Safari'nin sitenin tamamı için belirli bir istemci sertifikasını otomatik olarak kullanmasını nasıl sağlarım?


27

İstemci sertifikalarını Safari ile kullanmak bir takım sorunlar yaratır:

  • Safari, sitenin her sayfasında bir istemci sertifikası seçmenizi ister (sinir bozucu)
  • Safari, daha önce ziyaret ettiğiniz bir sayfada, özellikle istemci sertifikanızı güncellemeniz gerekiyorsa, bir sertifika seçmenizi bile isteyebilir

Bu sorunları nasıl düzeltebilirim?

Yanıtlar:


29

Safari'nin istemci sertifikaları ve ilgili tercihleri saklanır Anahtarlık Yöneticisi bir ile ayni ait sertifikası .

Bir web sitesi ile kullanmak için bir sertifika seçin, bu bir ile Anahtarlık Yöneticisi'nde başka girdiyi depolayan tür bir kimlik tercihi . Ne yazık ki, varsayılan olarak yalnızca tam olarak bulunduğunuz sayfa için saklar. Hem ad hem de konum sayfanın URL'sine ayarlanır.

Bunu düzeltmek için, kimlik tercihi girişlerinden birini düzenleyebilir ve nerede bölümünü temel URL olarak değiştirebilirsiniz https://somesslsite.com/(örneğin, eğik çizgi önemlidir!). Ayrıca karışıklığı önlemek için adı aynı şeyle güncelliyorum . Daha sonra , söz konusu site için diğer tüm kimlik tercihi girişlerini silebilirsiniz .

Süresi dolmuş bir sertifikanız varsa ve yeni bir sertifika eklemeniz gerekiyorsa, eski sertifika girişlerini ve ilgili tüm kimlik tercihi girişlerini silmenizi tavsiye ederim .

Sertifika ve kimlik tercihi girdilerini bulmak için Keychain Manager'ı açın, Tüm Öğeler'in seçili olduğundan emin olun ve uygun şekilde kısmi URL ve / veya sertifika adını arayın. Muhtemelen çok fazla yok, bu yüzden eğer işe yaramazsa, listeyi türüne göre sıralayın ve kolayca bulabilirsiniz.

NOT: Bunu kendim anladım çünkü kendim ve başkaları için bilgiyi devam ettirmek istediğim için kendime cevap veriyorum.


2
Ne yazık ki, Safari her bir alt URL'yi sormaya devam ediyor ...: - /
Tafkadasoh

yorum kaldırıldı. DanJs cevabı zaten bunu açıklıyor.
Calon

1
Location özelliğini güncellemeniz gerekmiyor . İsim yeterli değil.
andy

19

Kısmi yollar ve joker karakterler artık OS X'in daha yeni sürümlerinde desteklenmektedir. Böylece, tüm web sitesi ve / veya etki alanı için kimlik tercihi oluşturmak üzere Anahtarlık Yöneticisi'ni kullanabilirsiniz.

Kısmi yol örneği (sondaki eğik çizginin gerekli olduğunu unutmayın!):

https://server.mydomain.com/

Joker karakter örneği:

*.mydomain.com

Tüm ayrıntılar burada ('insan güvenliği' sayfasından):

10.5.4'ten önce, SSL / TLS istemcisi kimlik doğrulaması için kimlik tercihleri ​​yalnızca URL başına temelinde ayarlanabilir. Ziyaret edilen URL'nin, tercihin geçerli olması için hizmet adıyla tam olarak eşleşmesi gerekiyordu.

10.5.4'te, aynı sunucudaki daha spesifik yolları eşleştirmek için kısmi yol URL'sine sahip bir hizmet adı kullanarak sunucu başına kimlik tercihlerini belirtmek mümkün hale geldi. Örneğin, " https://www.apache-ssl.org/ " için bir kimlik tercihi mevcutsa, " https://www.apache-ssl.org/cgi/cert-export " için geçerli olacaktır , ve bunun gibi. Kısmi yol URL'lerinin bir eğik çizgi karakteriyle bitmesi gerektiğini unutmayın.

10.6 ile başlayarak *, hizmet adının en soldaki bileşeni olarak joker karakteri kullanarak alan adı başına kimlik tercihlerini belirtmek mümkündür . SSL joker karakterlerinden farklı olarak, kimlik tercihi joker karakteri birden fazla alt alan adıyla eşleşebilir. Örneğin, ad için bir kimlik tercihi veya ile *.army.mileşleşir . Aynı şekilde, bir tercihi hem eşleşir ve .server1.subdomain1.army.milserver2.subdomain2.army.mil*.milserver.army.milserver.navy.mil


Benim için çalıştı (Mac OS X
10.9.1'de

3

Bununla kendim mücadele ediyorum ve yukarıdaki cevap bana neler olduğunu anlamamı sağladı.

Bir web sitesi için sertifikanız varsa ve süresi dolmuşsa, yapmanız gereken eski sertifikayı kaldırmaktır. Ardından , o web sitesi için kimlik tercihi türü öğelerini de kaldırın . Bu eski öğelerin süresi, sertifikanın süresi kadar dolmuş. Bunları kaldırdıktan sonra, yeni kimlik tercihleri ​​doğru bir şekilde saklanır ve kullanılır.

Yani:

  1. Eski sertifikayı kaldır
  2. Eski sertifikanın kimlik tercihi öğelerini kaldır
  3. Yeni sertifika ekle

Daha sonra web sitesine göz atabilir, listeden yeni sertifikayı seçebilirsiniz, bu söz konusu web adresi için hatırlanacaktır. Şu anda Safari 5.1.3'deyiz ve bu sürüm tercihler için herhangi bir joker karakter kullanmayacak, web adresindeki her değişiklik için tercihi eklemeniz gerekecek ... Umarım bu birine yardımcı olur, sadece oraya koymadım çünkü tam cevabı bul.


doğru yolu öğrenmek için lütfen @apinstein cevabına bakınız
dwery
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.