/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Digital signatut SSL
Fra : Mikkel


Dato : 07-01-07 14:21

Hej,

Jeg har et par routere hos et par venner som jeg holder ved lige og ændre
opsætning
på når jeg bliver bedt om det.
Jeg ønsker at tilgå routeren med SSL altså en HTTPS forbindelse til
routeren.

Jeg har lavet et certifikat på routeren med den IP adresse som routeren har
på Wan siden, og har
sat den op i Internet Explorer V7, og det virker fint.

Problemer er hvis Routeren skifter WAN IP så virker certifikatet ikke mere.
Derfor kunne jeg sætte den
op så den brugte mit Certifikat hvis jeg havde et...
Findes der et program eller andet hvor man rimeligt nemt kan lave sig et
certifikat
selv, til brug i dette tilfælde.?

Altså, hvordan skaffer jeg mig et certifikat uden at få et officielt fra
f.eks TDC.


Hilsen
Mikkel



 
 
Claus Holm Christens~ (08-01-2007)
Kommentar
Fra : Claus Holm Christens~


Dato : 08-01-07 02:12

On Sun, 7 Jan 2007 14:21:06 +0100, "Mikkel" <MikkelM@mail.dk> wrote:

>Problemer er hvis Routeren skifter WAN IP så virker certifikatet ikke mere.

Her er det første problem, og det kan nok kun løses ved at få en fast IP
fra internetudbyderen, eller at benytte en dynamisk opdateret DNS-server,
f.eks. DynDNS.com eller GratisDNS.dk.

Så snart du har ordnet det, så skal du bare have et SSL-certifikat med det
korrekte domænenavn (hvilket kan kræve samarbejde med f.eks. DynDNS, det
er lidt lettere hvis du bare køber dit eget .dk-domæne ved GratisDNS.

>Derfor kunne jeg sætte den
>op så den brugte mit Certifikat hvis jeg havde et...

Nej, det kan du faktisk ikke. Din browser vil først undersøge om routerens
certifikat overhovedet er gyldigt, derefter om domænenavnet i certifikatet
stemmer overens med det du skrev i adresselinjen. Du kan derfor ikke give
routeren et certifikat der er blevet udstedt til dig og forvente at det
virker (ud over at det ville være sikkerhedsmæssigt tåbeligt at sende dit
certifikat rundt på den måde).

>Findes der et program eller andet hvor man rimeligt nemt kan lave sig et
>certifikat selv, til brug i dette tilfælde.?

Enten misforstår jeg hvad det er du ønsker, eller også tror jeg ikke det
kan lade sig gøre (og slet ikke så simpelt som du nok ønsker).

For rigtigt hjemmelavede certifikater, så har OpenSSL [1] faciliteterne
til at lave rigtige hjemmelavede certifikater. Alternativt kan du prøve
Keytool IUI [2], som godt nok ikke kan lave helt hjemmelavede
certifikater, men som kan gå et stykke af vejen.

[1]: <http://www.openssl.org/>
[2]: <http://yellowcat1.free.fr/index_ktl.html!>

>Altså, hvordan skaffer jeg mig et certifikat uden at få et officielt fra
>f.eks TDC.

Prøv <http://www.cacert.org/>. Hvis du vil godkendes, så forventer jeg at
der er certificeringsfolk til stede på <http://www.linuxforum.dk/>


--
Claus Holm Christensen
<http://www.claushc.dk/>

Søren Pedersen (08-01-2007)
Kommentar
Fra : Søren Pedersen


Dato : 08-01-07 12:55


> Nej, det kan du faktisk ikke. Din browser vil først undersøge om routerens
> certifikat overhovedet er gyldigt, derefter om domænenavnet i certifikatet
> stemmer overens med det du skrev i adresselinjen. Du kan derfor ikke give
> routeren et certifikat der er blevet udstedt til dig og forvente at det
> virker (ud over at det ville være sikkerhedsmæssigt tåbeligt at sende dit
> certifikat rundt på den måde).
>

Hvis jeg forstår det rigtigt består et certifikat af en privat nøgle og en
offentlig nøgle, kan man
da ikke lægge den offentlige nøgle ned i routeren under godkendte klienter,
og derved kan man
når man logger på routeren blive godkendt fordi man er i besiddelse at den
modsvarende private
nøgle i Inetrnet Explorer.

Det burde da ikke kompromiterer ens certifikat.

Hilsen
Søren



Claus Holm Christens~ (08-01-2007)
Kommentar
Fra : Claus Holm Christens~


Dato : 08-01-07 23:20

On Mon, 8 Jan 2007 12:55:04 +0100, "Søren Pedersen" <soeren.k.p@ofir.dk>
wrote:

>Hvis jeg forstår det rigtigt består et certifikat af en privat nøgle og en offentlig nøgle,
>kan man da ikke lægge den offentlige nøgle ned i routeren under godkendte klienter,
>og derved kan man når man logger på routeren blive godkendt fordi man er i besiddelse at den
>modsvarende private nøgle i Inetrnet Explorer.

Korrekt, det er SSH-protokollen der fungerer således. SSL/TLS har
faciliteter til det samme, men kræver ubetinget at serveren allerede har
et godkendt certifikat.

Det kommer så an på routeren om det overhovedet kan lade sig gøre.

>Det burde da ikke kompromiterer ens certifikat.

Det gør det heller ikke. Jeg forstod det sådan, at Mikkel ville installere
sin digitale signatur (inklusiv privat nøgle), for på den måde at undgå
problemerne med at skulle godkende den skiftende IP-adresse fra gang til
gang.


--
Claus Holm Christensen
<http://www.claushc.dk/>

Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409079
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste