Интернет сертификаты в домино

@XymoyD · Регистрация: 31.08.2007

Студворк — интернет-сервис помощи студентам

В общем потребовалось настроить схему авторизации без ввода пароля.
Сделал сертификатор, создал базку certreq, настроил CA...
Проверил в ФФ... Сделал зверька в адресной книге, запросил сертификат, создал пару, принял запрос, одобрил, получил.... Через фф - всё работает.
Решил проверить через хром, не работает: _ttps://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/776/38/
Решил проверить через IE11 - тоже не работает, получаю ответ при создании запроса:
"Error: No public key supplied. Operation cancelled"
И всё.
В ie7 всё работает.
В опере тоже всё хорошо.

А если же мы добавляем сертификаты через админку в person документы, то там завязано на ID, и соответственно при экспорте мы не получаем private key...

В общем... Что надо, чтобы в ие11 заработало?

@oomymo2 · 15.07.2015, 08:55

SSLv3?

@tmyky · 15.07.2015, 13:45

Сообщение от XiNoID

В общем потребовалось настроить схему авторизации без ввода пароля.

а может не надо ;)
теоретически можно эпрувить ключи на фронте, но останется вопрос проброса авторизации, а вот здесь схемы не так очевидны
можно заморочится подъемом до TLS на домине - тоже тернистый путь с сертификатами будет ;)

@oomymo2 · 15.07.2015, 17:35

Сообщение от lmike

проброса авторизации

Таки искал, в свое время, как генерить лтпа на фронте, не нашел)

@tmyky · 15.07.2015, 17:49

можно юзера подсовывать по некоему своему закону (например по таблице на фронте)
во фронт прописываем
proxy_set_header $WSRU dominouser;
dominouser генерим из таблицы - вот тут нужно немного изголяться
а можно
сделать запрос с домины

@tmyky · 15.07.2015, 18:13

подборка на тему https://frostillic.us/blog/search?q=nginx
там и https://frostillic.us/blog/pos... 5B00766F18
через lua

@XymoyD · 16.07.2015, 11:55

Сообщение от lmike

а может не надо ;)
теоретически можно эпрувить ключи на фронте, но останется вопрос проброса авторизации, а вот здесь схемы не так очевидны
можно заморочится подъемом до TLS на домине - тоже тернистый путь с сертификатами будет ;)

Надо. Очень. Задача стоит не столько в обеспечении безопасности, сколько в избавлении от ввода пароля.
Версия у меня 9.0.1 с третьим фикспаком. Информация, что я вижу в FF:
Image hosted for free at CtrlV.in

То есть тлс присутствует.

Ссылки все посмотрю, спасибо...

@tmyky · 16.07.2015, 15:36

вот еще http://habrahabr.ru/post/213741/
особливо интересен будет $ssl_client_s_dn;
кот можно упихать в $WSRU только учесть вид, кот принимает нотусня

@tmyky · 16.07.2015, 16:06

цепочка следующая - генерим (получаем) серверный сертификат, из кот получим файлы:

certificate = ./ca.crt # Файл сертификата CA
private_key = ./ca.key # Файл закрытого ключа CA

они используются сервером, но ониже и пользуются при генерации клиентских сертификатов
по ссылке

Код (Bash):
openssl req -new -newkey rsa:1024 -nodes -keyout client01.key -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=User/CN=etc/emailAddress=support@site.com -out client01.csr
где -subj ... это то что надо будет подставлять домине в $WSRU и что мы получим в $ssl_client_s_dn;
следуя описанию http://nginx.org/ru/docs/http/ngx_http_ssl_module.html
куда нагенеряться сертификаты клиентов - решаем сами
но их надо преобразовать к p12:

Код (Bash):
openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 -passout pass:q1w2e3
уж шобы совсем облениться

Код (Bash):
#!/bin/sh
while read line
do
echo $line
done <users.txt
юзаем конструкцию, для кот. получаем файло из АК (с именами юзеров), например - поле shortname, кот. может использоваться для авторизации (д.б. доступно дефолтно, в домине)вместо эха, разумеется - ставим скрипты выше

