Normalerweise überprüft die Serverseite, ob der allgemeine Name (CN) des Client-Zertifikats mit dem Domänennamen (DN) des Clients übereinstimmt.
Aber ich müsste die Sicherheitsüberprüfung erweitern. Ich muss überprüfen, ob die eingehende IP-Adresse des Clients mit der DNS-IP-Adresse des Domänennamens des Clients übereinstimmt.
Zum Beispiel:-
- Client-Server-Zertifikat CN und Domänenname als „test.123.net“. Und „test.123.net“ DNS (A)-Eintrag IP-Adresse = 1.1.1.1.
- Die Verbindung ist https.
- Wenn dieser Client eine Anfrage an meinen Server sendet, muss ich zunächst überprüfen, ob die IP-Adresse des Clients mit der DNS-IP-Adresse übereinstimmt. In diesem Fall sollte die eingehende IP-Adresse des Clients die IP-Adresse = 1.1.1.1 sein.
- Überprüfen Sie zweitens, ob das Zertifikat CN mit dem Domänennamen übereinstimmt. In diesem Fall ist das „test.123.net“, was mit dem eingehenden Domänennamen des Clients übereinstimmt.
Ich weiß, dass ich zur CN- und DN-Verifizierung OpenSSL oder Apache verwenden kann, konnte jedoch keine Möglichkeit finden, die Übereinstimmung der Client-IP-Adresse mit der DN-DNS-IP-Adresse zu überprüfen.
Darf ich fragen, ob es auf dem Markt ein Tool gibt, das dies kann? Oder kann das jeder Webserver? Ich habe lange versucht, danach zu googeln, aber ich konnte nichts finden.
Danke,
Antwort1
Ein anderer Ansatz wird Ihnen wahrscheinlich besser dienen.
Erstens besitzen nur wenige Organisationen ihren eigenen IP-Adressraum, und für sie ist die Einrichtung eines korrekten Reverse-DNS ein umständlicher Vorgang, bei dem sie ihren ISP kontaktieren und diesen Dienst anfordern müssen. Dies ist oft ein manueller Vorgang. Das bedeutet, dass Sie im „typischen“ Fall keine Ahnung haben, welche Organisation derzeit eine bestimmte IP-Adresse mit einer genaueren Granularität verwendet als auf ISP-Ebene.
Das wiederum bedeutet, dass Sie, wenn Sie explizite Client-Zertifikatssuchen durchführen möchten, den Client auffordern, ein selbstsigniertes Zertifikat zu erstellen und Ihnen die entsprechende CA-Kette zu übergeben, die es aus seiner Sicht als gültig identifiziert, oder ein Zertifikat von einer bekannten CA zu erwerben, das Sie unabhängig überprüfen können. In einem solchen Fall ist keine IP-Adressüberprüfung erforderlich, da ein Lauscher, der nicht über den richtigen privaten Schlüssel verfügt, nur ein verschlüsseltes Durcheinander von Ihnen erhält – eines, das mit dem öffentlichen Schlüssel des rechtmäßigen Clients verschlüsselt ist.
Wenn Sie die Sicherheit darüber hinaus erhöhen möchten, planen Sie einen VPN-Tunnel ein. Eine Alternative (die gegen gezielte Angriffe nicht unbedingt gut ist) wäre, den Zugriff auf Ihr System auf bestimmte IP-Adressen zu beschränken.