Discussion:
Webmin/Usermin Benutzer-Anmeldung mit CAcert Zertifikat
Juergen Bruckner
2013-05-15 16:45:18 UTC
Permalink
Hallo Leute,

hat es von Euch schon jemand probiert eine Benutzer-Anmeldung bei
Webmin/Usermin/Virtualmin mit Hilfe von CAcert Zertifikaten umzusetzen?

Bislang kenne ich nur die Möglichkeit Webmin selbst als CA fungieren zu
lassen, und die Benutzer-Anmeldung mit von Webmin selbst signierten
Zertifikaten freizuschalten.

Setzt jemand von euch, solch eine Lösung ein?

Liebe GrÌße
JÃŒrgen
--
Juergen Bruckner
CAcert Assurer, CAcert Prospective OrganisationAssurer

jbruckner-xHchwMmBYmcdnm+***@public.gmane.org
www.cacert.org

CAcert Inc. - Free Certificates

<<sent from Android>>
Andre Klärner
2013-05-15 20:49:30 UTC
Permalink
Moin Jürgen,
Post by Juergen Bruckner
hat es von Euch schon jemand probiert eine Benutzer-Anmeldung bei
Webmin/Usermin/Virtualmin mit Hilfe von CAcert Zertifikaten umzusetzen?
Ich noch nicht, hab aber Webmin auch nicht im Einsatz.
Post by Juergen Bruckner
Bislang kenne ich nur die Möglichkeit Webmin selbst als CA fungieren zu
lassen, und die Benutzer-Anmeldung mit von Webmin selbst signierten
Zertifikaten freizuschalten.
Kann man Webmin nicht einfach "hinten herum" das CA-Zertifikat z.B. durch
ein CACert-Root-Zertifikat austauschen? Abgesehen davon, dass dann jeder
CACert-User wohl Zugriff bekommt sollte das ja gehen. Wie handelt Webmin es
denn mit seinen eigenen Zertifikaten? Läuft da noch irgendein Skript, das
spezielle Voraussetzungen innerhalb des Cert abprüft?

Ich hab z.B. mein OpenVPN mit verify-cn und CACert-Zertifikaten am laufen
und lasse nur bestimmte E-Mails in den Zertifikaten zu - und die gehören
alle meinem Account (bzw die Domain).

Gruß, Andre
--
Andre Klärner
Juergen Bruckner
2013-05-16 08:18:53 UTC
Permalink
Servus Andre,
Post by Andre Klärner
Kann man Webmin nicht einfach "hinten herum" das CA-Zertifikat z.B. durch
ein CACert-Root-Zertifikat austauschen? Abgesehen davon, dass dann jeder
CACert-User wohl Zugriff bekommt sollte das ja gehen. Wie handelt Webmin
es denn mit seinen eigenen Zertifikaten? LÀuft da noch irgendein Skript,
das
Post by Andre Klärner
spezielle Voraussetzungen innerhalb des Cert abprÃŒft?
Das mit dem CAcert Root habe ich schon versucht, Ergebnis war kein Zugriff
auf Webmin mehr - auch nicht mit User/Pass :(

Es wird von Webmin so gehandelt, dass man jedem einzelnen Benutzer sein
Zertifikat zuordnet, also das crt-file beim Benutzer hinterlegt.
Aus meiner Sicht, wird bei/durch Webmin nur geprÌft ob das prÀsentierte
Zertifikat einem Webmin-Benutzer zugeordnet ist oder nicht; falls Ja, wird
der Benutzer angemeldet, sonst kommt einfach eine Fehlermeldung.
Allerdings akzeptiert Webmin da anscheinend nur die Zertifikate, die durch
die CA welche in Webmin integriert ist ausgestellte wurden.
Aber, es besteht die Möglichkeit ein CAroot zu hinterlegen, damit sich
Benutzer eines anderen 'Webmin' Servers mit dem dort ausgestellten
Zertifikat anmelden können.
Und das kapiere ich da nicht ganz, weil in diesem Fall, ja eigentlich auch
die CAcert - Roots akzeptiert werden mÃŒssten, was aber nicht der Fall ist
Post by Andre Klärner
Ich hab z.B. mein OpenVPN mit verify-cn und CACert-Zertifikaten am laufen
und lasse nur bestimmte E-Mails in den Zertifikaten zu - und die gehören
alle meinem Account (bzw die Domain).
Da das Zertifikat direkt zugeordnet ist, kann diese PrÃŒfung entfallen.

