Forum Linux.débutant Identification http certificat

Posté par (page perso) .
Tags : aucun
1
26
sept.
2012

Bonjour,

je cherche un moyen de m'identifier sur des services http d'un serveur perso. Mon objectif est que pour tout autre service qu'un site perso accessible à partir d'un domaine comme www.monsite.fr, ceux ci requièrent une identification par certificat, ie un fichier que je stock en des lieux particuliers, et protégés par mot de passe.

En fait j'aimerais faire plus ou moins la même chose qu'avec une clé ssh mais pour le web. Mais je connais pas trop : vous auriez pas un tuto ou un doc pour expliquer et faire ce genre de choses ?

Dit autrement sur mon serveur perso je souhaite mettre des services perso que j'aimerais blinder.

Merci d'avance

  • # via tunnel ssh et sa clef

    Posté par . Évalué à 1. Dernière modification le 26/09/12 à 14:51.

    1°) tu regles une fois ton apache pour faire ecouter "ton site perso" sur 127.0.0.1:8080
    8080 etant un exemple

    2°) puis quand tu veux te connecter à "ton site perso"
    tu fais un tunnel ssh (qui lui gere les clefs) avec la commande suivante

    ssh -L6060:127.0.0.1:8080 le_serveur_web_et_ssh -l ton_utilisateur
    là encore 6060 est là pour l'exemple

    3°) tu prend ton navigateur et tu lui demande d'aller sur http://localhost:6060

    comme c'est du ssh, tu peux tres bien donner ta clef au serveur distant pour qu'il ne la demande plus, evidemment cela demande de se promener avec ta clef ssh et un client ssh pour acceder à ce site depuis l'exterieur.

  • # google toussa

    Posté par . Évalué à 3.

    mots magiques : apache 2 way ssl

    En gros, quand un utilisateur veut accéder à un Directory, Location ou File ou autre, tu lui dis qu'il doit présenter son certificat client.

    On parle alors d'authentification SSL dans les 2 sens. (le premier sens est l'authentification du serveur auprès du client)
    Il faut évidemment que le client "trust" le certificat du serveur et que le serveur "trust" le certificat du client.

    Il me semble que les impots avait essayé de mettre ça en place pendant un temps, ou certaines banques (au moins hsbc).

    C'est certainement la manière la plus propre pour faire ce que tu souhaites.

  • # mod_ssl, options SSLVerifyClient et SSLCACertificateFile

    Posté par (page perso) . Évalué à 3.

    Si j’ai bien compris ce que tu veux, ça se fait très facilement avec le module mod_ssl d’Apache httpd. Je n’ai pas de howto sous la main, mais consulte la documentation d’Apache, directive SSLVerifyClient et SSLCACertificateFile.

    Pour la génération des certificats, j’utilise personnellement TinyCA2, mais on peut aussi utiliser OpenSSL directement. Les tutos pour ça ne manquent pas, une recherche « openssl ca » en rapporte plusieurs, comme celui-ci.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.