Támogatást a digitális tanúsítványok az Internet böngészők - PKI bővítmények

Azt azonnal úgy döntött, hogy némi kutatást a témában az internetes böngészők működnek a digitális tanúsítványok - a szerver és a kliens, és még a kis dolgokat. Őszintén szólva, az otthoni felhasználóknak nem kell ilyesmi egyáltalán, de szükség lehet egy vállalati felhasználó. A tanulmány eredményei voltak az én kis meglepetés. De mi fog mozogni a sorban. Kezdeni egy témakörökre (legfrissebb változat idején kiküldetés):

Minden böngésző teszteltük a Windows 7 Enterprise x64. Mi van jelölve? A csekkek a következő:

Ennél a pontnál rájöttem csak támogatja az SSL 3.0 és a Standard SSL tanúsítványok. Semmi különös. Általában ez a de facto szabvány, és minden böngésző e bekezdés teljes szolidaritásáról :-)

Nagyon lényeges pont a vállalati szektorban. Mivel a belső portálok (különösen a SharePoint) használ felhasználóneveket Active Directory bejegyzéseket differenciálódása hozzáférési jogok az elemek és az oldalak a vállalati weboldal a Windows (vagy Integrated) hitelesítés. Enélkül a felhasználónak meg kell adnia minden egyes alkalommal meg felhasználónevét és jelszavát a belépésre, ami nagyon szomorú és nagyon bosszantó. És ha van ilyen átmenő azonosítást, a rendszer automatikusan elküldi hitelesítő (jellemzően Kerberos jegy, és nem felhasználónevét és jelszavát tiszta formában, mint egyesek szerint) a szerver. Természetesen a hitelesítő adatok megadása (bár titkosított), minden egy sorban - nem a legjobb ötlet ebben az életben. Ezért van néhány további mechanizmus, amely meghatározza, hogy ki küldhet nekik vagy sem. IE használja az Internet zóna, különböző helyeken. Alapértelmezésben Internet Explorer'u küldhetnek hitelesítő csak azokat az oldalakon, amelyek a terület Helyi intranet. Jellemzően a vállalati portálok adunk a zóna adminisztrátorok keresztül GPO. Az egyetlen állomás be van állítva a applet Internet Options vezérlőpulton.

Egyesek úgy vélik, hogy csak IE használhatja átmenő azonosítást az interneten. De ez nem igaz, mert a Google Chrome is használja az Internet zóna meghatározni, aki küld adatokat.

• Egyedi Windows / integrált hitelesítés végrehajtásához

Néha az életben ilyen helyzetekben, amikor a használata a bejelentkezési név és jelszó, hogy hozzáférjen a weboldal nagyon veszélyes (főleg, ha nagyon érzékeny információkat tárolnak a helyszínen). Felhasználói tanúsítványok lehet használni, hogy fokozza a hitelesítést. A felhasználó egyszerűen mutatja be, és ezzel hitelesíti a webkiszolgáló. Ismét az alapértelmezett felhasználói tanúsítványok által használt keresési rendszer felhasználói tanúsítványtárolójába (certmgr.msc). De ez nem szükséges (bár ajánlott), és lehet, hogy azok végrehajtását.

Elvileg támogatja ezt a funkciót (így vagy úgy) minden böngészőben. Azonban ez nem működik az Opera. Semmi. Gombok kell enni, de hogy ki a hibákat, és minden. Ezért Opera itt teszünk egy piros kereszt.

A legtöbb alkalmazás ami igazolások, használja a beépített Windows tanúsítványtárolójában határozza meg a hitelesség és használata felhasználói tanúsítvány. De böngészővel nem szigorú feltétel, habár nagyon hasznos, mert semmi extra nem kell beállítani.

Internet Explorer (meglepő, mi?), Google Chrome és az Apple Safai használjon szabványos tanúsítványtárolót. Mozilla Firefox és az Opera nem támogatja azt semmilyen módon.

Megjegyzés: ez azonban nem jelenti azt, hogy a Chrome és a Safari megmutatja egy zöld csík az Extended Validation SSL tanúsítványt. Ie ha a rendszer bízni a gyökér tanúsítvány (telepítve van egy tartályban Trusted Root CA), a Chrome és a Safari bízom őt is. De Zelenka (ha úgy van beállítva az Internet Explorer) nem jelenik meg.

mert egy standard tanúsítványtárolót nem szükséges a böngésző, a Mozilla Firefox és az Opera felhasználja a saját tároló, hogy érvényesítse a bizalom SSL tanúsítványok, valamint a használatát Ügyféltanúsítványok hitelesítés az interneten. Tehát, ha használni a belső tanúsítványokat (házasulandó saját CA), valószínűleg ők nem fognak működni ezek a böngészők, és akkor kell beállítani őket külön-külön, hogy ezek a böngészők bízni a tanúsítványt. Ami a felhasználói tanúsítványok ott kell exportálni a tanúsítványt az adattár PFX és importálja be a böngésző. Ez kényelmetlen, és általában rossz.

És most gyűjtjük az egészet egy szép táblázatot: