"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Brauche Client Zertifikat (SoftPSE) für Bitbucket Zugriff

daisho 28.08.2024 - 14:00 5101 11
Posts

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19677
Hi Leute,

da es hier ja jede Menge IT Admins oder Entwickler gibt habt ihr vielleicht mehr Erfahrung damit.
Ich brauche für ein Projekt Authorisierung via SoftPSE / Client Zertifikat (im Namen meiner Firma) damit ich mit meinem lokalen Git Client auf ein (derzeit noch on-premise hosted) Bitbucket Repo zugreifen kann.

Leider ist unsere eigene IT sowie CI/CD Team als auch Issuer nicht sehr hilfreich. Bekomme quasi von jeder Seite zu hören "musst selber wissen was du brauchst". Danke für nichts :o

Alle Infos die ich habe:
- subject common name 'has to state the supplier company name' (nehme an Firma im Text von O/OU ist damit gemeint)
- Recommendation to use certificate class 3 (extended validation) - klingt aber nicht nach Muss
- RSA 2048 or better 4096 (2048 ist wohl überall Standard, kann mir nicht vorstellen das jemand mit weniger generiert)

Was müsste ich da bestellen auf z.B. globalsign.wis.de > OrganisationSSL? PersonalSign klingt nicht nach dem richtigen.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49788
Warum brauchst du fürn Zugriff ein Zertifikat?

Willst du eine Binary signieren? (Code Signing Certificate)?

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19677
Nein, geht nur um die Authorisierung. Wir müssen Code hochladen können auf ein Repo von einem Kunden (geht nur via public Cert von extern dass dann anhand der Cert Infos freigeschaltet wird beim Kunden, von intern können wir auch nicht drauf da das via PKI Card laufen würde die wir auch nicht haben).

Das zieht sich schon unnötig lange hin, interaktiv/ZIP hochladen im Web-GUI von Bitbucket können wir auch nicht.

Das wäre gedacht damit unser Entwickler jederzeit Code auf eine Maschine pushen kann um neue Versionen auszuprobieren.

Code Signing brauchen wir eh auch, aber das haben wir mal mit einem Self Signed gemacht weil die zuständige Formular-Seite beim Kunden dafür nichts macht (oder dahinter niemand reagiert).

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12064
Zitat aus einem Post von daisho
Alle Infos die ich habe:
- subject common name 'has to state the supplier company name' (nehme an Firma im Text von O/OU ist damit gemeint)
- Recommendation to use certificate class 3 (extended validation) - klingt aber nicht nach Muss
- RSA 2048 or better 4096 (2048 ist wohl überall Standard, kann mir nicht vorstellen das jemand mit weniger generiert)

Nein, der CN ist eine eigene Property in der X.509-Struktur, die da letztendlich signiert werden wird, und hat mit O und/oder OU nix zu tun.

Du willst wohl i. w. einen korrekt formulierten CSR (Certificate Signing Request = Pubkey plus Metadaten) an eine CA zur "Ueberpruefung" (lol) und zum Signieren (gegen $$$) schicken, und von denen dann das Zertifikat zurueckbekommen, das du dann an die Hanseln mit der SCM-Plattform weiterreichst. Infolgedessen kannst du mit dem zum urspruenglichen CSR gehoerenden Private Key beweisen, dass die von der CA "zertifizierte" Entitaet du bist/du im Besitz des zugehoerigen Private Keys bist, und dich deswegen dann an der SCM-Plattform anmelden. Das "Class 3 EV'-Blahblah hat nix mit dem CSR zu tun, sondern nur mit der CA, die dann "genauer prueft", wer ihr da Geld in den Rachen werfen wird. Wuerde ich skippen, wenn das den Hanseln egal ist, weil das ist nur teures Schlangenoel.


Ich hab einen clientseitigen CSR-Generator online, der dir mglw. auch helfen kann: https://johannes.truschnigg.info/csr/ - wenn das nicht dienlich ist, kann man sowas auch recht einfach mit OpenSSL machen. Antworte hier im Thread nochmal, wenn du das brauchst.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49788
Ein Zertifikat zur Authentifizierung bekommt man doch üblicherweise von der Stelle wo man sich ausweisen soll. Die werden kein beliebiges Cert zulassen.

Denn deine Anforderung kannst du theoretisch auch mit einem selfsigned Cert lösen

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12064
Es ist komplett egal, welche CA das Zertifikat signiert hat, so lange die auswertende Stelle dieser CA vertraut. Dann prueft man idR nur (z. B.) den CN, weil man ja davon ausgeht, dass die CA ueberprueft hat, ob/dass der CSR-Antragsteller diesen CN "zu Recht" in die Metadaten seines Zertifikat hat aufnehmen und so signiert mit seinem Pubkey verknuepfen lassen.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49788
Ist mir klar, aber würdest du "irgendeiner" CA trauen dass es passt und die eh gut genug geschaut haben dass es vom Hrn daisho kommt?

In den Fällen wo ich sowas in der Art benötigt habe musste der CSR immer von der CA des Unternehmen wo ich hin wollte signiert werden.

