NOTA BENE - ROZPRACOVÁNO - Vaše příspěvky a úvahy
Pro Technologii Báze znalostí - Pro Technologii Báze znalostí - přehled
česky | english
1. Technologická báze znalostí - Klientské Certifikáty - časté dotazy
- Klientské certifikáty pro bezpečné přihléšení (identifikaci) a zašifrování (soukromí).
Contents
- 1. Technologická báze znalostí - Klientské Certifikáty - časté dotazy
- 2. Přehled
- 3. CAcert
- 4. Aplikace
- 5. Modifikace softwaru pro použití klientských certifikátů
-
6. Časté otázky a Různé - klientské certifikáty - řešení problémů
- Můj prohlížeč Internet Explorer hlásí chybu číslo "-2146885628" (nebo podobné)
- Kde je můj privátní klíč? Jak ho mohu použít na jiném počítači?
- Obnova klientských certifikátů pomocí FireFoxu
- Kde je soubor PKCS12? - Mám pouze soubor PEM, který tvrdí, že je pouze pro "smartcard"
- "Windows does not have enough information to verify this certificate"
- My cert is in the browser but not my email client - what now?
- How to enable Client Cert authentication in your Web-Applications
- I want to use Class3 Cert under older Windows System
- iOS won't let me select CAcert client certificates for e-mail signing / encryption
- 7. How can I use Client Certificates like SSH?
- 8. Further References
- 9. Inputs & Thoughts
2. Přehled
Šifrování
- Většina e-mailů a okamžitých zpráv je nezašifrovaná, takže se podobají pohlednicím. To znamená, že lidé s přístupem k síti si je mohou přečíst. To často zahrnuje i přístup k bezdrátovým sítím, které používáte, zaměstnance Vašeho poskytovatele služeb Internetu (ISP), ty, kteří provozují Vámi používané služby, vládní úřady a další.
- Vaše klientské certifikáty CAcert Vám mohou zařídit bezpečnější používání Internetu tím, že Vám umožní vytvářet e-maily a okamžité zprávy, které jsou během celého přenosu zašifrovány, a také tím, že vám umožní přihlásit se na webové stránky bezpečnějším způsobem, než je použití hesla.
Identifikace (Authentication)
- Klientské certifikáty lze také použít k identifikaci (přihlášení, log in) uživatele k webu. Ve srovnání s obvyklým přihlášením heslem to má své výhody:
Ochrana před prolomením: certifikáty X.509 je mnohem těžší prolomit než typická hesla.
Ochrana před nepřátelským operátorem systému (SysOp): Ačkoli obvykle musíte zadat přístupové heslo k úložišti certifikátů svého prohlížeče, toto heslo se nikdy neposílá po síti, přímé ani zašifrované! Proto se jako uživatel webu nemusíte starat o nepřátelské operátory, kteří by si mohli Vaše heslo uložit nezašifrované.
Ochrana před spamery: Jako majitel webu, který přijímá pouze certifikáty vydané CAcert, které obsahují skutečné jméno, nemusíte mít obavy z velkého množství účtů vytvářených spamery. CAcert zajišťuje, že takové certifikáty jsou vydány pouze skutečným osobám, které mají pro vložené jméno oficiální doklady totožnosti.
- Můžete také podepisovat zprávy a elektronické dokumenty.
3. CAcert
Systémy s klientskými certifikáty
- U CAcert jsou nyní klientskými certifikáty (v tabulce: CC) podporovány tyto systémy:
URL
Název systému
typ použití
poznámky
software
hlavní on-line systém pro uživatele CAcert
Pouze CC
Přihlášení klientským certifikátem. Klik na Přihlášení certifikátem. "Normální" přihlášení heslem bez klientského certifikátu je možné jen na www.cacert.org.
CAcert
CAcert blog
CC pro zápis, čtení je volně přístupné
Používá klientské certifikáty pro přidávání poznámek, psaní příspěvků atd. Klik na Přihlášení. Zařídí bez spamu.
