ВС
Size: a a a
2021 June 21
ЕО
Попробуйте доку от gotk3: https://github.com/gotk3/gotk3/wiki/Installing-on-Windows
ВС
спасибо, сейчас попробую
AK
Всем привет! Может кто прогайдить в незнакомой теме - уже довольно долго парюсь))
Мне нужно написать mTLS аутентификацию между одним клиентом и одной апи и проверять сертификат клиента. Я не работал с тлс аутентификацией, но изучая я понял что есть наборы шифров для тлс и для шифрования сертификатов желательно использовать разные алгоритмы? И как я понял нужно использовать несколько уровней ключей, когда в конце от предыдущих ключей генерируется один ключ с сервера и один с клиента?
Мне нужно написать mTLS аутентификацию между одним клиентом и одной апи и проверять сертификат клиента. Я не работал с тлс аутентификацией, но изучая я понял что есть наборы шифров для тлс и для шифрования сертификатов желательно использовать разные алгоритмы? И как я понял нужно использовать несколько уровней ключей, когда в конце от предыдущих ключей генерируется один ключ с сервера и один с клиента?
AK
О, тоже читал, попробую еще перечитать..
VY
> но изучая я понял что есть наборы шифров для тлс и для шифрования сертификатов желательно использовать разные алгоритмы?
это вообще ортогонально вопросу аутентификации. дефолтные настройки шифров можно считать приемлемыми
> И как я понял нужно использовать несколько уровней ключей, когда в конце от предыдущих ключей генерируется один ключ с сервера и один с клиента?
не понял этот момент. сервер может иметь сертфикат от того же Lets Encrypt. клиенту может быть выписан сертификат своим CA. он может быть как одноранговый, так и иметь иерархию (вопрос только зачем, если серты выписывает одна административная сущность).
это вообще ортогонально вопросу аутентификации. дефолтные настройки шифров можно считать приемлемыми
> И как я понял нужно использовать несколько уровней ключей, когда в конце от предыдущих ключей генерируется один ключ с сервера и один с клиента?
не понял этот момент. сервер может иметь сертфикат от того же Lets Encrypt. клиенту может быть выписан сертификат своим CA. он может быть как одноранговый, так и иметь иерархию (вопрос только зачем, если серты выписывает одна административная сущность).
AS
нужно больше деталей )))
про клиента и апи
и проверку сертификата ))
кто такой "клиент"? это в терминах ПО (клиент сервера) или бизнес-терминах?
что такое API? сервер , реализующий API?
почему именно mTLS?
зачем нужно "проверять сертификат"? сертификат клиентский?
про клиента и апи
и проверку сертификата ))
кто такой "клиент"? это в терминах ПО (клиент сервера) или бизнес-терминах?
что такое API? сервер , реализующий API?
почему именно mTLS?
зачем нужно "проверять сертификат"? сертификат клиентский?
AK
Ок, сорри, сейчас получше сформулирую)
AK
Получается mTLS аутентификация между клиентом(CLI который отправляет запросы https) и апи(rest api). проверка клиентского сертификата это их валидация. И мне нужно подобрать набор шифров(set
of cipher suites) для тлс. Просто я думал что есть какие-то паттерны генерации сертификатов, типа сертификат, подписанный сервером, на основе server ca private key и запроса на подпись
of cipher suites) для тлс. Просто я думал что есть какие-то паттерны генерации сертификатов, типа сертификат, подписанный сервером, на основе server ca private key и запроса на подпись
VY
вопрос немного в сторону, но может на многое повлиять. а как вы планируете распространять подписанные клиентские сертификаты среди клиентов?
VY
> И мне нужно подобрать набор шифров(set of cipher suites) для тлс
и причём тут набор шифров?
и причём тут набор шифров?
VY
вообще, не зависимо от го, вам следует подготовиться по теме того, как работает инфраструктура открытых ключей
VY
потому что содержать свой приватный CA без этого не комильфо
AK
Блин, да, я пока посижу часик другой, на других языках посмотрю тоже))
Спасибо)
Спасибо)
VY
неправильно - это как?
ЕО
Одно из двух: либо это таймзона, либо на компе неправильное время
с
что значит поправить?