@tmyky · 16.07.2015, 16:17

как не тестированный пример

Код (Bash):
#!/bin/sh
while read line
do
echo $line
openssl req -new -newkey rsa:1024 -nodes -keyout $line.key -subj $line -out $line.csr
openssl ca -config ca.config -in $line.csr -out $line.crt -batch
openssl pkcs12 -export -in $line.crt -inkey $line.key -certfile ca.crt -out $line.p12 -passout pass:q1w2e3
done <users.txt

--- Добавлено 17 июл 2015. Первое сообщение размещено 17 июл 2015 ---

пароль, можно брать из файла же, если туды его положить каждому юзеру свой

--- Добавлено 17 июл 2015 ---

по типу http://stackoverflow.com/questions/27041059/shell-script-to-read-value-pairs-from-txt-file

@XymoyD · 17.07.2015, 11:46

Ух. Спасибо, конечно. Но я вот в толк пока не возьму, какие сложности, эм, мне предстоят?

Почитал и подумал...
с openssl знаком по openvpn.
Хммммм... я правильно понимаю, что....просто генерим сертификаты на стороне, а потом раздаем пользователям? Используя существующий механизм в домино?

@tmyky · 17.07.2015, 12:22

Сообщение от XiNoID

а потом раздаем пользователям?

раздаем файлы
генерим по самоподписанному сертификату либо по полученному (для сервера/сайта).
если "на стороне" - про openssl, то - да, но в любых никсах он, практически, штатно установлен

сложности в домине - отыскать правильный путь чтобы современные браузеры не посылали

механизм с домино завязан на УЁ (получения клиентского сертификата), да еще, возможно хранит клиентские сертификаты хзгде/хзкак
метод, описанный выше, позволяет вовсе не заморачиваться на скорость реакции ИБМ по внедрению заплаток и прочих свистоперделок - но действовать сообразно времени
благо в ОСС мире заплатки выходят оперативно ;)

Т.о. для домины надо формировать правильный ключ шифрования (kyrtool), затем как-то подписывать клиентские сертификаты..., уверен - способ есть, но он далеко не проще использования nginx + openssl

@tmyky · 17.07.2015, 12:30

кстати по ссылке же - указан 2-ой путь, через... - фронт (но от ИБМ) ;) и только для винды

--- Добавлено 18 июл 2015. Первое сообщение размещено 18 июл 2015 ---

обойти ввод пароля, но опять же - виндятко + УЁ, можно и используя настройку аутентификации в АД, что ИМХО - ну очень кастыльно

@XymoyD · 17.07.2015, 12:30

Сообщение от lmike

кстати по ссылке же - указан 2-ой путь, через... - фронт (но от ИБМ) ;) и только для винды

--- Добавлено 18 июл 2015. Первое сообщение размещено 18 июл 2015 ---

обойти ввод пароля, но опять же - виндятко + УЁ, можно и используя настройку аутентификации в АД, что ИМХО - ну очень кастыльно

Спасибо! А не могли бы вы рассказать про второй способ? Что за УЁ?
Сейчас вылезла подробность, что сертификаты надо раздавать как можно более простым способом, т.к. пользователей много и частая ротация...

@tmyky · 19.07.2015, 11:55

Сообщение от XiNoID

Что за УЁ?

- интернет эхплорер - искаженное название
http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Deploying_SPNEGO
НО это не через сертификаты!

@tmyky · 19.07.2015, 12:06

Сообщение от XiNoID

можно более простым способом

ну сложного ничего нет ;)
https://msdn.microsoft.com/en-... 27068.aspx
http://askubuntu.com/questions/27258/importing-pkcs12-p12-files-into-firefox-from-the-command-line
http://stackoverflow.com/questions/1435000/programmatically-install-certificate-into-mozilla
https://www.jasonpearce.com/20... eferences/
http://ss64.com/nt/certutil.html

хотя у нас, индусы, скрипт лепили и инструкцию, кот. только больше запутывала, правда - к нотусятине сертификат отношения не имел - встраивали в УЁ, для подписи в аутглюке (аутлук)

