wb_editors
154
правки
(Отметить эту версию для перевода) |
N.maslov (обсуждение | вклад) |
||
(не показаны 2 промежуточные версии 2 участников) | |||
Строка 59: | Строка 59: | ||
<!--T:17--> | <!--T:17--> | ||
Далее на конроллере WB создаем запрос на сертификат устройства: | Далее на конроллере WB создаем запрос на сертификат устройства: | ||
<!--T:18--> | <!--T:18--> | ||
Для Wiren Board 7: | |||
<pre>openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:02:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr</pre> | |||
Для Wiren Board 6: | |||
<pre>openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:04:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr</pre> | <pre>openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:04:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr</pre> | ||
<!--T:19--> | <!--T:19--> | ||
В этой команде мы указываем, что запрос подписывается приватным ключом, находящимся в криптоустройстве ateccx08 ключом | В этой команде мы указываем, что запрос подписывается приватным ключом, находящимся в криптоустройстве ateccx08 ключом | ||
с идентификатором '''ATECCx08:00: | с идентификатором '''ATECCx08:00:02:C0:00''' и публичным именем wirenboard-AP6V5MDG. Запрос помещаем в файл device_AP6V5MDG.csr. | ||
<!--T:20--> | <!--T:20--> | ||
Строка 230: | Строка 237: | ||
''' | ''' | ||
== Проверка сертификатов на сервере с помощью nginx . == <!--T:36--> | |||
== | |||
<!--T:37--> | <!--T:37--> | ||
Строка 260: | Строка 266: | ||
</html> | </html> | ||
</pre> | </pre> | ||
Nginx в такой конфигурации удобно использовать на сервере перед реальным сервисом, которые не поддерживают проверку клиентских сертификатов. Для этого нужно настроить proxy_pass на сам сервис и, например, добавить в заголовки серийный номер контроллера через переменную <code>$ssl_client_s_dn</code> или весь клиентский сертификат целиком. | |||
== Добавление поддержки клиентских сертификатов к произвольным сервисам на контроллере == | |||
Часто программы на контролелере не поддерживают TLS совсем, либо не поддерживают указание клиентских сертификатов, либо не поддерживают работу с openssl engine. | |||
Можно отправить обращения от таких программ к серверу сквозь локальный прокси, который будет оборачивать трафик в TLS с использованием аппаратных ключей. | |||
Вместе с рецептом из предыдущего пункта, это позволяет реализовать аутентификацию по аппаратному ключу практически для любого клиент-серверного ПО. | |||
<!--T:41--> | <!--T:41--> |