে।

যাইহোক, এটা সম্ভব যে অন্য কিছু CA তে, বিশেষত ব্যক্তিগত সংস্থা CAs, সর্বাধিক শংসাপত্রগুলির একটি ব্যবহার বা অন্য, কিন্তু খুব কমই উভয়।

উদাহরণস্বরূপ, ওপেন ভিপিএন কঠোরভাবে " কেবল TLS ক্লায়েন্ট "(পরিবর্তে" অন্তত টিএলএস ক্লায়েন্ট "অন্যান্য প্রোগ্রামের মতো কাজ করে), তাই এটির easy-rsa স্ক্রিপ্ট শুধুমাত্র সার্ভার-কেবল এবং ক্লায়েন্ট-কেবল শংসাপত্রগুলি কিন্তু মিশ্র ধরনের নয়।

সুতরাং আপনি আপনার সার্টিফিকেট পরীক্ষা করা উচিত এবং তারা প্রয়োজনীয় EKU আছে তা নিশ্চিত করা উচিত। কার্যকরীভাবে কোন শংসাপত্র টুল কাজ করবে - উদাহরণস্বরূপ, দী সার্টিফিকেট বৈশিষ্ট্য উইন্ডোজ এ ডায়ালগটি "V3 এক্সটেনশনস" এর অধীনে এটি দেখাবে, যেমন ওয়েব ব্রাউজারগুলি, openssl x509, certtool, certutilইত্যাদি

যদি আপনি নিজের অভ্যন্তরীণ CA চালান তবে মনে রাখবেন যে মূল্য: আপনি যদি ব্যবহার করেন মধ্যবর্তী CA শংসাপত্র, পাশাপাশি এটি মনোযোগ দিতে। ইন্টারমিডিয়েটদের একটি EKU এক্সটেনশন থাকতে হবে না, কিন্তু যদি তারা করা এটি আছে, তারপর যে মধ্যবর্তী দ্বারা জারি সব সার্টিফিকেট দ্বারা সীমাবদ্ধ হয়। (যদি আপনি বাণিজ্যিকভাবে শার্টগুলি পান তবে এটি সম্পর্কে চিন্তা করতে হবে না।)

উপরন্তু, সার্টিফিকেট একটি আছে মৌলিক "কী ব্যবহার" ক্ষেত্র যা কিছু সাধারণ সীমাবদ্ধতা রয়েছে: উদাঃ "ডিজিটাল স্বাক্ষর" অর্থ শংসাপত্রটি সাইন ইন করার অনুমতি দেওয়া হয় (এবং তাই TLS এ EDH / EECDH হ্যান্ডশেককে অনুমতি দেয়); "মূল চুক্তি" স্ট্যাটিক-ডিএইচ / ইসিডিএইচ বলে মনে হচ্ছে; "কী সংশ্লেষ" স্ট্যাটিক-আরএসএ হ্যান্ডশেকগুলিকে অনুমোদন করে।

আনুষ্ঠানিক X.509v3 ডকুমেন্টেশানগুলি কী ব্যবহার করার প্রয়োজন হয় তা খুবই বিভ্রান্তিকর হয় ... বাণিজ্যিক CAs সাধারণত এই ক্ষেত্রটি সঠিকভাবে পাবে। কিন্তু প্রাইভেট সিএ-এর জন্য এটি দ্বিগুণ মূল্যের।