CATS - CAcert Automated Testing Service
Pouze CC
Náš pověstný test Výzva zaručovatele. Když test úspěšně dokončíte, CATS oznámí CAcertu pořadové číslo Vašeho certifikátu a Váš účet obdrží značku PASS.
CATS od CAcert
Seznamy adresátů (Maillists)
CC a heslo
Pro nastavení Vaší účasti v seznamech.
sympa.org
Přihlášení certifikátem SympaHlasovací systém
CC je nutný pro hlasování, čtení je volně přístupné
Výbor používá tento systém k zápisu svých návrhů a výsledků hlasování.
Na zakázku
- Všechny výše uvedené systémy provozuje přímo CAcert. Přidejte systémy provozované zaručovateli:
URL
Název systému
typ použití
poznámky
software
Jak od CAcert získáte svůj klientský certifikát
- Než Vám budou uvedené weby fungovat, musíte si vytvořit klientský certifikát a importovat ho do svého webového prohlížeče.
Přihlaste se k webu CAcert na Přihlášení heslem (nebo Přihlášení certifikátem, když už klientský certifikát máte) a zvolte "Klientské certifikáty -> Nový".
- Vyberte svoji výchozí (hlavní) e-mailovou adresu a stiskněte "Další".
- "Úroveň bezpečnosti: vysoká" (2048 bitů) nevadí, jen stiskněte "Vytvořit certifikát".
- Chvíli počkejte a klikněte na odkaz pro import certifikátu (prohlížeče ho zpracovávají různě, so click around).
- Vyzkoušejte ho přechodem na výše uvedené servery.
- Nezapomeňte si vytvořit bezpečnou zálohu svého nového certifikátu (včetně privátního klíče).
Jak získat více e-mailových adres pro svůj klientský certifikát CAcert
- Přihlaste se k webu CAcert (viz předchozí sekce - přihlášení heslem nebo certifikátem)
- Zvolte E-mailové účty - Zobrazit
- Jsou zde definovány všechny e-mailové adresy, které chcete přidat ke svému klientskému certifikátu?
- Pokud ne, přidejte ke svému účtu CAcert pomocí "E-mailové účty - Přidat" tolik e-mailových adres, kolik chcete později přidat ke svému klientskému certifikátu CAcert.
- Ověřte přidané e-mailové adresy. Ke klientskému certifikátu mohou být přidány jen ověřené e-mailové adresy.
Jak získat klientský certifikát CAcert někoho jiného
- Pro použití zabezpečeného e-mailu vyžaduje S/MIME, abyste získal(a) certifikát každé osoby jednotlivě. Typicky požádáte tu osobu, aby Vám poslala digitálně podepsaný e-mail. Její certifikát uložený v podepsané zprávě bude pochopitelně obsahovat POUZE VEŘEJNÝ klíč. Nenuťte ji, aby Vám předala nějaký svůj záložní soubor se svým privátním klíčem.
Další informace viz Servery klíčů klientských certifikátů.
4. Aplikace
- Svoje klientské certifikáty použijete v mnoha aplikacích k mnoha účelům. Zde jsou některé příklady:
E-mailové klienty
Osobní e-mailové certifikáty - jak je konfigurovat a jak je používat.
Webový prohlížeč
Můžete se přihlásit na kterýkoli web OpenID s identifikací svým klientským SSL certifikátem CAcert a používat jakýkoli OpenID software nebo službu, která podporuje SSL Certifikáty, například certifi.ca. Viz OpenID, kde najdete více o vyvíjejícím se přístupu CAcertu k němu.
Klientský certifikát můžete použít i ve svém webovém prohlížeči k přímé identifikaci při přihlášení k některým webům. CATS Výzva zaručovatele je jedním z nich; tento web vyžaduje, abyste měli klientský certifikát CAcert. Viz výše, kde je jich uvedeno více.
