Интернет сертификаты в домино

Тема в разделе "Lotus - Администрирование", создана пользователем XiNoID, 15 июл 2015.

  1. XiNoID

    XiNoID Well-Known Member

    Регистрация:
    4 сен 2007
    Сообщения:
    94
    Симпатии:
    0
    В общем потребовалось настроить схему авторизации без ввода пароля.
    Сделал сертификатор, создал базку certreq, настроил CA...
    Проверил в ФФ... Сделал зверька в адресной книге, запросил сертификат, создал пару, принял запрос, одобрил, получил.... Через фф - всё работает.
    Решил проверить через хром, не работает: _ttps://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/776/38/
    Решил проверить через IE11 - тоже не работает, получаю ответ при создании запроса:
    "Error: No public key supplied. Operation cancelled"
    И всё.
    В ie7 всё работает.
    В опере тоже всё хорошо.

    А если же мы добавляем сертификаты через админку в person документы, то там завязано на ID, и соответственно при экспорте мы не получаем private key...

    В общем... Что надо, чтобы в ие11 заработало?
     
  2. aameno2

    aameno2 Well-Known Member

    Регистрация:
    27 янв 2009
    Сообщения:
    484
    Симпатии:
    12
  3. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    а может не надо ;)
    теоретически можно эпрувить ключи на фронте, но останется вопрос проброса авторизации, а вот здесь схемы не так очевидны
    можно заморочится подъемом до TLS на домине - тоже тернистый путь с сертификатами будет ;)
     
  4. aameno2

    aameno2 Well-Known Member

    Регистрация:
    27 янв 2009
    Сообщения:
    484
    Симпатии:
    12
    Таки искал, в свое время, как генерить лтпа на фронте, не нашел)
     
  5. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    можно юзера подсовывать по некоему своему закону (например по таблице на фронте)
    во фронт прописываем
    proxy_set_header $WSRU dominouser;
    dominouser генерим из таблицы - вот тут нужно немного изголяться
    а можно http://codeby.net/forum/threads/56888/#post-258105
    сделать запрос с домины
     
    #5 lmike, 16 июл 2015
    Последнее редактирование модератором: 16 июл 2015
  6. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
  7. XiNoID

    XiNoID Well-Known Member

    Регистрация:
    4 сен 2007
    Сообщения:
    94
    Симпатии:
    0
    Надо. Очень. Задача стоит не столько в обеспечении безопасности, сколько в избавлении от ввода пароля.
    Версия у меня 9.0.1 с третьим фикспаком. Информация, что я вижу в FF:
    [​IMG]Image hosted for free at CtrlV.in

    То есть тлс присутствует.

    Ссылки все посмотрю, спасибо...
     
  8. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    вот еще http://habrahabr.ru/post/213741/
    особливо интересен будет $ssl_client_s_dn;
    кот можно упихать в $WSRU только учесть вид, кот принимает нотусня
     
  9. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    цепочка следующая - генерим (получаем) серверный сертификат, из кот получим файлы:
    они используются сервером, но ониже и пользуются при генерации клиентских сертификатов
    по ссылке
    Код (Bash):
    openssl req -new -newkey rsa:1024 -nodes -keyout client01.key -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=User/CN=etc/emailAddress=support@site.com -out client01.csr
    где -subj ... это то что надо будет подставлять домине в $WSRU и что мы получим в $ssl_client_s_dn;
    следуя описанию http://nginx.org/ru/docs/http/ngx_http_ssl_module.html
    куда нагенеряться сертификаты клиентов - решаем сами :)
    но их надо преобразовать к p12:
    Код (Bash):
    openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 -passout pass:q1w2e3
    уж шобы совсем облениться
    Код (Bash):
    #!/bin/sh
     while read line
    do
    echo $line
    done <users.txt
    юзаем конструкцию, для кот. получаем файло из АК (с именами юзеров), например - поле shortname, кот. может использоваться для авторизации (д.б. доступно дефолтно, в домине)вместо эха, разумеется - ставим скрипты выше
     
