Mutual Authentication Server (Tomcat 6)

Melanjutkan posting sebelumnya, mengenai konfigurasi https mutual authentication server dengan menggunakan Apache2, kali ini konfigurasi yang sama namun dengan menggunakan Tomcat 6.

Pada tomcat, kita dapat menyeting Connector dengan mengedit file konfigurasi server.xml, sesuai dengan koneksi yang akan kita gunakan, misalnya http, AJP13 atau yang lainnya, berikut ini adalah setting connector untuk koneksi https dengan mutual authentication :

<Connector className=”org.apache.coyote.tomcat4.CoyoteConnector”
port=”8443″ enableLookups=”true”
acceptCount=”100″ connectionTimeout=”20000″
useURIValidationHack=”false” disableUploadTimeout=”true”
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”[path]/server.jks” keystorePass=”keystore pass”
truststoreFile=”[path]/truststore.jks” truststorePass=”truststore pass”
clientAuth=”true” sslProtocol=”TLS”/>

Untuk setting clientAuth, terdapat tiga opsi yang dapat digunakan :

true : all connections through this connector require client authentication
want : the web app will ask for authentication but not require it
false : connections do not require client authentication UNLESS the web app specifies it is required via a security constraint with CLIENT-CERT chosen

(more…)

Mutual Authentication Server (Apache2)

Mutual Authentication sering juga disebut two way authentication atau otentikasi 2 arah. Seperti halnya komunikasi client-server, disini client meng-otentikasi server dan sebaliknya server meng-otentikasi client, sehingga mampu meningkatkan kualitas keamanan dalam bertransaksi, dengan metode ini tentu saja lebih baik dibanding https biasa (non mutual authentication) dimana hanya server yang memiliki sertifikat untuk di otentikasi oleh client. Dengan mutual authentication, server dan client sama2 memiliki sertifikat sehingga keduanya bisa saling meng-otentikasi. Untuk bisa saling berkomunikasi pastinya sertifikat client harus trust oleh server, dan begitu juga sebaliknya.

Untuk eksperimen ini, kita bisa membuat dua buah sertifikat (client dan server) + sebuah sertifikat CA yang menandatangani sertifikat-sertifikat tersebut, dengan demikian tercipta trusted certificate antara client dan server.

Pada contoh ini, otentikasi antar server dan client hanya sebatas kepercayaan yg dimiliki server terhadap sertifikat client dan sebaliknya, sebetulnya bisa lebih dari sekedar itu, seperti yang kutemukan di EJBCA, dalam mutual authentication, server mampu memberikan akses2 tertentu kepada client sesuai dengan sertifikatnya, dengan kata lain, server tidak hanya memiliki kepercayaan terhadap sertifikat client, tapi server juga mampu mengenali dan memanfaatkan data2 pada sertifikat client yang bertransaksi dengannya untuk memberlakukan suatu role pada client tersebut.

Setting HTTPS Mutual Authentication pada apache :
Setelah selesai melakukan instalasi apache2 web server
$sudo apt-get install apache2

Aktifkan module SSL dengan perintah apache2 enable module
$sudo a2enmod ssl (more…)