Сертификат клиентской аутентификации

Ошибка SSL-подключения, что нужно делать?

Практически каждый пользователь сталкивался с множеством проблем в браузере. Одна из таких неполадок — это ошибка SSL-подключения, которая не позволяет просматривать нужные страницы. Давайте же разберёмся со всеми способами устранения подобной проблемы.

Первый этап

Итак, для начала нужно определиться, что это за неполадка, откуда она берётся, а уже потом искать способы её устранения.

Если на вашем компьютере при попытке подключения к какой-либо странице в интернете через браузер появляется ошибка SSL-подключения, то это свидетельствует о том, что неполадка вызвана несоответствием в системе.

Следовательно, это нужно исправить, но, как показывает практика, сделать это не так просто, как может показаться на первый взгляд.

Данный браузер можно использовать, пока не будет найдено решение проблемы. Простыми словами, SSL-ошибка свидетельствует о том, что невозможно установить соединение с сервером по некоторым причинам.

Давайте же разберёмся, из-за чего появляется подобного рода проблема.

Итак, зачастую есть всего несколько способов узнать, что же именно мешает нормально войти в интернет.

Так, первым делом нужно проверить настройки своего антивируса, поскольку именно он может блокировать подключения, из-за чего и возникают все проблемы.

Возможно, вам нужно будет добавить браузер в исключения и установить менее жесткий контроль входящего и исходящего трафика. Также рекомендуется проверить настройки брандмауэра. Если нужно, понизить уровень защиты.

Еще в Google ошибка SSL-подключения может возникать тогда, когда у вас отсутствует антивирусная программа и система заражена. В принципе, решается это либо переустановкой ОС, либо сканированием системы на поиск заражённых файлов.

Также обратите внимание на то, что, возможно, у вас сбились настройки времени. Следовательно, на сервере обнаруживается несоответствие, а подключение определяется как ненадёжное или незащищённое.

Еще одна типичная причина — это устаревший браузер.

Ошибка подключения SSL origin

Если вы любите играть в хорошие игры на компьютере и покупаете их через интернет, то чаще всего такой продукт требует активации.

Несмотря на то, что это минутный процесс, для вас он может стать настоящей головной болью из-за сбоя протокола SSL. При этом подробный текст ошибки может выглядеть по-разному.

Например: «необходим сертификат клиентской аутентификации» или «SSL_ERROR_PROTOCOL». Всё исправить можно следующим образом.

Перезагружаем компьютер и пробуем установить origin. Если всё прошло успешно, то проблема решена. Если нет, желательно установить игру с диска и попробовать просто ее обновить.

Что еще может помочь, так это использование другого браузера, например, не Chrome, а Opera.

Давайте разберёмся, что же делать, если появилась подобного рода проблема. Прежде всего, не нужно паниковать. Все не так и страшно и решается за несколько минут.

Основная причина возникновения ошибки заключается в том, что, как было отмечено выше, на компьютере сбивается время. Случается это по нескольким причинам. Одна из них — это севшая батарейка в BIOS.

Её можно поменять, стоит она 40-50 рублей.

Также обращаем внимание на антивирус и список программ, находящихся в чёрном списке. Подключение этих приложений он будет блокировать. Стоит заметить, что нередко причиной возникновения проблемы может быть битый реестр.

Большинство пользователей ломают голову над решением проблемы, но иногда бывает, что это вовсе не ошибка. Дело в том, что большинство браузеров позволяют включать и отключать поддержку файлов SSL.

Достаточно найти в настройках нужный параметр и поставить галочку, после этого проблема должна решиться.

Включаем SSL и Cookie в браузере

В некоторых случаях наличие данного протокола не требуется. Но когда вы хотите воспользоваться Adsense-страницами, данный параметр должен быть включён. Это же касается и файлов Cookie.

В принципе, для нормальной работы и отображения информации, в т.ч. и объявлений, нужен рабочий SSL. Итак, переходим к настройке браузера.

Прежде всего, необходимо перейти в меню, а затем выбираем настройки.

Там вы должны увидеть вкладку «Дополнительные настройки», она-то нам и нужна. Следующий этап — это выбор пункта «Настройки контента», а после нужно зайти в «Личные данные». Перед нами будет меню под названием «Файлы Cookie».

Заходим туда и устанавливаем флажок напротив пункта «Сохранение локальных данных». Закрываем вкладку и переходим в HTTPS/SSL. Тут нужно проделать аналогичную работу. Устанавливаем галочку напротив строчки «Проверять, не отозван ли сертификат с сервера».

Если флажок не стоит, то работа SSL будет некорректной. Вот и всё, перезагружаем браузер и приступаем к работе.

Еще несколько простых способов решения проблемы

Если у вас нет времени для того, чтобы разбираться с настройками браузера или сканировать систему, то можно попробовать несколько раз подряд обновить страницу, на которую вам нужно зайти. Вполне вероятно, что после этого информация будет частично отображена.

Однако в дальнейшем вам нужно будет сделать всё по инструкции. Еще один выход — это сбросить настройки браузера на Default, то есть на стандартные. Это позволит включить/выключить все необходимые плагины и скрипты.

Всё, что ниже данной надписи, нужно удалить. После этого в Google ошибка подключения SSL исчезнет.

