Проблема с Indy и OpenSSL

← →
Konstantin Borodachev (2002-04-25 14:42) [0]

Вопрос по Indy и Open SSL. В состав Delphi6 входит
пакет Indy, в нем есть компоненты TIdHTTPServer,
TIdInterceptOpenSSL. Я скомпилировал демо приложение
HTTPServer, которое есть в составе Indy, скачал
и подключил ssl dll-ки. В составе этой демки есть
пробный сертификат. Проблема заключается в том, что
сертифицируется сервер, то есть при попытке
зайти браузером на сервер выдается предупреждение
о сертификате, и, если сертификат принимается клиентом
(то есть на стороне браузера), устанавливается
ssl соединение и клиент (браузер) попадает на сервер.
Таким образом, ЛЮБОЙ клиент может зайти на сервер.
Мне же необходимо, чтобы сертификат удостоверял клиента,
и те клиенты, которые сертификат не имеют, на сервер
бы никогда не попадали. Пробовал изменять поля
IdInterceptOpenSSL.VerifyMode, IdInterceptOpenSSL.SSLOptions,
но ничего не помогает. В Indy нет даже нормального
описания этих полей. Может быть кто-то посоветует, как
разрешить эту проблему, если вообще это возможно с данными
компонентами, буду очень признателен.
Мой e-mail kosta@energobank.ru

← →
Wonder © (2002-04-25 15:16) [1]

Насколько я помню:
SSL - протокол защиты передаваемых данных, а не механизм авторизации. Ты перепутал направление. Не сервер выбирает, а клиент может подключаться по SSL к любым серверам которым он "доверяет". Т.е. сертификат сервера имеется в списке надежных.

← →
Konstantin Borodachev (2002-04-25 18:11) [2]

То есть с помощью SSL нельзя ограничить доступ к серверу?
Каим же образом, кроме пароля, это можно сделать?
Смысл в том, что только тем клиентам, на компьютере которых есть нечто, например, некий сертификат, позволено заходить на сервер. Пароля мало. Ловить ip адрес - не получится, как правило, адреса динамические и не удастся жестко привязать адрес к клиенту. Как же тогда быть?

Если это http-сервер, то в http имеется встроенный механизм авторизации.
Если он не устраивает, можно написать свой собственный механизм используя серверные языки скриптов (perl, php) или cgi. К тому же к веб-серверам существуют уже готовые подключаемые модули авторизации. К apache - уж точно.

"Ловить ip адрес - не получится"
Динамические адреса, как правило, назначаются из диапазона одной сети. Можно проверять, скажем, адрес сети клиента.

А почему пароля-то мало?

Проблема с Indy и OpenSSL Найти похожие ветки