Zrady
- Použití klientských certifikátů k přihlašování je (technicky) bezpečnější, než použití hesel, ale jsou tu nějaké nečekané zrady:
- Certifikát vyprší každé 2 roky (platí pro zaručené členy), takže pak musíte být schopni se přihlásit k CAcert a získat nový (obnovit ho).
Certifikáty (přesněji: privátní klíče uložené ve Vašem prohlížeči) by měly mít zálohu. Zvláště pak, představují-li jediný způsob, jak získat přístup k některým webům; a ten přístup ztratíte, dojde-li k poškození hardwaru nebo softwaru Vašeho počítače.
Prohlížeče jako Firefox zacházejí s více certifikáty obzvlášť špatně. Měl(a) byste raději mít jeden a pouze jeden certifikát, protože ten prohlížeč v současném stavu skutečně nemůže poskytnout vyhovující rozhraní, abyste spárovali navštěvované weby se správným certifikátem.
- Použití certifikátů znamená, že předkládáte navštěvovanému webu životaschopnou a ověřenou identitu; znamená to, že web může poznat, kdo jste a tu informaci si uložit. To představuje určitý vliv na soukromí.
- Weby nemají často jasno v tom, jak implementovat klientské certifikáty. Je pravda, že to není snadné, protože v jejich podkladové architektuře (například operačních systémech) bývají chyby. Některé weby trvají pouze na klientských certifikátech a dají Vás na divné místo, když je nemáte. Jiné weby zkoušejí směšovat použití klientských a ne-klientských certifikátů a otevírají tak dveře zmatku a závadám bezpečnosti. V současnosti neexistuje jediné správné řešení.
- Ze všech těchto důvodů byste si měl(a) heslo pro CAcert napsat a uschovat na bezpečném místě.
Okamžité zprávy (Instant Messaging, IM)
- Většina běžných klientů Instant Messaging pro Jabber, MSN, AIM, ICQ, atd. standardně Vaše zprávy nešifruje. Ale někdy je můžete zašifrovat Vy.
- Příklady
- S/MIME (CAcert certifikát) - plánován pro Jabber; předpokládá se spolupráce s AIM
- GPG/PGP - psí [asi řecké písmeno] Jabber klient; kopete
OTR - Pidgin (původně známý jako Gaim); adium; Jabber Proxies
Poznámka: proskočily zprávy, že AOL uplatňoval právo použít Vaše zprávy AIM k libovolným účelům, ale prý to bylo nedorozumění: http://www.snopes.com/computer/internet/aim.asp
OpenSSH
- Použití Vašeho klientského certifikátu CAcert k přihlášení pomocí SSH (v Linuxu):
- vygenerujte si klientský certifikát
- exportujte ho do souboru typu PKCS12 ( například do /home/user/MyCert.P12 )
- konvertujte ho do PEM ( openssl pkcs12 -in /home/user/MyCert.P12 -out /home/user/.ssh/id_rsa )
- Poznámka: PEM je způsob kódování, Privacy Enhanced Mail (e-mail s vylepšeným soukromím); je to kontejner, který může obsahovat buď jenom veřejný certifikát, nebo celý řetězec certifikátů včetně kořenových a privátního klíče.
- zabezpečte soubor PEM, který jste si vytvořil(a) ( chmod 600 /home/user/.ssh/id_rsa )
- vytvořte veřejný klíč použitelný pro SSH ( run ssh-keygen -y )
- vložte výstup ( ssh-rsa .... ) do .ssh/authorized_keys2 na každém serveru, kde chcete tento klíč použít
Šifrovací aplikace
Poznámka: CAcert neposkytuje podporu pro následující produkty; my pouze vydáváme certifikáty!
Balíček open-source pro více platforem: Cryptonit
Podepisování dokumentů
OpenOffice od verze 2.0 je schopen podepisovat dokumenty. Čtětewiki pro OpenOffice.
