Zertifikatauthentifizierung über Socks / ssh

970
bablu

Für meinen Arbeitsplatz ist es erforderlich, dass der Browser zum Durchsuchen einer internen Website ein gültiges Zertifikat vorlegen muss. Mein Desktop bei der Arbeit hat ein solches gültiges Zertifikat. Ich möchte über ssh zum Desktop tunneln und Socken verwenden, um firmeninterne Websites von zu Hause aus zu durchsuchen. Ich kann den SSH-Tunnel einrichten und die dynamische Weiterleitung aktivieren. Was nicht funktioniert, ist das richtige Zertifikat zu präsentieren. Es sollte möglich sein, das Arbeitsdesktopzertifikat beim Browsen von zu Hause aus darzustellen (da dies der Computer ist, der die Webseiten tatsächlich abruft). Wie mache ich das?

0
Welchen Webbrowser oder einen anderen HTTPS-Client möchten Sie auf der Arbeitsmaschine ausführen? Oder suchen Sie nach diesem Rat? Spiff vor 9 Jahren 0
Google Chrome oder Firefox. bablu vor 9 Jahren 0
Ah, ich hatte ursprünglich einen Teil von dem, was Sie versuchen, falsch verstanden. Jetzt, wo ich es verstanden habe, muss ich darauf hinweisen, dass SOCKS dafür nicht funktioniert, da es lediglich Ihren Datenverkehr weiterleitet, ohne sich in TLS zu engagieren. Daher ist nichts auf Ihrer Arbeitsmaschine (dh nichts mit Zugriff auf Ihr TLS-Benutzerzertifikat und den dazugehörigen privaten Schlüssel) in die TLS-Authentifizierung involviert, sodass Ihr Arbeits-TLS-Benutzerzertifikat nicht auf den internen Webservern Ihrer Arbeit angezeigt wird. Möglicherweise können Sie dies mit einem HTTPS-Proxy und nicht mit einem SOCKS-Proxy tun. Spiff vor 9 Jahren 0

1 Antwort auf die Frage

1
Adrien

Sie könnten (wenn Sie nur zu einer einzelnen internen Site gehen) versuchen, einen TCP-Proxy einzurichten, der eine SSL / TLS-Verbindung herstellt. WinGate ermöglicht Ihnen dies, und Sie können auch ein zu verwendendes Client-Zertifikat angeben. Dann würden Sie SSH verwenden und eine Verbindung zu diesem Proxy anstelle des internen Servers herstellen (möglicherweise müssen Sie die Hosts-Datei bearbeiten, damit Sie die Site nach Namen angeben können, damit der HTTP-Host-Header richtig ausgefüllt wird).

WinGate TCP-Mapping mit Client-Zertifikat

Haftungsausschluss: Ich arbeite für Qbik, die Autoren von WinGate.

Verwandte Probleme