Несколько важных моментов

Обратите внимание, что иногда сайты без надёжных или с просроченными сертификатами являются своего рода разносчика вирусов. В этом случае нормально увидеть окошко с надписью «ошибка подключения SSL».

Что делать, если всё же нужно посетить ресурс, спросите вы. Для этого необходимо продолжить соединение, подтвердив свое решение. В этом случае вы можете получить вирус себе на компьютер, что не есть хорошо. Хотя если у вас установлен хороший антивирус, то он выдаст вам соответствующее сообщение и автоматически заблокирует работу с вредоносным сайтом.

Теперь вы знаете, что такое ошибка подключения SSL. Как исправить её, мы тоже разобрались. Нужно сказать еще пару слов о том, что нужно периодически чистить Cookie в вашем браузере. Это позволит не только ускорить загрузку страниц, но и избавит вас от вышеописанной неполадки. Желательно хотя бы иногда проводить полное сканирование системы на наличие вирусов и подозрительных файлов.

Заключение

Вы должны понимать, что если у вас возникает подобного рода ошибка, то что-то с компьютером не так. Прежде всего, проверьте время. Если год, месяц или время суток не соответствует действительности, нужно все исправить.

Для этого в трее рабочего стола вашей операционной системы кликаем несколько раз по часам и устанавливаем реальные значения. Как правило, это сразу же решает проблему. Если этого не случилось, идём в настройки браузера и смотрим, включена ли поддержка протокола SSL.

Если всё так, как и должно быть, то, вероятнее всего, дело в антивирусной программе или вредоносном файле, который блокирует соединение. Удаление или перемещение в карантин должно помочь.

Защита беспроводных сетей, WPA: теория и практика (часть четвертая)

В предыдущей статье рассматривался вопрос настройки RADIUS-сервера и генерации сертификатов для работы беспроводной сети с применением WPA шифрования и аутентификации клиентов по протоколу EAP-TLS (с использованием клиентских сертификатов).

В этой части мы коснемся настроек клиентской части.

Напомню, что операционная система Microsoft Windows XP, начиная с Service Pack 1 (а лучше сразу поставить Service Pack2), при работе с беспроводными сетями позволяет использовать аутентификацию по логину/паролю (то есть PEAP) и аутентификацию по цифровому сертификату (EAP-TLS). Механизм PEAP уже рассматривался нами ранее, сегодня будет рассмотрен EAP-TLS.

Для работы нам потребуется не более того, что упоминалось в предыдущей части статьи.

А именно:

• беспроводной клиент — в данном случае это USB беспроводной адаптер ASUS WL-167g, подключенный к компьютеру с операционной системой Windows XP pro + SP2
• точка доступа с поддержкой WPA — ей являлась TRENDnet TEW-410APB+
• RADIUS-сервер — был использован FreeRadius сервер версии 1.0.5, работающий под операционной системой Gentoo Linux.
• OpenSSL (был использован пакет openssl-0.9.7g)

Еще раз обращаю внимание, что для понимания процесса, описываемого в этом материале, необходимо ознакомиться с предыдущей частью статьи.

«Быстрая» установка сертификатов

Сертификаты можно устанавливать как напрямую, щелчком из проводника (windows explorer), так и через отдельную интерфейс-закладку Internet Explorer (еще это можно делать через mmc-консоль).

Рассмотрим первый способ установки, как самый быстрый и простой.

1.1 Установка корневого сертификата CA напрямую

Для начала, необходимо установить корневой сертификат CA (сертификационного центра). Просто открываем в Windows Explorer-е директорию, где у нас лежат файлы сертификатов, и два раза щелкаем на созданном ранее файле tmp_org-ca.crt

В ответ получаем окошко, где нам предлагается установить сертификат в систему. Можно сразу щелкнуть по кнопке «Установить сертификат», а можно предварительно побегать по закладкам:

Закладка «Состав» показывает все параметры сертификата. Особенно интересны пункты «Действителен с» и «Действителен по» — сертификат будет действителен только в этом промежутке времени. Если им воспользоваться раньше или позже указанного времени, он будет отвергнутым (это касается сертификатов любых типов — как серверных, так и клиентских).

«Путь сертификации» показывает, что сертификат является корневым (самоподписанным).

После нажатия кнопки «Установить сертификат» в закладке «Общие», мы попадем в мастер импорта сертификатов.

Операционная система сама разберется, куда помещать сертификат, поэтому можно оставить галку на «Автоматически выбрать хранилище».

… осталось нажать кнопку «готово».

Выскакивает последнее предупреждение об установке нового центра сертификации «tmp_org root CA».

После нажатия на кнопку «да» в предыдущем меню, система сообщит нам, что импорт выполнен. Тем не менее, даже после нажатия на «ОК», основное окошко с сертификатом продолжает сообщать, что сертификат неизвестен. Это всего лишь «фича» операционной системы. Достаточно закрыть то окно и открыть его заново (два раза щелкнуть на файл с сертификатом):

В этом случае нам уже сообщают, что сертификат известен и ему доверяют.

1.2 Установка клиентского сертификата напрямую.

Клиентский сертификат устанавливается не сложнее, чем серверный. Выбираем в браузере нужный файл, в данном случае это — test_user2.p12,

И щелкаем на нем два раза левой кнопкой мыши.