- "Podepisovatel dokumentů PDF" - přidat!
SVN
Viz Janův Průvodce klientskými certifikáty SVN, což je malý průvodce krok za krokem, jak nastavit klientské certifikáty v:
- OpenSSL, GNUTLS nebo Firefox pro vytvoření certifikátu
- Klient příkazového řádku Subversion (Podvraťák), TortoiseSVN nebo Eclipse jako klienty
Všimněte si také dokumentu Poznámky místního sysadmina, a nějaaké poznámky jsou i v BirdShack wiki (už je zase on-line).
OpenSSL
5. Modifikace softwaru pro použití klientských certifikátů
Není v podstatě snadné používat klientské certifikáty, pokud je software na straně serveru skutečně nepřijímá a nepoužívá. To znamená, že potřebujeme získat mnoho takových běžících serverů a dokumentovat metody, kterými by se ostatní řídili. Tato sekce představuje index nám známých zkušeností. Můžete nám s tím pomoci: nastavte svůj systém pro používání klientských certifikátů a dokumentujte, jak to šlo!
OpenID
Jestliže Vaše webová aplikace nebo celý web podporuje OpenID, mohou lidé použít server OpenID, který podporuje použití jejich klientských certifikátů CAcert, když používají Vaši webovou aplikaci nebo web. Viz OpenID - poskytovatelé a informace.
Apache
Viz Návod k Apache, který napsal DanielBlack, o tom, jak nastavit Apache pro práci s klientskými certifikáty.
dotProject alternativní pohled: MarkusWarg
diskusní fórum phpBB (verze 3)
- Můžete nechat uživatele svého diskusního fóra přihlašovat se certifikáty. Doplnění původního kódu je jednoduché (prosím požádejte komunitu phpBB udělat z toho standardní funkci). Přidejte k plug-inu své autority tento kód (standardně includes/auth/auth_db.php)
function autologin_db() { global $db, $config; if ($_SERVER[SSL_CLIENT_VERIFY] == "SUCCESS") { $sql = "SELECT * FROM " . USERS_TABLE . " WHERE user_email = '" . $db->sql_escape($_SERVER[SSL_CLIENT_S_DN_Email]) . "'"; $result = $db->sql_query($sql); $row = $db->sql_fetchrow($result); $db->sql_freeresult($result); if ($row) { return $row; } } return array(); }
Povolení klientských certifikátů pro .project
Zajímá-li Vás sledovat, jak vytvořit nástroj Open Source Project Management .project (http://www.dotproject.net) pracující s klientskými certifikáty, podívejte se na Technologii, bázi znalostí, dotProject.
6. Časté otázky a Různé - klientské certifikáty - řešení problémů
Můj prohlížeč Internet Explorer hlásí chybu číslo "-2146885628" (nebo podobné)
- Skoro všechna chybová hlášení ohledně instalací certifikátů jsou výsledkem toho, že lidé nemají odpovídající privátní klíč, nebo u přihlášení certifikátem není možno spárovat klíč s platným certifikátem přijatelným pro CA.
Důvodem je v zásadě, že si lidé reinstalují na svém počítači různé věci (komponenty, aplikace,...), nebo střídají různé prohlížeče a neuvědomují si, že my neudržujeme kopie privátních klíčů, které by si mohli později stáhnout z našeho webu spolu se svým certifikátem.
Kde je můj privátní klíč? Jak ho mohu použít na jiném počítači?
Váš privátní klíč je vygenerován Vaším prohlížečem, tedy UVNITŘ Vašeho prohlížeče, když požadujete nový certifikát od CAcert. Takto CAcert nikdy nedostane Váš privátní klíč do svého vlastnictví. Pro Vás to má ten důsledek, že pro práci se získaným certifikátem musíte být na stejném stroji a se stejným prohlížečem, jako když jste vytvářeli počáteční žádost o certifikát; jen tak máte přístup k odpovídajícímu privátnímu klíči. Proto si musíte pamatovat, zda to byl Váš počítač v zaměstnání ("pracovní stanice"), nebo Váš "domácí" počítač.
