কোন SSL সার্টিফিকেট ক্লায়েন্ট সার্টিফিকেট প্রমাণীকরণ উদ্দেশ্যে ব্যবহার করা যেতে পারে?


1

আমি একটি তৃতীয় পক্ষের API এ সংযুক্ত হওয়ার চেষ্টা করছি যার মধ্যে পারস্পরিক TLS প্রমাণীকরণ সেটআপ সক্ষম আছে। তাই আমি আমার কী স্টোরের ভিতরে আমার ক্লায়েন্ট সার্টিফিকেট ইনস্টল করতে এবং টিএলএস হ্যান্ডশেক প্রক্রিয়াতে পাঠাতে চাই।

এই প্রক্রিয়ার জন্য আমি এখন ব্যবহার করছি comodo ইতিবাচক SSL ক্লায়েন্ট পাশ সার্টিফিকেট হিসাবে। যখন আমি TLS কল করি, সার্ভারটি একটি শংসাপত্রের অনুরোধ করলেও, ক্লায়েন্ট এক পাঠাচ্ছেন না। এবং যখন আমি SChannel লগ চেক করেছিলাম, আমি এই রকম একটি সতর্কতা দেখতে পাচ্ছি

রিমোট সার্ভার টিএলএস ক্লায়েন্ট প্রমাণীকরণের অনুরোধ করেছে, কিন্তু কোন উপযুক্ত ক্লায়েন্ট শংসাপত্র পাওয়া যায়নি। একটি বেনামী সংযোগ চেষ্টা করা হবে। এই TLS সংযোগ অনুরোধ সার্ভারের নীতি সেটিংসের উপর নির্ভর করে সফল বা ব্যর্থ হতে পারে।

তাই আমার সন্দেহ এই মত, আমি কি ক্লায়েন্ট পার্শ্ব প্রমাণীকরণের উদ্দেশ্যে সঠিক X509 শংসাপত্র ব্যবহার করছি? আমি অন্য কোন নির্দিষ্ট টাইপ ব্যবহার করতে হবে? আমার বর্তমান সার্টিফিকেট প্রেরণ হচ্ছে না।

উত্তর:


2

এটা নির্ভর করে. X.509v3 শংসাপত্র সাধারণত একটি "এক্সটেন্ডেড কী ব্যবহার" এক্সটেনশান ক্ষেত্রের সাথে আসে, যা অনুমোদিত ব্যবহারগুলির তালিকা (EKUs) ধারণ করে।

  • নিয়মিত ওয়েব সার্ভার সার্টিফিকেটগুলিতে "টিএলএস সার্ভার প্রমাণীকরণ" ব্যবহার থাকে (কখনও কখনও "টিএলএস ওয়েব সার্ভার" হিসাবে দেখানো হয় তবে এটি আসলেই ওয়েব-নির্দিষ্ট নয়)।

  • ক্লায়েন্ট হিসাবে কাজ করার জন্য, আপনাকে "টিএলএস ক্লায়েন্ট প্রমাণীকরণ" সহ একটি শংসাপত্রের প্রয়োজন (এটি আবার ওয়েব-নির্দিষ্ট কিছু না থাকা সত্ত্বেও আবার "টিএলএস ওয়েব ক্লায়েন্ট" হিসাবে দেখানো হয়)।

নিয়মিত "ওয়েব সার্ভার" SSL শংসাপত্রের জন্য এটি বেশ সাধারণ উভয় ব্যবহারসমূহ - উদাহরণস্বরূপ, আমি লেট এর এনক্রিপ্ট এবং ডিজি কার্ট দ্বারা জারি সার্টিফিকেটগুলি দেখছি এবং তাদের মধ্যে উভয়ই ব্যবহারযোগ্য রয়েছে, তাই ক্লায়েন্ট / পারস্পরিক প্রমাণীকরণের জন্য ব্যবহার করা যেতে পারে।

যাইহোক, এটা সম্ভব যে অন্য কিছু CA তে, বিশেষত ব্যক্তিগত সংস্থা CAs, সর্বাধিক শংসাপত্রগুলির একটি ব্যবহার বা অন্য, কিন্তু খুব কমই উভয়।

