В одну сторону с локон

Я знаю, что есть много тем и статей, но я действительно раскручиваю свои колеса на этом.

У меня есть экземпляр NodeJS, работающий на TLS. Мне нужен другой сервер для подключения к нему с помощью cURL. К сожалению, я не могу сделать -k из-за ограничений версии cURL, которую я использую.

Поэтому при подключении не должно быть предупреждений о сертификатах.

Мои мысли таковы:

1. to generate a cert 
2. generate a certificate signing request
3. acquire the CA
4. sign the certificate with the CA
5. Configure NodeJS to send the CA, Cert, and Key during handshakes
6. Have the requesting server do a cURL command, specifying the certificate in the command.

Это имеет какой-то смысл или это задом наперед? У меня много проблем с дифференцированием каждого куска.

Спасибо,

редактировать

Таким образом, по-видимому, я понятия не имею, что я делаю, основываясь на ответах. Если бы я мог получить копию CA, открытый и закрытый ключи. Как тогда я буду действовать? Пожалуйста, будьте многословны.

1 ответ

К сожалению, я не могу сделать -k из-за ограничений используемой версии cURL.

Это неправильный подход с самого начала. -k отключает любую проверку сертификата сервера и, таким образом, облегчает атаку "человек посередине", т. е. допускает именно то, что предотвращает https.

  1. Сконфигурируйте NodeJS для отправки CA, Cert и Key во время рукопожатий
  2. Пусть запрашивающий сервер выполнит команду cURL, указав в ней сертификат.

Я не совсем уверен, чего вы здесь добиваетесь, но если я вас правильно понимаю, вы хотите сгенерировать сертификат на стороне сервера, а затем отправить этот сертификат клиенту, чтобы он проверил этот сертификат в будущем.

Проблема этого подхода заключается в том, что вам необходимо защитить отправку вновь созданного сертификата с сервера клиенту. В противном случае человек посередине может просто обменять сертификат на сертификат, созданный злоумышленником, и, таким образом, продолжать обнаруживать человека в середине атаки.

К сожалению, ваш вопрос описывает попытку решить неизвестную проблему (см. Проблему XY). Обычный способ сделать SSL состоит в том, чтобы центр сертификации (ЦС) уже был доверен клиенту, а сертификат выдан этим ЦС. В большинстве случаев для этого используется общедоступный ЦС, такой как Let's Encrypt, поскольку клиенту уже доверяют эти ЦС (поставляется с ОС или браузером). В вашем вопросе нет объяснения, почему вы не можете пойти по этому пути и вместо этого должны изобрести собственное решение.

Другие вопросы по тегам