|
|
|
Аутентификация пользователя по OID в SSL
|
|||
|---|---|---|---|
|
#18+
Здравствуйте! Возникла такая проблема: Имеем: Windows Server 2008 R2, IIS 7, КриптоПро CSP 3.6.1 - CSP + TLS. Надо: сделать в Веб-сервис, который должен работать по двустороннему TLS и работать только с клиентскими сертификатами, в которых, в EKU указан OID 1.2.3.4.5.6.7.8. Использование Сопоставления клиентских сертификатов по схеме «многие к одному» не канает, поскольку в iisClientCertificateMappingAuthentication при создание правил возможно осуществлять проверку только полей Issuer и Subject. Нашёл вот такую вещицу: ( http://www.trusted.ru/bbpress/topic.php?id=27918 ) Trusted TLS поддерживает возможность разграничения доступа по OID, указанным в расширении "Улучшенный ключ/Enhanced Key Usage (EKU)" клиентского сертификата. Настройки доступа к ресурсам по OID в Trusted TLS задаются в директиве SSLRequire. Дополнительно к стандартным опциям, описанным на сайте Apache, в Trusted TLS поддерживается опция "SSL_CLIENT_EKU", которая может быть задействована следующим способом: Код: plaintext 1. 2. Оно понятно, это ж Аппач!!! Но ведь судя по картинке : в сервере IIS роль Trusted TLS выполняет КриптоПро TLS! А можно ли КриптоПро TLS как то настроить подобным образом? Ну или мож кто посоветует в каком направлении то копать? А то бьюсь уже вторую неделю... Была идея в самом Web-сервисе, в коде, в методах выцепить клиентский сертификат, а там уже обрабатывать его как хошь. Но чо то он как то не выцепляется. А можно ли его вообще выцепить в Web-сервисе? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2010, 14:06:16 |
|
||
|
|
start [/forum/topic.php?fid=16&fpage=102&tid=1343634]: |
0ms |
get settings: |
9ms |
get forum list: |
20ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
81ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
22ms |
get tp. blocked users: |
1ms |
| others: | 237ms |
| total: | 389ms |
| 0 / 0 |
