Como faço o Safari usar automaticamente um certificado de cliente específico para um site inteiro?

17

O uso de certificados de cliente com o Safari apresenta vários problemas:

  • O Safari pede para selecionar um certificado de cliente em cada página do site (chato)
  • O Safari pode até solicitar que você escolha um certificado em uma página que você já visitou, especialmente se você precisar atualizar seu certificado de cliente

Como posso corrigir esses problemas?

    
por apinstein 05.10.2011 / 15:33

3 respostas

17

Os certificados de cliente e as preferências relacionadas do Safari são armazenados no Gerenciador de Chaveiro com um tipo de certificado .

Quando você seleciona um certificado para usar com um site, ele armazena outra entrada no Gerenciador de Chaveiro com um tipo de preferência de identidade . Infelizmente, por padrão, ele armazena apenas para a página exata em que você estava. Tanto o nome como a localização estão definidos para o URL da página.

Para corrigir isso, você pode editar apenas uma das entradas de preferência de identidade e alterar a seção onde para o URL base, como https://somesslsite.com/ (a barra final é importante!). Eu também atualizo o nome para a mesma coisa para evitar confusão. Você pode então excluir todas as outras preferências de identidade para esse site.

Se você tiver um certificado expirado e tiver que adicionar um novo, recomendo que exclua as entradas antigas do certificado e todas as preferência de identidade relacionadas entradas.

Para encontrar as entradas certificado e preferência de identidade , abra o Gerenciador de Chaveiro, verifique se Todos os Itens está selecionado e pesquise o URL parcial e / ou nome do certificado, conforme apropriado. Você provavelmente não tem muitos, então se isso não funcionar, apenas ordene a lista por kind e você poderá encontrá-los facilmente.

NOTA: Eu mesmo respondo a isso desde que descobri, mas queria persistir o conhecimento para mim e para os outros.

    
por 05.10.2011 / 15:40
13

Caminhos parciais e curingas agora são suportados em versões mais recentes do OS X. Assim, você pode usar o Gerenciador de Chaveiro para criar uma preferência de identidade para um site e / ou domínio inteiro.

Exemplo de caminho parcial (observe que a barra final é obrigatória!):

https://server.mydomain.com/

Exemplo de curinga:

*.mydomain.com

Detalhes completos aqui (da página "man security"):

Prior to 10.5.4, identity preferences for SSL/TLS client authentication could only be set on a per-URL basis. The URL being visited had to match the service name exactly for the preference to be in effect.

In 10.5.4, it became possible to specify identity preferences on a per-server basis, by using a service name with a partial path URL to match more specific paths on the same server. For example, if an identity preference for "https://www.apache-ssl.org/" exists, it will be in effect for "https://www.apache-ssl.org/cgi/cert-export", and so on. Note that partial path URLs must end with a trailing slash character.

Starting with 10.6, it is possible to specify identity preferences on a per-domain basis, by using the wildcard character * as the leftmost component of the service name. Unlike SSL wildcards, an identity preference wildcard can match more than one subdomain. For example, an identity preference for the name *.army.mil will match server1.subdomain1.army.mil or server2.subdomain2.army.mil. Likewise, a preference for *.mil will match both server.army.mil and server.navy.mil.

    
por 04.10.2013 / 18:34
3

Eu mesmo tenho lutado com isso e a resposta acima me fez perceber o que estava acontecendo.

Se você tivesse um certificado para um site e ele expirasse, o que você deve fazer é remover o certificado antigo. Em seguida, remova também os itens do tipo preferência de identidade para esse site. Esses itens antigos são expirados tanto quanto o certificado. Depois de removê-los, qualquer nova preferência de identidade será armazenada e usada corretamente.

Então:

  1. Remover certificado antigo
  2. Remover os itens de preferência de identidade do certificado antigo
  3. Adicionar novo certificado

Depois, você pode navegar até o site, selecionar o novo certificado da lista, isso será lembrado por esse endereço da Web específico. Atualmente estamos no Safari 5.1.3 e esta versão não usará nenhum curinga para preferências, você terá que adicionar a preferência para cada mudança no endereço da web ... Espero que isso ajude alguém, apenas colocando lá fora porque eu não fiz encontre qualquer resposta completa.

    
por 16.02.2012 / 20:45