[Toto je zároveň půvab celé metody RSA a poučka k pamatování: "Privátní klíč nesmí*) opustit počítač, kde vznikl." *) jen výjimečně z uložené zálohy. Také je dobré vědět, že z veřejného klíče nelze odvodit privátní klíč a naopak - to již z principu metody RSA (zkratka pochází z příjmení tří autorů: Ron Rivest, Adi Shamir and Leonard Adleman).]
- Vaše klíče jsou obsaženy v něčem, co se nazývá "úložiště" klíčů. Můžete exportovat páry klíčů (veřejný+privátní) ze svého úložiště do souboru a nepovinně (ale plně doporučeno!) je zabezpečit heslem. To lze typicky provést v sekci "Správa certifikátů" Vašeho prohlížeče (například Firefoxu) a pak si pořídit "zálohu" Vašeho klíče. Tak vznikne soubor s příponou .p12 nebo .pfx - obsahuje celý pár klíčů [minimálně privátní klíč a certifikát s veřejným klíčem a s údaji o Vás).
- Můžete pak jít do jiné aplikace, která používá klientské certifikáty (například Thunderbird, IM, atd.) a použít její "Správu certifikátů" k "Importu" předtím vytvořeného souboru .p12 - po zadání správného hesla bude nyní Váš veřejný a odpovídající privátní klíč k dispozici v nové aplikaci.
Je velmi zajímavé vygenerovat klíče a Váš certifikát CAcert na kartu "smartcard". Je to moudrý a dobrý způsob, jak ochránit Vaše klíče. Nezapomeňte věak, že nebudete moci exportovat privátní klíč - viz CryptoHardware
Obnova klientských certifikátů pomocí FireFoxu
Dnes jsem musel obnovit svůj aktivní klientský certifikát s pořadovým (sériovým) číslem cc9f, postupoval jsem takto:
- Šel jsem na web www.cacert.org
Přihlásil jsem se svým dnes ještě platným klientským certifikátem s poř. č. cc9f
Šel jsem do menu Klientské certifikáty, položky Zobrazit
Vybral jsem (zaškrtl) certifikát se sériovým číslem cc9f a stiskl tlačítko Obnovit
Až sem to šlo. Nefungovala však nabízená instalace do IE5, kopie/vložení ascii-kódovaného certifikátu do textového ascii souboru, jeho přejmenování na signedKeyfile.crt (později přejmenován -> new-pub-signed-11e7e.cer) a pokus o import do úložiště klíčů FireFox také nefungoval:
The downloaded signed key doesn't include the private key!!! (Stažený podepsaný klíč neobsahuje privátní klíč!)
a FireFox mi nedovolil importovat podepsaný klíč snadnou cestou
Potřebné kroky pro obnovu funkčnosti obnoveného certifikátu: (pro srozumitelnost budu nazývat "starý" klíč cc9f a nový klíč 11e7e, také odkazy na privátní a public [veřejný] klíč)
exportujte privátní klíč z "starého", stále existujícího a platného, neodvolaného klientského certifikátu cc9f do úložiště klíčů FireFoxu
uložte jako .p12 -> step1-export-priv-pub-key-cc9f.p12
- Konvertujte pomocí openssl soubor PKCS#12 (.pfx .p12), obsahující privátní klíč a certifikáty, do tvaru PEM
- Můžete přidat -nocerts pro výstup pouze privátního klíče, nebo -nokeys pro výstup pouze certifikátů.
openssl pkcs12 -in step1-export-priv-pub-key-cc9f.p12 -out step2-convert-priv-pub-to-priv-key-cc9f.pem -nodes -nocerts
Výsledek je v souboru step2-convert-priv-pub-to-priv-key-cc9f.pem, který obsahuje pouze privátní klíč od "starého" certifikátu cc9f, který musíme v dalším kroku sezdat s novým (obnoveným) podepsaným veřejným klíčem [z toho plyne, že se při obnově klíče nemění ani negenerují nové]
- Můžete přidat -nocerts pro výstup pouze privátního klíče, nebo -nokeys pro výstup pouze certifikátů.