После чего нас опять встречает мастер импорта сертификатов. После нажатия на кнопку «далее» вылезает окошко с запросом пароля, которым закрыт сертификат клиента, а также предлагающее выбор некоторых возможностей импорта:

Вводим пароль, которым был закрыт файл персонального сертификата (при конвертации его в формат PKCS#12).

Вторая галка (пометить ключ как экспортируемый) позволяет в дальнейшем извлечь файл сертификата из системы и импортировать его куда-либо еще. Если вы не хотите, чтобы клиенты переносили свой сертификат на другую машину, эту галку ставить не нужно.

Далее опять предоставляем Windows самой разобраться, куда кидать персональный сертификат.

Последнее подтверждение….

… и персональный сертификат установлен.

2.1 Установка пользовательских сертификатов через интерфейс управления сертификатами.

Все вышеописанные действия (а также посмотреть, какие сертификаты у нас установлены и, при необходимости, удалить их) можно и следующим образом:

В Internet Explorer жмем на «Сервис -> Свойства обозревателя»

В появившемся окне идем на закладку «» и жмем кнопку «Сертификаты».

В появившемся меню нас интересует закладка «Личные».

Тут хранятся персональные сертификаты пользователя. Как видно, один из них — test_user2 — уже установлен. Щелкнув по нему, можно посмотреть его содержимое.

Исправляем ошибки подключения SSL на телефонах Android

Ни перезагрузка интернета, ни перезапуск браузера не помогают избавиться от ошибки. К счастью, существует ряд способов исправить проблему с подключением к нужной странице.

Отладка интернет-соединения

Прежде всего стоит использовать альтернативную точку доступа: подключиться к Wi-Fi, если у вас мобильный интернет, или наоборот – отключиться от стационарной точки доступа и использовать сотового оператора.

Попробуйте загрузить другой веб-сайт. Возможно, проблема не в вашем подключении, а в неполадках на стороне провайдера или самого сайта. Если это так, проблему скорее всего уже решают, так как ошибки при соединении в этом случае будут не у вас одного.

Иногда после очередного обновления в работе приложения могут наблюдаться сбои. В этом случае стоит попробовать полностью сбросить сетевые настройки.

• Перейдите в настройки смартфона.
• Найдите меню «сброс и восстановление» (в разных смартфонах оно может находиться либо в самом низу списка настроек, либо в одном из подпунктов).
• В меню «сброс и восстановление» выберите «сброс сетевых настроек».

Дата и время как виновники всех проблем

В современных гаджетах многие приложения (в особенности сетевые программы) синхронизируются с часами. Любая манипуляция с текущей датой приводит к ошибкам приложения. Об ошибочной дате может сообщить сам гаджет: он попросит перевести часы в соответствие с текущим временем.

Чтобы не настраивать каждый раз время на телефоне вручную, поставьте галочку в настройках «дата и время» напротив пункта «дата и время сети» или «синхронизировать время по сети»

Всегда обновляйте устаревшие приложения

Ошибка SSL-подключения может возникать и при долгом отсутствии обновлений. Связано это с просроченным сертификатом текущей программы, так как действие сертификатов ограничено из целей безопасности.

Чтобы обновить текущий софт на смартфоне, необходимо:

• зайти в меню Play Market;
• выбрать пункт «мои приложения и игры»;
• нажать кнопку «обновить все».

Если вы не желаете обновлять некоторые приложения, всегда можно провести процесс в ручном режиме. Для удобства рекомендуется зайти непосредственно в настройки приложения и отметить галочкой пункт «автоматическое обновление».

Проводите регулярную очистку кэша в браузере

При обновлении софта нередко остаются кэшированные данные, которые мешают корректно обрабатывать текущие страницы сайта, из-за чего возникают ошибки с сертификатом.

Чтобы очистить кэш, можно использовать внутренние настройки самого браузера либо универсальную утилиту для очистки системы Android.

Для чистки кеша необходимо:

• зайти в настройки телефона;
• выбрать меню «приложения»;
• найти веб-обозреватель и тапнуть по нему.

В зависимости от операционной системы здесь может возникнуть необходимость зайти в пункт «память». В общем, найдите кнопку «очистить кеш» и смело жмите на нее.

Антивирус мешает корректной работе в сети

Хоть антивирус и предназначен для поиска уязвимостей в системе и предотвращения несанкционированного доступа в систему, он может блокировать и текущее подключение к сети, выдавая SSL-ошибку. Есть вероятность, что в эту самую минуту он отражает атаку, поэтому ошибке стоит уделить особое внимание и отключиться от текущей сети, особенно если вы используете публичную точку доступа.

Полное восстановление устройства из бэкапа

Знайте, что иногда восстановить смартфон в первоначальное состояние куда проще, чем искать виновника проблем. Если ничего не помогло и вы решились на кардинальные меры, необходимо:

• перейти в настройки смартфона;
• отыскать пункт «сброс и восстановление»;
• в подпункте выбрать «полный сброс до заводских настроек».

Нетрудно догадаться, что все ваши личные данные будут утеряны безвозвратно. Поэтому рекомендуется использовать резервную копию данных контактов и заметок. Если при первой настройке вы соглашались резервировать свои данные в Google-облако, то после сброса до заводского состояния используйте свой аккаунт для восстановления данных.