@XymoyD 0 / 0 / 0 Регистрация: 31.08.2007 Сообщений: 93
		1
	Интернет сертификаты в домино 14.07.2015, 17:17. Показов 6794. Ответов 15 Метки нет (Все метки) В общем потребовалось настроить схему авторизации без ввода пароля. Сделал сертификатор, создал базку certreq, настроил CA... Проверил в ФФ... Сделал зверька в адресной книге, запросил сертификат, создал пару, принял запрос, одобрил, получил.... Через фф - всё работает. Решил проверить через хром, не работает: _ttps://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/776/38/ Решил проверить через IE11 - тоже не работает, получаю ответ при создании запроса: "Error: No public key supplied. Operation cancelled" И всё. В ie7 всё работает. В опере тоже всё хорошо. А если же мы добавляем сертификаты через админку в person документы, то там завязано на ID, и соответственно при экспорте мы не получаем private key... В общем... Что надо, чтобы в ие11 заработало? 0

@oomymo2 0 / 0 / 0 Регистрация: 07.02.2106 Сообщений: 491
	15.07.2015, 08:55	2
	SSLv3? 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	15.07.2015, 13:45	3
	Сообщение от XiNoID В общем потребовалось настроить схему авторизации без ввода пароля. а может не надо ;) теоретически можно эпрувить ключи на фронте, но останется вопрос проброса авторизации, а вот здесь схемы не так очевидны можно заморочится подъемом до TLS на домине - тоже тернистый путь с сертификатами будет ;) 0

@oomymo2 0 / 0 / 0 Регистрация: 07.02.2106 Сообщений: 491
	15.07.2015, 17:35	4
	Сообщение от lmike проброса авторизации Таки искал, в свое время, как генерить лтпа на фронте, не нашел) 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	15.07.2015, 17:49	5
	можно юзера подсовывать по некоему своему закону (например по таблице на фронте) во фронт прописываем proxy_set_header $WSRU dominouser; dominouser генерим из таблицы - вот тут нужно немного изголяться а можно сделать запрос с домины 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	15.07.2015, 18:13	6
	подборка на тему https://frostillic.us/blog/search?q=nginx там и https://frostillic.us/blog/pos... 5B00766F18 через lua 0

@XymoyD 0 / 0 / 0 Регистрация: 31.08.2007 Сообщений: 93
	16.07.2015, 11:55	7
	Сообщение от lmike а может не надо ;) теоретически можно эпрувить ключи на фронте, но останется вопрос проброса авторизации, а вот здесь схемы не так очевидны можно заморочится подъемом до TLS на домине - тоже тернистый путь с сертификатами будет ;) Надо. Очень. Задача стоит не столько в обеспечении безопасности, сколько в избавлении от ввода пароля. Версия у меня 9.0.1 с третьим фикспаком. Информация, что я вижу в FF: Image hosted for free at CtrlV.in То есть тлс присутствует. Ссылки все посмотрю, спасибо... 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	16.07.2015, 15:36	8
	вот еще http://habrahabr.ru/post/213741/ особливо интересен будет $ssl_client_s_dn; кот можно упихать в $WSRU только учесть вид, кот принимает нотусня 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	16.07.2015, 16:06	9
	цепочка следующая - генерим (получаем) серверный сертификат, из кот получим файлы: certificate = ./ca.crt # Файл сертификата CA private_key = ./ca.key # Файл закрытого ключа CA они используются сервером, но ониже и пользуются при генерации клиентских сертификатов по ссылке Код (Bash): openssl req -new -newkey rsa:1024 -nodes -keyout client01.key -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=User/CN=etc/emailAddress=support@site.com -out client01.csr где -subj ... это то что надо будет подставлять домине в $WSRU и что мы получим в $ssl_client_s_dn; следуя описанию http://nginx.org/ru/docs/http/ngx_http_ssl_module.html куда нагенеряться сертификаты клиентов - решаем сами но их надо преобразовать к p12: Код (Bash): openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 -passout pass:q1w2e3 уж шобы совсем облениться Код (Bash): #!/bin/sh while read line do echo $line done <users.txt юзаем конструкцию, для кот. получаем файло из АК (с именами юзеров), например - поле shortname, кот. может использоваться для авторизации (д.б. доступно дефолтно, в домине)вместо эха, разумеется - ставим скрипты выше 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	16.07.2015, 16:17	10
	как не тестированный пример Код (Bash): #!/bin/sh while read line do echo $line openssl req -new -newkey rsa:1024 -nodes -keyout $line.key -subj $line -out $line.csr openssl ca -config ca.config -in $line.csr -out $line.crt -batch openssl pkcs12 -export -in $line.crt -inkey $line.key -certfile ca.crt -out $line.p12 -passout pass:q1w2e3 done <users.txt --- Добавлено 17 июл 2015. Первое сообщение размещено 17 июл 2015 --- пароль, можно брать из файла же, если туды его положить каждому юзеру свой --- Добавлено 17 июл 2015 --- по типу http://stackoverflow.com/questions/27041059/shell-script-to-read-value-pairs-from-txt-file 0

Опции темы

@XymoyD 0 / 0 / 0 Регистрация: 31.08.2007 Сообщений: 93
	17.07.2015, 11:46	11
	Ух. Спасибо, конечно. Но я вот в толк пока не возьму, какие сложности, эм, мне предстоят? Почитал и подумал... с openssl знаком по openvpn. Хммммм... я правильно понимаю, что....просто генерим сертификаты на стороне, а потом раздаем пользователям? Используя существующий механизм в домино? 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	17.07.2015, 12:22	12
	Сообщение от XiNoID а потом раздаем пользователям? раздаем файлы генерим по самоподписанному сертификату либо по полученному (для сервера/сайта). если "на стороне" - про openssl, то - да, но в любых никсах он, практически, штатно установлен сложности в домине - отыскать правильный путь чтобы современные браузеры не посылали механизм с домино завязан на УЁ (получения клиентского сертификата), да еще, возможно хранит клиентские сертификаты хзгде/хзкак метод, описанный выше, позволяет вовсе не заморачиваться на скорость реакции ИБМ по внедрению заплаток и прочих свистоперделок - но действовать сообразно времени благо в ОСС мире заплатки выходят оперативно ;) Т.о. для домины надо формировать правильный ключ шифрования (kyrtool), затем как-то подписывать клиентские сертификаты..., уверен - способ есть, но он далеко не проще использования nginx + openssl 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	17.07.2015, 12:30	13
	кстати по ссылке же - указан 2-ой путь, через... - фронт (но от ИБМ) ;) и только для винды --- Добавлено 18 июл 2015. Первое сообщение размещено 18 июл 2015 --- обойти ввод пароля, но опять же - виндятко + УЁ, можно и используя настройку аутентификации в АД, что ИМХО - ну очень кастыльно 0

@XymoyD 0 / 0 / 0 Регистрация: 31.08.2007 Сообщений: 93
	17.07.2015, 12:30	14
	Сообщение от lmike кстати по ссылке же - указан 2-ой путь, через... - фронт (но от ИБМ) ;) и только для винды --- Добавлено 18 июл 2015. Первое сообщение размещено 18 июл 2015 --- обойти ввод пароля, но опять же - виндятко + УЁ, можно и используя настройку аутентификации в АД, что ИМХО - ну очень кастыльно Спасибо! А не могли бы вы рассказать про второй способ? Что за УЁ? Сейчас вылезла подробность, что сертификаты надо раздавать как можно более простым способом, т.к. пользователей много и частая ротация... 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	19.07.2015, 11:55	15
	Сообщение от XiNoID Что за УЁ? - интернет эхплорер - искаженное название http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Deploying_SPNEGO НО это не через сертификаты! 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	19.07.2015, 12:06	16
	Сообщение от XiNoID можно более простым способом ну сложного ничего нет ;) https://msdn.microsoft.com/en-... 27068.aspx http://askubuntu.com/questions/27258/importing-pkcs12-p12-files-into-firefox-from-the-command-line http://stackoverflow.com/questions/1435000/programmatically-install-certificate-into-mozilla https://www.jasonpearce.com/20... eferences/ http://ss64.com/nt/certutil.html хотя у нас, индусы, скрипт лепили и инструкцию, кот. только больше запутывала, правда - к нотусятине сертификат отношения не имел - встраивали в УЁ, для подписи в аутглюке (аутлук) 0