Aber da gehts nicht um security sondern compliance

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12064
Wenn ein Unternehmen so wenig Ahnung hat, dass es seinen Partnern optimalerweise zu einem EV-Zertifikat raet, halte ich beinahe ALLES fuer moeglich. Viele Leute/Unternehmen wissen halt auch einfach nicht, wie X.509 und/oder TLS und/oder Public Key Cryptography funktionieren. Insofern beurteile ich nicht das, was daisho als die zu loesende Aufgabe formuliert hat, abstrakt-inhaltlich, sondern versuche, sie auf kurzem Wege zu loesen ;) Und es gibt ja auch Unternehmen und Leute, die sich mit S/MIME gut, wohl und sicherer fuehlen, wo i. W. nichts Anderes als das hier gewuenschte passiert.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49788
Du hast recht,.manchmal bin ich halt zu naiv und suche einen Sinn.

S/MIME ist halt in Outlook integriert - sonst ist es natürlich exakt das selbe Spiel

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19677
Eine Woche später und ich bin nicht wirklich schlauer.
Also was ihr hier geschrieben habt stimmt/passt natürlich alles. Mein Problem ist ja nicht die technische Grundlage, sondern das alle unfähig sind und mir nicht sagen können was ich genau bestellen muss.

Es gibt halt nur eine kleine Liste an CAs die derzeit "vertrauenswürdig" sind.
DigiCert/QuoVadis, GlobalSign, eine CA die es nicht mehr gibt, SwissSign und Kunden-interne (:o)

1) Support der CI/CD-Plattform: "Wir geben keine Empfehlungen", Knowledge-Base Artikel schreibt nur von belanglosem Zeug wie "EV ist empfohlen, 2048bit oder höher" - who cares

2) Projektteam beim Kunden meinte: Vermutlich "Organisations SSL Zert"
2a) GlobalSign DE war useless in ihren Antworten (fragen sie nach was das richtige Cert ist und dann bestellens bei uns > lol danke)
2a) QuoVadis DE Seite funktioniert gar nicht (kein Kaufen möglich, nur "Kontakt" und das dahinter liegende System ist kaputt - man kann also auch nicht mehr kontaktieren
2b) DigiCert hab ich jetzt ein sündhaft teures "Basic OV" (264€ im Jahr ohne Steuer, natürlich mal auf mein Konto für Spesenabrechnung weil ich es ja selber machen muss) TLS Cert bestellt um jetzt draufzukommen dass ich erst recht eine Domain eingeben muss und keinen freien Namen als Common Name weil es ja sonst nicht verifiziert werden kann :bash:

2c) Dazu kommt jetzt noch dass ich im Endeffekt nichtmal weiß was da bei DigiCert dann am Ende rauskommt und wenn da nicht "Client Authentication" drin steht (oder ist das bei übliche TLS Server Certs immer mit dabei?) vermutlich fucked bin und auch nicht mehr stornieren kann.



Wie ich einen CSR erstelle mit allen notwendigen Daten ist simple mit einer kleinen OpenSSL Config/Command. Aber niemand sagt mir, welche Voraussetzungen gibt es für das "SoftPSE/Client-Cert" (keyUsages? Welche Kombination ist korrekt damit OpenSSL am Ende nicht bei der Verifizierung schreit) und wie bekomme ich das bei einer Public CA auf deren bescheidenen Webseiten mit nicht vorhandenem Support.

P.S.: CA Support: Natürlich in Englisch (don't care, aber vermutlich der 0815 Inder) obwohl ich auf einer deutschen Seite bin.
Support: Rede mit Sales
Sales: Du kannst ein SSL Cert kaufen (mit vermutlich fragendem Blick "wtf will er von mir?")

Sorry für den langen Post, ich bin einfach grad haß weil ich knappe 300€ für einen simplen OpenSSL Befehl zahle und dann noch nicht mal weiß ob das dann auch passt. Self-Signed könnte ich ja sogar jederzeit das Cert neu machen/ändern falls was nicht passt, aber ich bin ja nicht "trusted" :mad:

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12017
kanns die kundeneigene CA nicht ausstellen? sonst würd ich das nach oben eskalieren und sagen dass dir keiner die nötige Auskunft gibt

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19677
Es wird jetzt einfach ein E-mail Zertifikat wie es aussieht.
Ich habe jetzt mal vom Projektteam beim Kunden die Info bekommen dass andere Certs wie folgt aussehen:

Externe (wie von uns gebraucht) z.B.:
Code:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Client Authentication, E-mail Protection
Interne (von der Kunden-interne CA ausgestellt, das haben wir bereits gemacht) z.B.:
Code:
            X509v3 Key Usage:
                Digital Signature, Key Encipherment
          X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication

Denke daher die einzige notwendige (extended) Key Usage ist hier Client Authentication.
Das untere sieht wie ein 0815 WebServer Zertifikat aus, wenn ich so eines bei einem Issuer bestelle müsste ich aber eine Domain eintragen für die Überprüfung > macht keinen Sinn. Daher einfach ein E-mail Cert.

GlobalSign hat mir geschrieben für ein Firmenweites Zertifikat bräuchte ich allerdings zuerst eine Enterprise PKI License.
Ich hoffe mal nicht und ist ja auch überhaupt nicht notwendig - ich will ja einfach nur ein simples Zertifikat ausstellen wo im CN irgendein Schmarrn ala "That is us" drin steht. E-mail Validation geht dann ja vermutlich eh einfach darüber dass sie uns eine Mail schicken und wir auf den "wir sinds" Link drauf klicken vermute ich mal ...
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz