Re: Аутентификация на www

vas пишет:
Николай Фатеев пишет:
Andrey Y. Ostanovsky пишет:

Т.е. можно будет генерировать certificate request для openssl с неизвлекаемыми ключами непосредственно на базе токена?

Именно так.

А под какими ОС такое будет возможно? Интересует FreeBSD.

Увы, под фрей сие (заливка данных в токены и работа с ними) будет возможно ой как не скоро. Понятно, что сама генерация ключей и сертификатов, как и упаковка в транспортный контейнер pkcs12 может делаться под любой системой. :)

kernel: ugen0: Aktiv Co. ruToken, rev 2.00/1.00, addr 2 - вот так оно "видится", но нужно все это причесывать под

openct   A middleware framework for smart card terminals

Следующие грабли - не рабочие so-шки под FireFox. Оно у меня и под виндой-то отказалось работать. Насколько я понимаю - проблема не столько конкретного ключа, сколько реализации этого механизма в самом FireFox. С Rainbow i-key - тоже не работает.

Re: Аутентификация на www

Andrey Y. Ostanovsky пишет:
vas пишет:
Николай Фатеев пишет:

Именно так.

А под какими ОС такое будет возможно? Интересует FreeBSD.

Увы, под фрей сие (заливка данных в токены и работа с ними) будет возможно ой как не скоро.

OpenCT + OpenSC уже поддерживают Rutoken S (http://rutoken.ru/products/rt4nix/), а OpenCT и OpenSC работают в FreeBSD.

(2008-05-15 10:53:49 отредактировано Andrey Y. Ostanovsky)

Re: Аутентификация на www

_S пишет:

OpenCT + OpenSC уже поддерживают Rutoken S (http://rutoken.ru/products/rt4nix/), а OpenCT и OpenSC работают в FreeBSD.

Ох уж эти сказочники... :)

ugen0: Aktiv Co. ruToken, rev 2.00/1.00, addr 2

# opensc-tool  --list-readers
Readers known about:
Nr.    Driver     Name
0      openct     OpenCT reader (detached)
1      openct     OpenCT reader (detached)
2      openct     OpenCT reader (detached)
3      openct     OpenCT reader (detached)
4      openct     OpenCT reader (detached)

В то же время:

# opensc-tool  --list-readers
Readers known about:
Nr.    Driver     Name
0      openct     Rainbow iKey 3000
1      openct     OpenCT reader (detached)
2      openct     OpenCT reader (detached)
3      openct     OpenCT reader (detached)
4      openct     OpenCT reader (detached)

Re: Аутентификация на www

Andrey Y. Ostanovsky пишет:
_S пишет:

OpenCT + OpenSC уже поддерживают Rutoken S (http://rutoken.ru/products/rt4nix/), а OpenCT и OpenSC работают в FreeBSD.

Ох уж эти сказочники... :)

# ifdhandler -Fddddddd rutoken usb /proc/bus/usb/XXX/YYY
Что выводит?

Andrey Y. Ostanovsky пишет:
ugen0: Aktiv Co. ruToken, rev 2.00/1.00, addr 2

У вас Rutoken S?

Re: Аутентификация на www

Николай Фатеев пишет:

В текущей версии Rutoken аппаратно реализован лишь симметричный ГОСТ. Летом мы выпускаем токен, в котором будут аппаратно реализованы RSA  и ассиметричный ГОСТ.

И как сейчас с этим?

Re: Аутентификация на www

Железка готова. Делаем ПО. Думаю, на осенних выставках продукт будет анонсирован для широкой общественности.

Re: Аутентификация на www

Боюсь показаться навязчивым, но где? :)

Re: Аутентификация на www

Уже есть APDU-комманды. API все еще в работе.

Re: Аутентификация на www

Добрый день.
В поиске обнаружил сей топик, он вроде близок к моему вопросу.
Возникло желание иметь следующую схему:
Есть веб сервер apache (win и linux инсталяции) (если схема способна работать и с iis былобы вообще замечательно) и какойто сайт на нём. Сайт естественно доступен через https.
Также есть rutoken и компьютеры под управлением windows.

Собственно что хочется, чтобы пользователи могли попадать на сайт только если токен вставлен в данную машину. Если невставлен - соотвественно непопадать.

Вроде как речь тут идёт о чём-то подобном.

Где можно почитать как такое можно заиметь работая с вашими токенами?

(в идеале кончено ещё бы чтобы за счёт ключа получать сразу и аутентификацию юзера без лишних запросов к примеру на ввод логин пароля на какие-то части на сайте. Ну и конечно интересно есть ли вариации подобного на случай если клиенты работают на Linux системе)

Re: Аутентификация на www

Здравствуйте.
Возможность ограничить доступ к сайту при помощи сертификатов на "ruToken" существует.
В нашем комплекте "Рутокен для Windoows" есть набор инструкций по настройке аутентификации пользователей при доступе к защищенному веб-сайту.

Re: Аутентификация на www

Здравствуйте!
Проблема такая: возникла необходимость установить сертификат пользователя заново. Дискетка, на которой он предположительно находился, потерялась. Нужно сделать импорт сертификата с токена (бланк сертификата со всеми реквизитами есть). Расскажите, пожалуйста, по шагам, как сделать импорт сертификата с токена? спасибо!

Re: Аутентификация на www

Lelyuh пишет:

Здравствуйте!
Проблема такая: возникла необходимость установить сертификат пользователя заново. Дискетка, на которой он предположительно находился, потерялась. Нужно сделать импорт сертификата с токена (бланк сертификата со всеми реквизитами есть). Расскажите, пожалуйста, по шагам, как сделать импорт сертификата с токена? спасибо!

Какой именно сертификат требуется импортировать (Windows, КриптоПро и т.д.)?

Re: Аутентификация на www

Доброе время суток!
Не решился создавать отдельную тему, т.к. постановка вопроса такая же, как в первом сообщение: планируется поставить веб-сервер Apache на Linux и аутентифицировать клиентов по сертификату в токене.
1) Требуется ли какое-нибудь дополнительное ПО (по сравнению с использованием обычных файлов-сертификатов) на стороне сервера?
2) На стороне клиента при запросе сертификата, сертификат с токена сам появится в списке или его надо предварительно установить в локальное хранилище?
3) Нужно ли на клиенте (WinXP/7) устанавливать что-либо, кроме драйверов к токену?
4) Для загрузки сертификатов в токен достаточно утилиты "Браузер сертификатов rtCert"?
Работал раньше с КриптоПро - реализация такой схемы была не самой тривиальной, в том числе на стороне неопытного пользователя, потому хочется знать, насколько просто это реализовать с помощью токена.

Re: Аутентификация на www

1) По сравнению с использованием файлов-сертификатов дополнительного ПО на сервере вам не понадобится.
2) В случае если на клиентской машине работает служба Certificate Propagation, сертификат сам окажется в личном хранилище.
3) нет, драйверов Рутокен вполне достаточно
4) да

Re: Аутентификация на www

Спасибо за быстрый ответ
По поводу п.2 - служба Certificate Propagation, кажется, появилась с Висты. Значит в XP всё же ручками надо сертификат с токена устанавливать?