  10. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    как не тестированный пример
    Код (Bash):
    #!/bin/sh
    while read line
    do
      echo $line
      openssl req -new -newkey rsa:1024 -nodes -keyout $line.key -subj $line -out $line.csr
      openssl ca -config ca.config -in $line.csr -out $line.crt -batch
      openssl pkcs12 -export -in $line.crt -inkey $line.key -certfile ca.crt -out $line.p12 -passout pass:q1w2e3
    done <users.txt
    [DOUBLEPOST=1437141864,1437141785][/DOUBLEPOST]пароль, можно брать из файла же, если туды его положить каждому юзеру свой
    [DOUBLEPOST=1437141982][/DOUBLEPOST]по типу http://stackoverflow.com/questions/27041059/shell-script-to-read-value-pairs-from-txt-file
     
  11. XiNoID

    XiNoID Well-Known Member

    Регистрация:
    4 сен 2007
    Сообщения:
    94
    Симпатии:
    0
    Ух. Спасибо, конечно. Но я вот в толк пока не возьму, какие сложности, эм, мне предстоят?


    Почитал и подумал...
    с openssl знаком по openvpn.
    Хммммм... я правильно понимаю, что....просто генерим сертификаты на стороне, а потом раздаем пользователям? Используя существующий механизм в домино?
     
  12. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    раздаем файлы
    генерим по самоподписанному сертификату либо по полученному (для сервера/сайта).
    если "на стороне" - про openssl, то - да, но в любых никсах он, практически, штатно установлен

    сложности в домине - отыскать правильный путь чтобы современные браузеры не посылали

    механизм с домино завязан на УЁ (получения клиентского сертификата), да еще, возможно хранит клиентские сертификаты хзгде/хзкак
    метод, описанный выше, позволяет вовсе не заморачиваться на скорость реакции ИБМ по внедрению заплаток и прочих свистоперделок - но действовать сообразно времени
    благо в ОСС мире заплатки выходят оперативно ;)

    Т.о. для домины надо формировать правильный ключ шифрования (kyrtool), затем как-то подписывать клиентские сертификаты..., уверен - способ есть, но он далеко не проще использования nginx + openssl
     
    #12 lmike, 18 июл 2015
    Последнее редактирование модератором: 18 июл 2015
  13. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    кстати по ссылке же - указан 2-ой путь, через... - фронт (но от ИБМ) ;) и только для винды
    [DOUBLEPOST=1437214624,1437214459][/DOUBLEPOST]обойти ввод пароля, но опять же - виндятко + УЁ, можно и используя настройку аутентификации в АД, что ИМХО - ну очень кастыльно
     
  14. XiNoID

    XiNoID Well-Known Member

    Регистрация:
    4 сен 2007
    Сообщения:
    94
    Симпатии:
    0
    Спасибо! А не могли бы вы рассказать про второй способ? Что за УЁ?
    Сейчас вылезла подробность, что сертификаты надо раздавать как можно более простым способом, т.к. пользователей много и частая ротация...
     
  15. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
  16. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    ну сложного ничего нет ;)
    https://msdn.microsoft.com/en-us/library/bb727068.aspx
    http://askubuntu.com/questions/27258/importing-pkcs12-p12-files-into-firefox-from-the-command-line
    http://stackoverflow.com/questions/1435000/programmatically-install-certificate-into-mozilla
    https://www.jasonpearce.com/2012/02/02/import-pfx-certificate-via-group-policy-preferences/
    http://ss64.com/nt/certutil.html

    хотя у нас, индусы, скрипт лепили и инструкцию, кот. только больше запутывала, правда - к нотусятине сертификат отношения не имел - встраивали в УЁ, для подписи в аутглюке (аутлук)
     
    #16 lmike, 20 июл 2015
    Последнее редактирование модератором: 20 июл 2015
Загрузка...

Поделиться этой страницей