Client-Zertifikat (kostenlos) signieren lassen

[rerhafnhabu]

Ich betreibe einen Webserver in der Hetzner-Cloud, der https mit dem Let´s Encrypt-Bot ermöglicht.
Zusätzlich habe ich eine eigene CA erstellt und eingebunden, damit ich selbst erstellte Client-Zertifikate verwenden kann. Funktioniert prima.

Ein Bekannter möchte ebenfalls eine passwortlose Zugriffsbeschränkung machen, hat aber nur Webspace bei All-Inkl, der das Einbinden der eigenen CA natürlich nicht kennt.
Eine Möglichkeit ist die, unter Brückenzertifikate die CA einzutragen, das funktioniert ein paar Wochen, bis Let´s Encrypt aktualisiert, dann ist das Brückenzertifikat wieder weg.

Nun meine eigentliche Frage: Gibt es eine CA, wo man kostenlos oder wenig Geld sein selbst erstelltes Clientzertifikat signieren lassen kann?

 

[smodo1977]

Hallo, anbei eine Möglichkeit
Erstellen eines Server-Zertifikates

 

[rerhafnhabu]

Danke für den Link, aber wie ich oben bereits schrieb, habe ich eine eigene CA angelegt,
mein Problem ist aber, daß der Bekannte keinen Zugriff auf das Apache-Konfigurationsfile hat, um dem Web-Server mit dem Parameter "SSLCACertificateFile" die CA bekannt zu machen.
.htaccess scheidet ja leider für diesen Parameter aus

Daher meine Idee, das Zertifikat offiziell signieren zu lassen, damit es auch in solchen Umgebungen als Zugriffschutz verwendet werden kann.

 

[chrsto]

Ich habe das Problem noch nicht ganz verstanden. Was spricht gegen die Verwendung von Let's Encrypt bei all-inkl.?

Kostenlos signieren gibt es nicht, nur bei Let's Encrypt. Es gibt zwar noch CAcert.org, die sind aber nie bis in die Browser vorgedrungen.
Und falls deine Frage in Richtung CA signieren gehen sollte, kannst du bei Achmed nachfragen, wie weit er ist

 

[rerhafnhabu]

Ich habe das Problem noch nicht ganz verstanden. Was spricht gegen die Verwendung von Let's Encrypt bei all-inkl.?

gegen Let´s Encrypt spricht gar nichts, das soll und wird auch weiterhin verwendet werden.
Hier weist sich jedoch der nur Server meinem Browser als Vertrauenswürdig aus.
Ich möchte mich jedoch auch dem Server gegenüber mit einem Zertifikat vorstellen,
damit bestimmte Bereiche nur erreichbar sind, wenn ein gültiges Zertifikat im Browser hinterlegt ist.

Auf dem Hetzner-Server mache ich das mit einer eigenen CA, die ich mittels SSLCACertificateFile dem Server mitteile.

Auszug aus /etc/apache2/sites-available/namederwebseite.conf:
SSLEngine on
SSLVerifyClient optional
SSLVerifyDepth 3
SSLCACertificateFile /etc/ssl/certs/ca*************.pem (Meine selbst erstellte CA)

Im Browser importiere ich dann client_xxxx.p12 (ebenfalls selbst erstellt und mit der eigenen CA signiert)
die ich dann auf dem per PHP auswerten kann und so die Ausgabe steuere.

Bei All-Inkl geht das nicht so, da es nur ein Web-Paket ist, sondern nur über den Umweg über das oben angesprochene Brückenzertifikat der eigenen CA.

Wäre das Zwertifikat offiziell signiert, würde das direkt funktionieren.

Ich hoffe, das war jetzt verständlicher.

 

[ktw2003]

Du möchtest dich also mit einem persönlichen Zertifikat im Browser gegenüber dem Server authentifizieren? Richtig verstanden?

 

[rerhafnhabu]

Du möchtest dich also mit einem persönlichen Zertifikat im Browser gegenüber dem Server authentifizieren? Richtig verstanden?

Exakt.

 

[ktw2003]

Welche Software bzw. welches Produkt nimmt denn die Authentifizierung bei dir vor?

 

[rerhafnhabu]

Welche Software bzw. welches Produkt nimmt denn die Authentifizierung bei dir vor?

DAS verstehe ich jetzt nicht.

Auf dem Server einfach ein normales php-script, z.B.:

if ($_SERVER['SSL_CLIENT_S_DN_Email'] == '[email protected]'){
Ausgabe der normalen Webseite & interner Daten
} else {
Ausgabe der normalen Webseite
}

Wie bereits anfangs geschreiben funktioniert das auf beiden Servern prima,
nur auf dem reinen Webspace wird die eigene CA immer wieder überschrieben.
Und diesen Umweg müsste ich nicht gehen, wäre mein Browser-Zertifikat offiziell signiert.

 

[ktw2003]

Ich nutze das in der Form so seit mehreren Jahren jetzt nicht mehr, sonst hätte ich in meinen alten Code geschaut, was ich damals gemacht habe. Bin inzwischen komplett auf SSO per Azure umgestiegen. Sprich beim Zugriff auf meine nicht öffentlichen Webinhalte melde ich mich per Azure Account an.