- Sloučení priv + pub do nového souboru .pfx
openssl pkcs12 -export -out my-11e7e-Priv-Pub.pfx -inkey step2-convert-priv-pub-to-priv-key-cc9f.pem -in new-pub-signed-11e7e.cer -name "key11e7e"
Výsledný výstupní soubor je my-11e7e-Priv-Pub.pfx, který obsahuje privátní klíč z předchozího páru klíčů cc9f a veřejný klíč z obnoveného, podepsaného klíče s novým sériovým číslem (zde 11e7e)
Nový "sloučený" privátní + veřejný klíč my-11e7e-Priv-Pub.pfx můžete nyní použít pro zpětný import do Vašeho prohlížeče, e-mailových klientů a dalších programů
Nápomocný odkaz s užitečným popisem a několika uvedenými příkazy openssl: Jak konvertovat certifikáty mezi tvary PEM, DER, P7B/PKCS#7, PFX/PKCS#12
Kde je soubor PKCS12? - Mám pouze soubor PEM, který tvrdí, že je pouze pro "smartcard"
openssl pkcs12 -export -in cert.pem -inkey private.key -certfile /etc/ssl/certs/root.pem -name "Bob's CAcert" -out cert.p12
"Windows does not have enough information to verify this certificate"
- [Q] I am using win2000 and outlook from office 2000. I installed my certificate using IE and went to outlook - options - security - settings to choose the cert that I installed. The trouble I'm having is that when I try to send a signed and encrypted E-mail, I get an error that the cert is not valid. When viewing the cert in outlook, it states that "windows does not have enough information to verify this certificate"
[A] It sounds like you might be missing the CAcert Root certificate and/or you have it, but have not "trusted" it yet. You can pick up a copy at: https://www.cacert.org/index.php?id=3
- Once it is installed, check to see if it is trusted. That will hopefully solve the error you're getting with your personal cert.
- [A] Each email address that you are sending too in outlook needs to have a public certificate assoicated with it. To get that certificate for the person you are trying to send an encrypted message to have them send a signed email to you.
- When you recieve that email right click on the senders address (not the email itself). Select add to contacts. This will install the public certificate for you to use when sending emails. You can see that certificate by selecting the certificates tab on the top of your contact information.
- If this person is already in your contact list then do the following:
- Right click the senders address (not the email itself). Select add to contacts. Select the certificates tab. highlight the certificate and select export. Change the name to something you will recognize and select a location you will remember, enter a password and save. Close the new contact and do not save the changes (this removes the duplicate contact). Right click the senders address (by now you should recoginize the pattern) select lookup contact. select the certificates tab and import the certificate using the path, name and password you just entered. You should be able to send encrypted messages to that address now.
My cert is in the browser but not my email client - what now?
- [Q] I tried to install my e-mail cert into Mozilla Thunderbird (the latest as of today) and somehow could not sign a message. Thunderbird tells me that I first have to set up my certificates (hey - I did that! and I verified that the cert is there, including the CA root) and if I want to learn how to do that - sure I say yes - the dialog goes away and nothing happens.
[A] You need to export the certificate and private key from your browser; just importing the certificate is only half the information needed to encrypt/sign emails. CAcert never gets (or even wants) a copy of your private key. (See topic 3.1 for more details)
How to enable Client Cert authentication in your Web-Applications
There is another PHP example including details on Apache configuration.
- Unfortunately client authentication does not seem to work when SSLCACertificatePath option in Apache2 is used. This seems to be default configuration for example in Ubuntu. To fix it:
- change
- SSLCACertificatePath /etc/ssl/certs/
- to
- SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
- in your apache configuration files and it works again..
