Beruflich Dokumente
Kultur Dokumente
O servidor, com um certificado válido, precisa solicitar um certificado válido com base em uma lista de certificados raiz pré-configurada no seu
servidor web. O certificado do cliente então precisa pertencer à essa cadeia certificadora. Esse processo se chama SSL/TLS Handshake.
O TLS handshake acontece (e é concluído) antes de quaisquer solicitações HTTP são enviadas à sua aplicação. E o handshake envolve várias
mensagens entre o cliente e o servidor e vice-versa.
Aqui está uma descrição mais detalhada do handshake SSL/TLS aplicado à uma situação de login.
Portanto, quaisquer solicitações SSL são enviadas somente após a camada SSL / TLS estar pronta.
Devo pegar a public key e serialNumber, salvar em meu banco de produção e verificar se são iguais aos dados locais?
Não, o serial do certificado é unico, porém o certificado tem validade, então só ele não basta. Você precisa proporcionar meios para que o usuário
possa atualizar seu certificado após vencido ou utilizar um certificado oficial de identificação de pessoa como os da ICP Brasil, no caso e-CPF ou
e-CNPJ. Se seu caso for utilizar o e-CPF ou e-CNPJ você pode vincular através do CPF ou CNPJ que pode ser extraído do campo "DN_CN" do
certificado.
Alguns métodos utilizam um applet para criar um servidor web para realizar esse fluxo de handshake na máquina do usuário usando applet, e
transportar os dados públicos do certificado de forma criptografada para a aplicação. É assim que funciona a API da Certisign Login funciona.
Porém sabemos que os navegadores estão eliminando o suporte à essa tecnologia e devemos evitar implementações desse tipo para não limitar
os navegadores suportados pela nossa aplicação.
Você pode implementar de forma similar, um subdomínio configurado para solicitar o certificado, serializar essas informações e por fim
criptografar essa informação, e então realizar uma comunicação com a aplicação principal e então autenticar o usuário.
Esta foi a forma que eu implementei em meu projeto, o objetivo é permitir login(ou outra autorização de ação dentro da conta) ou criar a conta.
1 de 1 28/11/2017 15:32:03