Однако это не распространяется на фото, видео и музыкальные файлы, поэтому перед форматированием скопируйте мультимедиа с памяти устройства на свой компьютер.

Авторизация с помощью клиентских SSL сертификатов в IOS и Android

Протокол безопасной передачи данных SSL (Secure Sockets Layer) помимо обеспечения безопасной передачи данных так же позволяет реализовать авторизацию клиентов при помощи клиентских SSL сертификатов. Данная статья является практическим руководством по реализации данного вида авторизации в мобильных приложениях на IOS и Android.

Процесс организации работы сервера обеспечивающего такой вид авторизации в статье не рассматривается, однако в конце приведены ссылки по данной тематике.

Процесс авторизации выглядит следующим образом.

При переходе клиента в закрытую область сервер запрашивает у клиента сертификат, если проверка прошла успешно то клиент получает доступ к закрытому контенту в ином случае клиент может получить ошибку “No required SSL certificate was sent”.

Для организации подключения мы сгенирировали клиентский сертификат, а так же создали запрос на подписание сертификата в результате чего получили файл client.csr. Далее мы отправили данный файл поставщику услуг и получили наш подписанный клиентский сертификат необходимый для аутентификации на удаленном сервере. Тестирование подключения может быть осуществлено при помощи утилиты curl.

curl ­­cert client.crt ­­key client.key ­k someserive.com

Однако стоит заметить, что в последняя версия curl 7.30.0 в OS X сломана и не может быть использована для организации тестирования (http://curl.haxx.se/mail/archive-2013-10/0036.html).

Для передачи клиентского сертификата мы будем использовать файл в формате PKCS#12. В файлах PKCS#12 хранятся одновременно и закрытый ключ, и сертификат (разумеется в зашифрованном виде). Примерная организация PKCS#12 файла показана на рисунке. Сконвертировать Ваш client.crt в файл формата PKCS#12 можно при помощи следующей команды:

openssl pkcs12 ­export ­in client.crt ­inkey client.key ­out client.p12

После того как мы получили файл в формате PKCS#12 можно переходить к разработке и тестированию нашего мобильного приложения. Начнем с IOS.

1. Реализуем IOS версию приложения

Необходимо подключить к Вашему проекту Security.Framework Для осуществления запроса нам необходимо извлечеть из PKCS#12 цифровой сертификат и ассоциированный с ним приватный ключ (SecIdentityRef). Наличие данного объекта позволит нам получить соответствующий NSURLCredential. Итак реализуем функецию extractIdentityAndTrust.

OSStatus extractIdentityAndTrust(CFDataRef inP12data, SecIdentityRef *identity){ OSStatus securityError = errSecSuccess; CFStringRef password = CFSTR(«»); const void *keys[] = { kSecImportExportPassphrase }; const void *values[] = { password }; CFDictionaryRef options = CFDictionaryCreate(NULL, keys, values, 1, NULL, NULL); CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL); securityError = SecPKCS12Import(inP12data, options, &items); if (securityError == 0) { CFDictionaryRef myIdentityAndTrust = CFArrayGetValueAtIndex(items, 0); const void *tempIdentity = NULL; tempIdentity = CFDictionaryGetValue(myIdentityAndTrust, kSecImportItemIdentity); *identity = (SecIdentityRef)tempIdentity; } if (options) { CFRelease(options); } return securityError;} Производим извлечение при помощи функции SecPKCS12Import, незабываем указать пароль к серитификату. Далее реализуем делегат canAuthenticateAgainstProtectionSpace, вызов данного делегата позволяет нам определить свойства сервера, а именно протокол, механизм авторизации. У нас реализация этого делегата будет простой, укажем, что обрабатываем любой способ аутентификации представленный сервером. — (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace{ return YES;} Обработаем возможные ошибки: — (void)connection:(NSURLConnection*) connection didFailWithError:(NSError *)error{ NSLog(@»Did recieve error: %@», [error localizedDescription]); NSLog(@»%@», [error userInfo]);} Теперь перейдем к реализации непосредственно механизма аутентификации. Реализуем делегат didRecieveAuthentificationChallenge: — (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge{ NSLog(@»Authentication challenge»); // load cert NSString *path = [[NSBundle mainBundle] pathForResource:@»keystore» ofType:@»p12″]; NSData *p12data = [NSData dataWithContentsOfFile:path]; CFDataRef inP12data = (__bridge CFDataRef)p12data; SecIdentityRef myIdentity; OSStatus status = extractIdentityAndTrust(inP12data, &myIdentity); SecCertificateRef myCertificate; SecIdentityCopyCertificate(myIdentity, &myCertificate); const void *certs[] = { myCertificate }; CFArrayRef certsArray = CFArrayCreate(NULL, certs, 1, NULL); NSURLCredential *credential = [NSURLCredential credentialWithIdentity:myIdentity certificates:(__bridge NSArray*)certsArray persistence: NSURLCredentialPersistenceForSession]; [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];} Загружаем наш сертификат, извлекаем из него нужные нам данные, создаем NSURLCredential, передаем нужную информацию, сохраняем данные аутентификации только в контексте текущей сессии. Ну и для полноты картины приведу код подготавливающий NSURLConnection: NSString *key = @»test»; NSError *jsonSerializationError = nil; NSMutableDictionary *projectDictionary = [NSMutableDictionary dictionaryWithCapacity:1]; [projectDictionary setObject:key forKey:@»test»]; NSData *jsonData = [NSJSONSerialization dataWithJSONObject:projectDictionary options:nil error:&jsonSerializationError]; NSURL *requestUrl = [[NSURL alloc] initWithString:@»https://your_service»]; NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:requestUrl cachePolicy:NSURLRequestReloadIgnoringCacheData timeoutInterval:60.0]; [request setHTTPMethod:@»POST»]; [request setValue:@»UTF-8″ forHTTPHeaderField:@»content-charset»]; [request setValue:@»application/json» forHTTPHeaderField:@»Accept»]; [request setValue:@»application/json» forHTTPHeaderField:@»Content-Type»]; [request setValue:[NSString stringWithFormat:@»%d», [jsonData length]] forHTTPHeaderField:@»Content-Length»]; [request setHTTPBody: jsonData]; NSURLConnection *connection = [[NSURLConnection alloc] initWithRequest:request delegate:self]; [connection start]; Реализацию делегата didReceiveData приводить не буду.

