Certificato CNS riusato dopo estrazione smart-card about keycloak-cns-authenticator HOT 2 OPEN

Ciao,
la negoziazione SSL stabilisce una vera e propria sessione dell'utente, gestita dal browser e da Apache che nel tuo caso è il terminatore SSL. Non conosco Apache, ma dovrebbe esserci una opzione che obbliga a rinegoziare SSL ad ogni request - se questo risolve il problema, allora è sicuramente la sessione SSL. Certo, rinegoziare a ogni richiesta aumenta il traffico e potrebbe comportare effetti indesiderati per l'utente (tipo la necessità di reinserire il PIN più volte).
Purtroppo non credo che ci sia una soluzione definitiva - la negoziazione SSL è gestita a un livello più basso di Keycloak.
La cosa più semplice potrebbe essere regolare la durata della sessione SSL a qualcosa di ragionevole, tipo 15/30 minuti, per limitare i danni, oppure come giustamente dici una volta completato il logout mostrare un messaggio in cui si chiede all'utente di chiudere il browser ... ma sono comunque palliativi.

Se sei su piattaforma Windows, potresti anche provare a tracciare la connessione con Fiddler (https://www.telerik.com/fiddler) e vedere se effettivamente i certificati vengono trasmessi dal browser o solo cachati da Apache, ma siccome siamo in https agirà da proxy MITM e non è detto che il test sia significativo.

Fammi sapere cosa salta fuori!

from keycloak-cns-authenticator.

Ciao,
forse sono riuscito a risolvere, proprio lavorando sulla configurazione di Apache.

Sono passato da una configurazione in cui imponevo la richiesta di certificato client per tutto il VirtualHost dedicato al proxy verso Keycloak, ad una configurazione leggermente diversa dove la richiesta del certificato client è limitata ad un URL path specifico di tale VirtualHost, corrispondente all'URL path esposto da Keycloak per lo scambio dei messaggi SAML.

Cioè sono passato da una cosa del tipo

<VirtualHost *:443>
	
	ServerName	server.domain.com
		
	SSLEngine On
	SSLCertificateFile ...
	SSLCertificateKeyFile ...
	SSLCACertificateFile ...
	SSLOptions +ExportCertData +StdEnvVars
	SSLProtocol -all +TLSv1.2
        SSLVerifyClient optional

	ProxyPass /			ajp://localhost:8009/
	ProxyPassReverse /	       ajp://localhost:8009/

</VirtualHost>

ad una tipo

<VirtualHost *:443>
	
	ServerName	server.domain.com
		
	SSLEngine On
	SSLCertificateFile ...
	SSLCertificateKeyFile ...
	SSLCACertificateFile ...
	SSLProtocol -all +TLSv1.2

	ProxyPass /			ajp://localhost:8009/
	ProxyPassReverse /	       ajp://localhost:8009/

	<Location /auth/realms/cns/protocol/saml>
		SSLVerifyClient optional
		SSLOptions +StdEnvVars +ExportCertData
	</Location>

</VirtualHost>

Non saprei spiegare perché Apache si comporta diversamente nei due casi, ma di fatto usando la seconda versione, il certificato della CNS non viene più propagato a Keycloak a seguito dell'estrazione della smart-card dal lettore, che è l'effetto che stavo cercando.

from keycloak-cns-authenticator.