Webes alkalmazás felkészítése PKI kezelésére

Security-all

Fejlesztoink egy webshop-szeru (de annal zartabb kornek szolo) oldalt programoznak. Felmerult, hogy kesobb az azonositashoz / authorizalashoz tanusitvanyt kapnak az oldal felhasznaloi sima login/pass helyett. Kerdes, hogy letezik-e erre valamilyen ajanlas, szabvany amit programozaskor kovetni erdemes? Fel lehet-e ugy epiteni a programot, hogy konnyeden ganyolas nelkul akar parhuzamosan mukodhessen az l/p es az X509? A nyelv PHP.

Koszi.

  • 1249 megtekintés

( x-daemon | 2007. 05. 21., h – 22:30 )

apacheot beallitod hogy ellenorizze a klienst de ne legyen kotelezo

SSLEngine on
SSLCACertificateFile /etc/apache2/ssl/SERVER-cacert.pem
SSLCertificateFile /etc/apache2/ssl/www.server.hu.crt
SSLCertificateKeyFile /etc/apache2/ssl/www.server.hu.key
BrowserMatch "MSIE [1-4]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
BrowserMatch "MSIE [5-9]" ssl-unclean-shutdown
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
SSLOptions +StdEnvVars -ExportCertData -FakeBasicAuth +StrictRequire +OptRenegotiate
SSLRequireSSL
SSLVerifyClient optional_no_ca
SSLVerifyDepth 1
SSLUserName SSL_CLIENT_S_DN_CN //$_SERVER['REMOTE_USER'] -be rakja bele pl. a bizonyitvany CN-jet

php-bol megnezed hogy sikerult-e az ellenorzes $_SERVER['SSL_CLIENT_VERIFY'] == 'SUCCESS' ha sikerult megvan a felhasznaloi nev, ha nem lehet bekerni. http://httpd.apache.org/docs/2.2/mod/mod_ssl.html

bizonyitvanyokat gyarthatsz tinyca2-vel