2. Реализуем Android версию приложения

Начну сразу с кода: KeyStore keystore = KeyStore.getInstance(«PKCS12»); keystore.load(getResources().openRawResource(R.raw.keystore), «».toCharArray()); SSLSocketFactory sslSocketFactory = new AdditionalKeyStoresSSLSocketFactory(keystore); HttpParams params = new BasicHttpParams();HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);HttpProtocolParams.

setContentCharset(params, HTTP.UTF_8);HttpProtocolParams.setUseExpectContinue(params, true); final SchemeRegistry registry = new SchemeRegistry();registry.register(new Scheme(«http», PlainSocketFactory.getSocketFactory(), 80));registry.

register(new Scheme(«https», sslSocketFactory, 3123)); ThreadSafeClientConnManager manager = new ThreadSafeClientConnManager(params, registry);DefaultHttpClient httpclient = new DefaultHttpClient(manager, params); HttpPost httpPostRequest = new HttpPost(«https://your_service»); // datas — array which contains data to send to serverStringEntity se = new StringEntity(datas[0].toString(), HTTP.UTF_8); // Set HTTP parametershttpPostRequest.setEntity(se);httpPostRequest.setHeader(«Accept», «application/json»);httpPostRequest.setHeader(«Content-Type», «application/json»); HttpResponse response = httpclient.execute(httpPostRequest); Получаем экземпляр соответствующего KeyStore в нашем случае это (PKCS12), загружаем из ресурсов наш сертификат, вторым аргументом указываем пароль. Далее создаем экземпляр SSLSocketFactory, использую собственную реализацию SSLSocketFactory, позволяющую инициализировать SSL контекст с использованием нашего сертификата. Код фабрики приведен чуть ниже. Далее конфигурируем параметры подключения, регистрируем нашу фабрику, указываем порт на который будем посылать запрос, формируем соответсвующий POST и выполняем запрос. Код фабрики:import java.io.IOException;import java.net.Socket;import java.security.KeyManagementException;import java.security.KeyStore;import java.security.KeyStoreException;import java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import java.security.UnrecoverableKeyException;import java.security.cert.CertificateException;import java.security.cert.X509Certificate;import java.util.ArrayList;import java.util.Arrays; import javax.net.ssl.KeyManagerFactory;import javax.net.ssl.SSLContext;import javax.net.ssl.TrustManager;import javax.net.ssl.TrustManagerFactory;import javax.net.ssl.X509TrustManager; import org.apache.http.conn.ssl.SSLSocketFactory; /** * Allows you to trust certificates from additional KeyStores in addition to * the default KeyStore */public class AdditionalKeyStoresSSLSocketFactory extends SSLSocketFactory { protected SSLContext sslContext = SSLContext.getInstance(«TLS»); public AdditionalKeyStoresSSLSocketFactory(KeyStore keyStore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException { super(null, null, null, null, null, null); KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); kmf.init(keyStore, «».toCharArray()); sslContext.init(kmf.getKeyManagers(), new TrustManager[]{new ClientKeyStoresTrustManager(keyStore)}, new SecureRandom()); } @Override public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException { return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose); } @Override public Socket createSocket() throws IOException { return sslContext.getSocketFactory().createSocket(); } /** * http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#X509TrustManager */ public static class ClientKeyStoresTrustManager implements X509TrustManager { protected ArrayList x509TrustManagers = new ArrayList(); protected ClientKeyStoresTrustManager(KeyStore… additionalkeyStores) { final ArrayList factories = new ArrayList(); try { // The default Trustmanager with default keystore final TrustManagerFactory original = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); original.init((KeyStore) null); factories.add(original); for ( KeyStore keyStore : additionalkeyStores ) { final TrustManagerFactory additionalCerts = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); additionalCerts.init(keyStore); factories.add(additionalCerts); } } catch (Exception e) { throw new RuntimeException(e); } /* * Iterate over the returned trustmanagers, and hold on * to any that are X509TrustManagers */ for (TrustManagerFactory tmf : factories) for ( TrustManager tm : tmf.getTrustManagers() ) if (tm instanceof X509TrustManager) x509TrustManagers.add( (X509TrustManager) tm ); if ( x509TrustManagers.size() == 0 ) throw new RuntimeException(«Couldn't find any X509TrustManagers»); } public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { for ( X509TrustManager tm : x509TrustManagers ) { try { tm.checkClientTrusted(chain, authType); return; } catch ( CertificateException e ) { } } throw new CertificateException(); } /* * Loop over the trustmanagers until we find one that accepts our server */ public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { for ( X509TrustManager tm : x509TrustManagers ) { try { tm.checkServerTrusted(chain, authType); return; } catch ( CertificateException e ) { } } throw new CertificateException(); } public X509Certificate[] getAcceptedIssuers() { final ArrayList list = new ArrayList(); for ( X509TrustManager tm : x509TrustManagers ) list.addAll(Arrays.asList(tm.getAcceptedIssuers())); return list.toArray(new X509Certificate[list.size()]); } } }

