Subject: Deutschsprachige CAcert Support Liste
List archive
- From: Andre Klärner <kandre AT ak-online.be>
- To: cacert-de AT lists.cacert.org
- Subject: Re: Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat
- Date: Thu, 16 May 2013 19:23:00 +0200
Moin Jürgen,
On Thu, 16 May 2013 at 10:18:53 +0200, Juergen Bruckner wrote:
> > Kann man Webmin nicht einfach "hinten herum" das CA-Zertifikat z.B. durch
> > ein CACert-Root-Zertifikat austauschen? Abgesehen davon, dass dann jeder
> > CACert-User wohl Zugriff bekommt sollte das ja gehen. Wie handelt Webmin
> > es denn mit seinen eigenen Zertifikaten? Läuft da noch irgendein Skript,
> > das
> > spezielle Voraussetzungen innerhalb des Cert abprüft?
> >
> Das mit dem CAcert Root habe ich schon versucht, Ergebnis war kein Zugriff
> auf Webmin mehr - auch nicht mit User/Pass :(
>
> Es wird von Webmin so gehandelt, dass man jedem einzelnen Benutzer sein
> Zertifikat zuordnet, also das crt-file beim Benutzer hinterlegt.
Mit den regulären Methoden, also HTTPS und Aushandlung des Zertifikats in
der Anfrage, sowie einem im Browser gespeicherten Zertifikat?
> Aus meiner Sicht, wird bei/durch Webmin nur geprüft ob das präsentierte
> Zertifikat einem Webmin-Benutzer zugeordnet ist oder nicht; falls Ja, wird
> der Benutzer angemeldet, sonst kommt einfach eine Fehlermeldung.
> Allerdings akzeptiert Webmin da anscheinend nur die Zertifikate, die durch
> die CA welche in Webmin integriert ist ausgestellte wurden.
Hast du dir mal angesehen was das Coding dort genau für Tests anstellt,
evtl was die Unterschiede zwischen den CACert-signed Zertifikaten und denen
von Webmin ist?
Kannst du mal ein Webmin-erzeugtes Zertifikat anhängen (bzw das "openssl
x509 -text" davon)?
> Aber, es besteht die Möglichkeit ein CAroot zu hinterlegen, damit sich
> Benutzer eines anderen 'Webmin' Servers mit dem dort ausgestellten
> Zertifikat anmelden können.
> Und das kapiere ich da nicht ganz, weil in diesem Fall, ja eigentlich auch
> die CAcert - Roots akzeptiert werden müssten, was aber nicht der Fall ist
Kann es sein, dass Webmin z.B. den Nutzernamen in dem erzeugten Zertifikat
hinterlegt oder andere Techniken verwendet, um die Nutzer dann nach hinten
zuordnen zu können?
> > Ich hab z.B. mein OpenVPN mit verify-cn und CACert-Zertifikaten am laufen
> > und lasse nur bestimmte E-Mails in den Zertifikaten zu - und die gehören
> > alle meinem Account (bzw die Domain).
>
> Da das Zertifikat direkt zugeordnet ist, kann diese Prüfung entfallen.
Nein, denn die CA die OpenVPN in dem Fall akzeptiert sind alle
CACert-Erstellten Zertifikate. Damit würde ich ohne zusätzliche Überprüfung
alle Zertifikate (auch z.B. deine) akzeptieren, und das will ich ja nicht.
Und wenn ich mich strikt auf das verify-cn verlasse, und die Überprüfung
der CA ausschalte könnte jeder mit einem selbstsignierten Zertifikat
kommen das meine E-Mail-Adresse verwendet und die ist weit verbreitet und
bei einer solchen Attacke die wohl am einfachsten zu beschaffende
Information.
Gruß, Andre
--
Andre Klärner
Attachment:
smime.p7s
Description: S/MIME cryptographic signature
- Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat, Juergen Bruckner, 05/15/2013
- Re: Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat, Andre Klärner, 05/15/2013
- Re: Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat, Juergen Bruckner, 05/16/2013
- Re: Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat, Andre Klärner, 05/16/2013
- Re: Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat, Juergen Bruckner, 05/16/2013
- Re: Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat, Andre Klärner, 05/15/2013
Archive powered by MHonArc 2.6.16.