LG
JÃŒrgen
Andre Klärner
2013-05-16 17:23:00 UTC
Permalink
Moin Jürgen,
Post by Juergen Bruckner
Post by Andre Klärner
Kann man Webmin nicht einfach "hinten herum" das CA-Zertifikat z.B. durch
ein CACert-Root-Zertifikat austauschen? Abgesehen davon, dass dann jeder
CACert-User wohl Zugriff bekommt sollte das ja gehen. Wie handelt Webmin
es denn mit seinen eigenen Zertifikaten? Läuft da noch irgendein Skript, das
spezielle Voraussetzungen innerhalb des Cert abprüft?
Das mit dem CAcert Root habe ich schon versucht, Ergebnis war kein Zugriff
auf Webmin mehr - auch nicht mit User/Pass :(
Es wird von Webmin so gehandelt, dass man jedem einzelnen Benutzer sein
Zertifikat zuordnet, also das crt-file beim Benutzer hinterlegt.
Mit den regulären Methoden, also HTTPS und Aushandlung des Zertifikats in
der Anfrage, sowie einem im Browser gespeicherten Zertifikat?
Post by Juergen Bruckner
Aus meiner Sicht, wird bei/durch Webmin nur geprüft ob das präsentierte
Zertifikat einem Webmin-Benutzer zugeordnet ist oder nicht; falls Ja, wird
der Benutzer angemeldet, sonst kommt einfach eine Fehlermeldung.
Allerdings akzeptiert Webmin da anscheinend nur die Zertifikate, die durch
die CA welche in Webmin integriert ist ausgestellte wurden.
Hast du dir mal angesehen was das Coding dort genau für Tests anstellt,
evtl was die Unterschiede zwischen den CACert-signed Zertifikaten und denen
von Webmin ist?

Kannst du mal ein Webmin-erzeugtes Zertifikat anhängen (bzw das "openssl
x509 -text" davon)?
Post by Juergen Bruckner
Aber, es besteht die Möglichkeit ein CAroot zu hinterlegen, damit sich
Benutzer eines anderen 'Webmin' Servers mit dem dort ausgestellten
Zertifikat anmelden können.
Und das kapiere ich da nicht ganz, weil in diesem Fall, ja eigentlich auch
die CAcert - Roots akzeptiert werden müssten, was aber nicht der Fall ist
Kann es sein, dass Webmin z.B. den Nutzernamen in dem erzeugten Zertifikat
hinterlegt oder andere Techniken verwendet, um die Nutzer dann nach hinten
zuordnen zu können?
Post by Juergen Bruckner
Post by Andre Klärner
Ich hab z.B. mein OpenVPN mit verify-cn und CACert-Zertifikaten am laufen
und lasse nur bestimmte E-Mails in den Zertifikaten zu - und die gehören
alle meinem Account (bzw die Domain).
Da das Zertifikat direkt zugeordnet ist, kann diese Prüfung entfallen.
Nein, denn die CA die OpenVPN in dem Fall akzeptiert sind alle
CACert-Erstellten Zertifikate. Damit würde ich ohne zusätzliche Überprüfung
alle Zertifikate (auch z.B. deine) akzeptieren, und das will ich ja nicht.
Und wenn ich mich strikt auf das verify-cn verlasse, und die Überprüfung
der CA ausschalte könnte jeder mit einem selbstsignierten Zertifikat
kommen das meine E-Mail-Adresse verwendet und die ist weit verbreitet und
bei einer solchen Attacke die wohl am einfachsten zu beschaffende
Information.

Gruß, Andre
--
Andre Klärner
Loading...