Аутентификация по сертификатам

Сертификат — это набор данных, определяющих какую-либо сущность (пользователя или устройство) в привязке к открытому ключу ключевой пары открытый/секретный ключ.

Обычный сертификат содержит информацию о сущности и указывает цели, с которыми может использоваться сертификат, а также расположение дополнительной информации о месте выпуска сертификата.

Сертификат подписан цифровой подписью выпустившего его центра сертификации (СА).

Инфраструктура, используемая для поддержки сертификатов в организации, называется инфраструктурой открытого ключа (Public Key Infrastructure, PKI). [22]

Сертификат может быть сам по себе широкодоступен (передаваться по электронной почте). Открытый ключ каждого сертификата имеет связанный с ним секретный ключ, который содержится в тайне и, как правило, хранится локально самим объектом-сущностью.

Важно, что в отличие от алгоритмов с симметричным ключом, где для расшифрования и шифрования используется один и тот же ключ, в алгоритмах с открытым/ секретным ключом используются два ключа: один для шифрования, а другой — для расшифровки.

Если шифрование осуществляется с использованием открытого ключа, то расшифровать зашифрованный текст можно только с помощью соответствующего секретного ключа.

Если шифрование осуществляется на секретном ключе, то расшифровать текст можно только с помощью соответствующего открытого ключа.

При использовании сертификатов для аутентификации секретный ключ применяется для шифрования или цифровой подписи некоторого запроса или «вопроса». Соответствующий открытый ключ (доступный в сертификате) может использоваться сервером или центральным сервером аутентификации для расшифровки запроса.

Если результат соответствует ожидаемому, подлинность считается доказанной. Так как с помощью соответствующего открытого ключа можно успешно расшифровать вопрос, а секретным ключом, посредством которого был зашифрован вопрос, обладает только объект-сущность, сообщение должно исходить именно от этого объекта-сущности.

Ниже приведены шаги описанного процесса аутентификации.

1. Клиент подает запрос аутентификации.

2. Сервер создаст вопрос.

3. Рабочая станция использует свой секретный ключ для шифрования вопроса.

4. Ответ возвращается серверу.

5. Так как сервер содержит копию сертификата, он может использовать открытый ключ для расшифровки ответа. Результат сравнивается с вопросом.

6. Если наблюдается совпадение, клиент успешно проходит аутентификацию. Данная концепция представлена на рис. 4.2.

Рис. 4.2. Аутентификация с использованием открытого и секретного ключей

Здесь полезно понять, что исходный набор ключей генерируется клиентом и в центр сертификации передается только открытый ключ. СА генерирует сертификат и подписывает его с помощью секретного ключа, после чего возвращает копию сертификата пользователю и его базе данных. [23]

SSL/TLS

SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет.

При его использовании создаётся защищённое соединение между клиентом и сервером. SSL изначально разработан компанией Netscape Communications. Впоследствии на основании протокола SSL 3.

0 был разработан и принят стандарт RFC, получивший имя TLS.

Несмотря на то, что TLS и SSL выполняют одну и ту же функцию, они не являются совместимыми: сервер, использующий SSL, не может установить защищенный сеанс с клиентом, который использует только TLS.

Необходимо обеспечить совместимость приложений с SSL или TLS, прежде чем использовать одну из этих двух систем.

Хотя наиболее общая реализация SSL обеспечивает безопасное соединение и аутентификацию сервера, может быть также реализована аутентификация клиента. Клиенты должны обладать для этой цели своими собственными сертификатами, веб-сервер должен быть настроен на требование аутентификации от клиентов.

В наиболее распространенном варианте использования SSL организация получает SSL-сертификат сервера из открытого центра сертификации, такого как VeriSign, и устанавливает его на свой Веб-сервер.

Процесс аутентификации состоит из следующих этапов.

1. Пользователь вводит URL сервера в браузере.

2. Запрос клиента на веб-страницу передается на сервер.

3. Сервер получает запрос и отправляет свой сертификат сервера клиенту.

4. Браузер клиента проверяет свое хранилище сертификатов на наличие сертификата от центра сертификации, выпустившего сертификат сервера.

5. Если обнаруживается сертификат СА, браузер подтверждает сертификат посредством проверки подписи на сертификате сервера с использованием открытого ключа, имеющегося в сертификате СА.

6. Если проверка завершается успешно, браузер принимает сертификат сервера и считает его действительным.

8. Зашифрованный ключ возвращается серверу.