If you need a CA-Bundle for your webserver, you can get one, which has CAcert included here: http://www2.futureware.at/svn/sourcerer/CAcert/ca-bundle.zip
Unanswered question: How do I simply add CAcert to my existing ca-bundle? Answer: Get the CAcert root certificates (both Class1 and Class3), open them in a Text-Editor, and copy&paste them into the ca-bundle, for example at the end of the file.
For the following example, you have to set SSLVerify to "optional" or "required" in your Apache configuration. "required" forces the browser to show a certificate, and does not give access to the Vhost (or directory), unless the client presents a valid certificate. "optional" accepts certificates optionally, so the client can also access the vhost without a certificate. When you set SSLOptions to +CompatEnvVars +StdEnvVars then mod_ssl will put all interesting details into the environment variables, which are easily accessible from any programming language:
$ca=""; if($ENV{'SSL_CLIENT_VERIFY'} and $ENV{'SSL_CLIENT_VERIFY'} eq "SUCCESS") { if($ENV{SSL_CLIENT_I_DN_OU} eq "http://www.cacert.org") { $ca="CAcert"; } if($ca and $ENV{SSL_CLIENT_S_DN_Email}) { $auth="email+clientzert"; $authuser=$ENV{SSL_CLIENT_S_DN_CN}; $authemail=$ENV{SSL_CLIENT_S_DN_Email}; print "Welcome $ENV{SSL_CLIENT_S_DN_CN} (<a href=\"mailto:$ENV{SSL_CLIENT_S_DN_Email}\">)!<br/>"; }
I want to use Class3 Cert under older Windows System
If you experiences problems using the new Class3 Subroot and creating class3 client certificates, probably your older Windows system (Windows XP, Windows 2003) does not have the patch Microsoft Base Smart Card Crypto Provider (KB909520) installed.
- KB909520 installs support for sha256 and other crypto providers like AES128, AES192, AES256 and more
Further infos about crypto providers under Windows read MSDN library article CryptoAPI Cryptographic Service Providers
iOS won't let me select CAcert client certificates for e-mail signing / encryption
I was unable to select client certificates signed by CAcert for S/MIME signing and encrypting of e-mails. Multiple certificates (generated using IE 10.0.10 and Opera Next 17.0; including or excluding name; class 1 or class 3) had been created and installed by various means including the iPhone Configuration Utility method. This method is similar to the method described here, which didn't work for me as the configuration utility did not let me choose any certificates in steps 30 and 31.
- In a new approach, I used Firefox 24.0 to generate the certificate and exported a .p12-file from its certificate manager. After transfering this file to my iPhone, I was able to install the certificate and utilize it to sign and encrypt e-mails
7. How can I use Client Certificates like SSH?
- For your Apache configuration:
SSLOptions +ExportCertData +CompatEnvVars +StdEnvVars SSLVerify optional_no_ca
- The application:
$ca=""; if($ENV{'SSL_CLIENT_VERIFY'} and $ENV{'SSL_CLIENT_VERIFY'} eq "SUCCESS") { echo $ENV{SSL_CLIENT_KEY}; }
8. Further References
the Apache Tutorial by DanielBlack on how to set up Apache with client certs.
the dotProject for an alternate view by MarkusWarg
Iang's Lightning Talk on Client Certificates and SSO - the Old-New Thing for Fosdem 2010.
Slides at ODP source and PDF output.
youTube video of talk.
the Eccentric Project by Guido Witmond uses client-certs in a website-as-own-CA configuration to authenticate all members to all other members on a psuedonymous basis.
9. Inputs & Thoughts
YYYYMMDD-YourName
Text / Your Statements, thoughts and e-mail snippets, Please
YYYYMMDD-YourName
Text / Your Statements, thoughts and e-mail snippets, Please