উদাহরণস্বরূপ, ওপেন ভিপিএন কঠোরভাবে " কেবল TLS ক্লায়েন্ট "(পরিবর্তে" অন্তত টিএলএস ক্লায়েন্ট "অন্যান্য প্রোগ্রামের মতো কাজ করে), তাই এটির easy-rsa স্ক্রিপ্ট শুধুমাত্র সার্ভার-কেবল এবং ক্লায়েন্ট-কেবল শংসাপত্রগুলি কিন্তু মিশ্র ধরনের নয়।


সুতরাং আপনি আপনার সার্টিফিকেট পরীক্ষা করা উচিত এবং তারা প্রয়োজনীয় EKU আছে তা নিশ্চিত করা উচিত। কার্যকরীভাবে কোন শংসাপত্র টুল কাজ করবে - উদাহরণস্বরূপ, দী সার্টিফিকেট বৈশিষ্ট্য উইন্ডোজ এ ডায়ালগটি "V3 এক্সটেনশনস" এর অধীনে এটি দেখাবে, যেমন ওয়েব ব্রাউজারগুলি, openssl x509, certtool, certutilইত্যাদি

যদি আপনি নিজের অভ্যন্তরীণ CA চালান তবে মনে রাখবেন যে মূল্য: আপনি যদি ব্যবহার করেন মধ্যবর্তী CA শংসাপত্র, পাশাপাশি এটি মনোযোগ দিতে। ইন্টারমিডিয়েটদের একটি EKU এক্সটেনশন থাকতে হবে না, কিন্তু যদি তারা করা এটি আছে, তারপর যে মধ্যবর্তী দ্বারা জারি সব সার্টিফিকেট দ্বারা সীমাবদ্ধ হয়। (যদি আপনি বাণিজ্যিকভাবে শার্টগুলি পান তবে এটি সম্পর্কে চিন্তা করতে হবে না।)


উপরন্তু, সার্টিফিকেট একটি আছে মৌলিক "কী ব্যবহার" ক্ষেত্র যা কিছু সাধারণ সীমাবদ্ধতা রয়েছে: উদাঃ "ডিজিটাল স্বাক্ষর" অর্থ শংসাপত্রটি সাইন ইন করার অনুমতি দেওয়া হয় (এবং তাই TLS এ EDH / EECDH হ্যান্ডশেককে অনুমতি দেয়); "মূল চুক্তি" স্ট্যাটিক-ডিএইচ / ইসিডিএইচ বলে মনে হচ্ছে; "কী সংশ্লেষ" স্ট্যাটিক-আরএসএ হ্যান্ডশেকগুলিকে অনুমোদন করে।

আনুষ্ঠানিক X.509v3 ডকুমেন্টেশানগুলি কী ব্যবহার করার প্রয়োজন হয় তা খুবই বিভ্রান্তিকর হয় ... বাণিজ্যিক CAs সাধারণত এই ক্ষেত্রটি সঠিকভাবে পাবে। কিন্তু প্রাইভেট সিএ-এর জন্য এটি দ্বিগুণ মূল্যের।


EKU আমার জন্য উভয় বিকল্প দেখছে (সার্ভার প্রমাণীকরণ (1.3.6.1.5.5.7.3.1) ক্লায়েন্ট প্রমাণীকরণ (1.3.6.1.5.5.7.3.2)) ধন্যবাদ
Athul k Surendran

তারপর সার্টিফিকেট ভাল হতে হবে। (তবে শুধুমাত্র তার ক্ষেত্রে মধ্যবর্তী শিকলটি পরীক্ষা করুন।) সমস্যাটি আপনার সফটওয়্যারের সাথে হতে পারে, উদাঃ। হয়তো আপনি ভুল জায়গায় সার্টিফিকেট ইনস্টল করেছেন, অথবা হয়ত আপনি ব্যক্তিগত কী (.pfx ফাইল) ইনস্টল করবেন না?
grawity

আমি COmodo CA থেকে একটি শংসাপত্র ব্যবহার করছি। তাই আশা করি, এটা আমার ক্ষেত্রে গুরুত্বপূর্ণ হবে না
Athul k Surendran

CA নামের ব্যাপার না। আমি আপনাকে জিজ্ঞাসা করছি যে কি না।
grawity

ঠিক আছে. আমার বুদ্ধি ছিল যদি আমি বাণিজ্যিক সি (কমোডোর) ব্যবহার করছি, তবে আমার চেইন চেক করা উচিত নয়। কিন্তু যাই হোক না কেন এখন এটি পরীক্ষা করবে। অথবা আমি কিছু অনুপস্থিত করছি pls আরো lil ব্যাখ্যা
Athul k Surendran
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.