Threaded Mode | Linear Mode

rethus · 11-03-2010 10:43 PM

Hallo zusammen,

ich habe mich gerade bei StartSSL registriert und bin noch ganz von den Socken.
Dort wurde durch den Sign-Up-Prozess ein Zertifikat in meinem Browser installiert. Beim nächsten Login, bekomme ich die Meldung, dass der Anbieter mich über mein Zertifikat authentifizieren möchte, und ein Auswahldialog geht auf.

Da kann dann das Zertifikat gewählt werden, und e voilá, Anmeldung im Adminbereich ohne Benutzername und Passwort.

Erster Gedanke: Sowas will ich für meinen ISPCP-Bereich und sämtliche anderen passwortgeschützten Bereiche.

Nun die Frage:
Wie richtet man so etwas ein?
Ein eigenes Root CA hab ich mir schon angelegt. Im Idealfall würde ich gerne mein RootCa durch das Start-SSl beglaubigen (geht sowas), und dann daraus die entsprechenden Unterzertifikate erstellen, die zum Login nötig sind.

**fluser** · 11-04-2010 12:42 AM

Ich möchte dir den Enthusiasmus ja nicht nehmen, aber ich finde das Vorgehen recht mühsellig... Sobald man den PC neuinstalliert und die Zertifikate nicht mehr hat, ist es Vorbei. Ein Passwort kann zurückgesetzt werden, dass mit den Zertifikaten geht nicht so einfach... Wink

MlG Fluser

rethus · 11-10-2010 10:27 PM

(11-04-2010 12:42 AM)fluser Wrote: Ich möchte dir den Enthusiasmus ja nicht nehmen, aber ich finde das Vorgehen recht mühsellig... Sobald man den PC neuinstalliert und die Zertifikate nicht mehr hat, ist es Vorbei. Ein Passwort kann zurückgesetzt werden, dass mit den Zertifikaten geht nicht so einfach...

MlG Fluser

Ein Zertifikat kann man speichern, oder neu ausstellen Wink

Was spricht dagegen, wenn das Zertifikat neu angelegt wird, auch ein altes automatisiert zu löschen, und wieder anzulegen.
Oder im Adminbereich des Kunden das Zertifikat zu hinterlegen, so dass man als Admin das mit den Benutzerdaten neu an den User verschicken kann?

**fluser** · 11-10-2010 10:33 PM

Das Vorgehen ist für DAUS recht mühsellig... Aber das ist meine Meinung...

MlG Fluser

rethus · 11-12-2010 02:04 AM

Danke für Eure teilnahme an diesem Thread, aber was auch immer dagegen spricht... mich interessiert eher, wieman so etwas nun technisch realisiert, und ob das hier schon jemand gemacht hat.

Ich denke, dass es nicht mehr lange auf sich warten lässt, bis beispielsweise jeder so n Dongle oder USB-Stick mit Keys mit sich trägt, um sich da irgendwo einloggen zu können. Der neue Perso zeigt ja, dass es mit großen Schritten in die Multimediale Zukunft geht. Und wenn mehr und mehr Leute zusehends mehr Dienste übers Internet in Anspruch nehmen, wird der ruf nach verlässlicher Sicherer Authentifizierung - ohne das Merken von 20 Unterschiedlichen Alphanumerischen Passwörtern - lauter.

Stichwort OpenId & hardware-Key

**fluser** · 11-12-2010 02:12 AM

Ich denke, wenn du mit Tokens eine Authentifizierung möchtest, dann müsste ISP-Control mit Active Directory laufen. Bei solch einer Authentifizierung braucht es aber trotzdem noch ein Passwort. Der Token dient nur zur Zweitauthentifizierung.

MlG Fluser

rethus · 11-14-2010 02:19 AM

Dann sprechen wir von unterschiedlichen Dingen. Kannst dir ja mal testweise bei startssl.com ein Free-Zertifikat ausstellen, dann wirst du sehen, dass ausschließlich über den im Browser isntallierten Key die authentifizierung stattfindet.

**fluser** · 11-14-2010 03:16 AM

Ich weiss genau, was du meinst... Du hast aber von Hardware-Tokens gesprochen, und auf das hat sich mein Beitrag bezogen.

Threaded Mode \| Linear Mode Authentifizierung mit einem Zertifikat
Author	Message