9. Сервер расшифровывает ключ с помощью собственного секретного ключа сервера. Для компьютера теперь общий ключ шифрования, который может использоваться для обеспечения безопасности соединений между ними.[24]

Существует множество потенциальных проблем, связанных с данной системой.

• Если веб-сервер не настроен соответствующим образом на требование использования SSL, сервер не аутентифицируется относительно клиента, и может быть установлено обычное незащищенное соединение. Безопасность зависит от того, укажет ли пользователь в строке URL браузера протокол https:/ вместо http:/.
• Если у клиента нет копии сертификата СА, она будет предложена ему сервером. Несмотря на то, что это обеспечивает наличие шифруемого соединения между клиентом и сервером, данный подход не обеспечивает аутентификацию сервера. Безопасность соединения здесь зависит от пользователя, который, в лучшем случае, откажется от соединения с сервером, который не идентифицирован третьей стороной.
• Процесс получения сертификата СА в хранилище браузера не является четко контролируемым. В прошлом данное обстоятельство могло потребовать уплаты денежных средств или зависело от ваших связей. Теперь же Microsoft требует, чтобы сертификаты, устанавливаемые все браузеры, были выпущены центрами сертификации, прошедшими соответствующий аудит.
• Основой является защита секретного ключа. В то время как реализации по умолчанию требуют лишь нахождения ключа в защищенной области системы, возможно, применить аппаратные системы, требующие хранения секретного ключа только на аппаратном устройстве.
• Как в случае с любой системой, базирующейся на PKI, решение о предоставлении сертификата организации для его использования на сервере этой организации зависит от политик, созданных людьми, и, таким образом, данное решит принимается именно людьми. Поэтому могут допускаться различные ошибки Сертификат SSL, определяющий сервер как принадлежащий компании, может быть выпущен каким-либо лицом, не являющимся представителем этой компании. Кроме того, если даже истек срок действия сертификата или обнаружена другая проблема и выдан сигнал тревоги, многие пользователи просто проигнорируют это предупреждение.

Стойкость шифра SSL-сеанса прямо пропорциональна числу разрядов в ключе сеанса. Иначе говоря, считается, что ключи с большим числом разрядов безопаснее — их труднее взломать.

Для SSL-сеансов обычно применяются 40- и 128-разрядный уровни шифрования.

Первый вариант подходит для большинства ситуаций, включая электронную коммерцию, а второй — обеспечивает дополнительную защиту важных личных и финансовых сведений клиента.

В версиях Microsoft Windows для США реализовано 128-, а в экспортных версиях — 40-разрядное шифрование. Чтобы обновить сервер для 128-разрядного шифрования, необходимо установить специальный пакет обновления, распространяемый Microsoft.

Необходимо различать уровень шифрования SSL-сеансов (стойкость ключа сеанса, выраженная в разрядах) и уровень шифрования SSL-сертификатов (стойкость открытого и закрытого ключей сертификата, выраженная в разрядах).

Обычно длина ключа шифрования, открытого или закрытого, составляет 512 или 1024 разряда. Внутренние американские и экспортные версии большинства приложений и ОС поддерживают ключи шифрования длиной 512 разрядов.

Ключи длиной 1 024 и более разрядов во многих случаях не поддерживаются.

Когда пользователь пытается установить SSL-соединение с Web-сервером, клиентский браузер и сервер на основе своих ключей шифрования определяют максимально возможный уровень шифрования. Если длина ключей шифрования 512 разрядов, используется 40-разрядное, если 1 024 — 128-разрядное шифрование. Также доступны другие длины ключей и уровни шифрования.

Сертификат клиентской аутентификации

Если шифрование осуществляется с использованием открытого ключа, то расшифровать зашифрованный текст можно только с помощью соответствующего секретного ключа. Если шифрование осуществляется на секретном ключе, то расшифровать текст можно только с помощью соответствующего открытого ключа.

При использовании сертификатов для аутентификации секретный ключ применяется для шифрования или цифровой подписи некоторого запроса или «вопроса».

Авторизация с помощью клиентских SSL сертификатов

Данная схема авторизации признана наиболее надежной и, в том или ином виде, широко используется в сфере предоставления банковских услуг.Практическая реализация рассматривается на основе популярной связки веб-сервера Apache (https://httpd.apache.

org/) и модуля mod_ssl (https://www.modssl.org/), основанного на использовании библиотеки openssl (https://www.openssl.org/). Предполагается, что соответствующее программное обеспечение у вас уже установлено.

Для реализации процесса авторизации по клиентским сертификатам требуется:1.

3. Сконфигурировать веб-сервер для запроса и проверки клиентских сертификатов.Примечание: Для работы с ключами используется программа openssl, входящая в пакет библиотеки openssl.

Что такое клиентский сертификат и где его получить, как его использовать для подключения к серверу?

Остерегайтесь, в этом случае сообщение не защищено, вы только подписали его. У всех есть открытый ключ! Message—>[Public Key]—>Encrypted Message—>[Private Key]—>Message Одна из проблем заключается в том, чтобы знать открытый ключ вашего корреспондента.

Обычно вы просите его отправить вам не конфиденциальное подписанное сообщение, которое будет содержать его открытый ключ, а также сертификат.

