Как заставить Safari автоматически использовать конкретный клиентский сертификат для всего сайта?

Использование клиентских сертификатов с Safari представляет ряд проблем:

  • Safari просит выбрать клиентский сертификат на каждой странице сайта (раздражает)
  • Safari может даже попросить вас выбрать сертификат на странице, которую вы уже посетили, особенно если вам нужно обновить сертификат клиента.

Как я могу исправить эти проблемы?

16 голосов | спросил apinstein 5 +04002011-10-05T17:33:56+04:00312011bEurope/MoscowWed, 05 Oct 2011 17:33:56 +0400 2011, 17:33:56

3 ответа


17

Клиентские сертификаты Safari и связанные с ними предпочтения хранятся в Keychain Manager с видом сертификата

.

При выборе сертификата для использования с веб-сайтом он сохраняет еще одну запись в диспетчере ключей с kind . К сожалению, по умолчанию он сохраняет его только для точной страницы, на которой вы были. И имя, и местоположение установлены на URL страницы.

Чтобы исправить это, вы можете просто отредактировать одну из записей предпочтений идентификатора и изменить раздел where на базовый URL-адрес, например https://somesslsite.com/ (трейлинг-косая черта важна!). Я также обновляю name на одно и то же, чтобы предотвратить путаницу. Затем вы можете удалить все другие записи для этого сайта.

Если у вас есть сертификат, срок действия которого истек, и вам пришлось добавить новый, я бы рекомендовал удалить старые записи сертификата и все связанные с ними предпочтения личности .

Чтобы найти записи сертификата и идентификационные предпочтения , откройте Keychain Manager, убедитесь, что выбрано Все элементы , и выполните поиск частичного URL-адреса и /или имя сертификата, если это необходимо. Вероятно, их не так много, поэтому, если это не работает, просто отсортируйте список по kind , и вы сможете легко найти их.

ПРИМЕЧАНИЕ. Я отвечаю на это сам, так как я понял это, но хотел сохранить знания для себя и других.

ответил apinstein 5 +04002011-10-05T17:40:29+04:00312011bEurope/MoscowWed, 05 Oct 2011 17:40:29 +0400 2011, 17:40:29
13

Частичные пути и подстановочные знаки теперь поддерживаются в более поздних версиях OS X. Таким образом, вы можете использовать Keychain Manager для создания предпочтений идентификации для всего веб-сайта и /или домена.

Пример частичного пути (обратите внимание, что требуется косая черта!):

https://server.mydomain.com/

Пример подстановочных знаков:

*.mydomain.com

Подробная информация здесь (с страницы «безопасность человека»):

  

До 10.5.4 предпочтения личности для проверки подлинности клиента SSL /TLS могут быть установлены только для каждого URL-адреса. Посещаемый URL должен соответствовать имени службы точно для того, чтобы предпочтение было действительно.

     

В 10.5.4 стало возможным указать настройки идентификации на основе каждого сервера, используя имя службы с URL-адресом частичного пути, чтобы соответствовать более конкретным путям на одном сервере. Например, если предпочтение личности для https://www.apache-ssl.org/ " существует, это будет действовать для https://www.apache-ssl.org/cgi /cert-export "и т. д. Обратите внимание, что URL-адреса частичного пути должны заканчиваться символом конечной косой черты.

     

Начиная с 10.6, можно указать настройки идентичности для каждого домена, используя символ подстановки * в качестве самый левый компонент имени службы. В отличие от подстановочных знаков SSL, подстановочный знак предпочтения идентичности может соответствовать более чем одному поддомену. Например, предпочтение идентификации имени *.army.mil будет соответствовать server1.subdomain1.army.mil или server2.subdomain2.army.mil. Аналогично, предпочтение *.mil будет соответствовать как server.army.mil и server.navy.mil.

ответил DanJ 4 +04002013-10-04T20:34:29+04:00312013bEurope/MoscowFri, 04 Oct 2013 20:34:29 +0400 2013, 20:34:29
3

Я боролся с этим сам, и вышеупомянутый ответ заставил меня понять, что происходит.

Если у вас есть сертификат для веб-сайта, и срок его действия истек, то вам следует удалить старый сертификат. Затем также удалите элементы для этого веб-сайта. Эти старые предметы так же истекли, как и сертификат. После того, как вы их удалите, все новые настройки идентичности будут сохранены и использованы правильно.

Итак:

  1. Удалить старый сертификат
  2. Удалить элементы предпочтения идентичности старого сертификата
  3. Добавить новый сертификат

Затем вы можете перейти на веб-сайт, выбрать новый сертификат из списка, это будет запомнено для этого конкретного веб-адреса. В настоящее время мы находимся в Safari 5.1.3, и эта версия не будет использовать какие-либо подстановочные знаки для настроек, вам нужно будет добавить предпочтение для каждого изменения в веб-адресе ... Надеюсь, это поможет кому-то, просто поместив его там, потому что я не найти полный ответ.

ответил Chris 16 FebruaryEurope/MoscowbThu, 16 Feb 2012 23:45:41 +0400000000pmThu, 16 Feb 2012 23:45:41 +040012 2012, 23:45:41

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132