Откуда вы знаете, что имеете дело с правильным человеком или, вернее, с правильным веб-сайтом. Ну, кто-то занял много времени (если они серьезны), чтобы гарантировать, что владельцы веб-сайтов являются тем, кем они себя называют. Сертификат содержит информацию о владельце сертификата, например, адрес электронной почты, имя владельца, использование сертификата, продолжительность действия,

Что такое сертификат клиентской аутентификации.

Причины возникновения SSL-ошибки

С помощью сертификата клиент подтверждает серверу, что он именно тот, за кого себя выдаёт.

В сертификате имеется вся необходимая для сервера информация, касающаяся клиента (или его организации, например, веб-студии).

1. ISA сервер должен убедиться может ли данный клиент получить доступ к той информации, просмотра которой он добивается.
2. Потом ISA сервер играет роль SSL веб-сервера.
3. Клиент направляет серверу запрос, а сервер ISA направляет в ответ свой сертификат.
4. Теперь клиент запрашивает у ISA сервера те ресурсы, которые ему необходимы.
5. Клиент, получивший сертификат, имеет возможность проверить, является ли предоставленный сертификат удостоверением ISA сервера.
6. ISA сервер сличает сертификат с тем, который он направлял клиенту в самом начале процедуры.

Все клиентские сертификаты должны сохраняться в хранилище сертификатов компьютера ISA сервера.

Ssl подключение сертификат клиентской аутентификации.

Применение шифрования

Это подтверждение имеет важное значение для пользователя веб-сайта, который отправляет номер кредитной карты через сеть и хочет удостовериться в том, что это именно тот сервер, который ему нужен.

Пользователям и менеджерам сети не нужно устанавливать сертификаты, аутентификация сервера работает автоматически.

Если организация выступает в роли своего собственного бюро сертификатов, то необходимо дополнительно установить корневой сертификат во всех браузерах компьютеров-клиентов интранет-сети и предоставить соответствующие инструкции.На рисунке 8.1 показано, как работает аутентификация SSL/TLS.

Обзор способов и протоколов аутентификации в веб-приложениях

Аналогично эти термины применяются в компьютерных системах, где традиционно под идентификацией понимают получение вашей учетной записи (identity) по username или email; под аутентификацией — проверку, что вы знаете пароль от этой учетной записи, а под авторизацией — проверку вашей роли в системе и решение о предоставлении доступа к запрошенной странице или ресурсу.

Однако в современных системах существуют и более сложные схемы аутентификации и авторизации, о которых я расскажу далее.

Но начнем с простого и понятного.

Этот метод основывается на том, что пользователь должен предоставить username и password для успешной идентификации и аутентификации в системе.

Пара username/password задается пользователем при его регистрации в системе, при этом в качестве username может выступать адрес электронной почты пользователя.

Применительно к веб-приложениям, существует несколько стандартных протоколов для аутентификации по паролю, которые мы рассмотрим ниже.

Как добавлять и удалять сертификаты

При необходимости введите пароль к хранилищу ключей. Нажмите ОК.

Если вы ещё не защитили устройство с помощью PIN-кода, пароля или графического ключа, вам будет предложено это сделать. Вы можете удалить установленные вами сертификаты.

Системные сертификаты, которые нужны для работы устройства, удалены не будут.

• Откройте настройки устройства .
• В разделе «Хранилище учетных данных» нажмите Очистить учетные данные ОК.
• Выберите Безопасность и местоположение Шифрование и учетные данные.

Android поддерживает DER-сертификаты X.509 в форматах CRT и CER. Чтобы установить сертификат, сохраненный в другом формате (например, DER), измените расширение на CRT или CER.

Android поддерживает сертификаты X.509 в файлах хранилищ ключей PKCS#12 с расширением P12 или PFX.

Аутентификация

Хозяином банковской системы аутентификации является, соответственно, сам банк, характеристики системы — персональный идентификатор и банковская дебетовая карта, а в качестве механизма используется программное обеспечение, проверяющее характеристики (карту и идентификатор).

на основе сертификата с использованием цифровых сертификатов — прекрасная альтернатива паролям, особенно, если речь идет о числе пользователей Сети, измеряемом в миллионах — в этом случае процедура предварительной регистрации пользователей, назначение и хранение паролей может превратиться в серьезную проблему.Применение сертификатов не подразумевает хранения информации: сеть, дающая пользователю доступ к своим ресурсам, не сохраняет данные: пользователи сами предоставляют их в своих запросах в виде сертификатов, удостоверяющих их личность.Аутентификацию на основе сертификатов можно сравнить

Авторизация клиентов в nginx посредством SSL сертификатов

openssl req -new -newkey rsa:1024 -nodes -keyout ca.key -x509 -days 500 -subj -out ca.crt Описание аргументов: req Запрос на создание нового сертификата.

-new Создание запроса на сертификат (Certificate Signing Request – далее CSR). -newkey rsa:1023 Автоматически будет создан новый закрытый RSA ключ длиной 1024 бита.

Длину ключа можете настроить по своему усмотрению. -nodes Не шифровать закрытый ключ. -keyout ca.key Закрытый ключ сохранить в файл ca.key.

-x509 Вместо создания CSR (см.

опцию -new) создать самоподписанный сертификат.

-days 500 Срок действия сертификата 500 дней.

Размер периода действия можете настроить по своему усмотрению.

Не рекомендуется вводить маленькие значения, так как этим сертификатом вы будете подписывать клиентские сертификаты.