Tässä artikkelissa kerrotaan, miten kolmannen osapuolen varmentaja (CA), kuten Let's Encrypt, Comodo, Symantec, Digicert jne., On myöntänyt varmenteita. Siinä käsitellään myös varmenteiden toimintaa yleensä.
Tiivistelmä
Sertifikaateilla on kaksi päätarkoitusta: Salaa kahden yksikön välinen viestintä ja vahvistaa entiteetin aitoisuus. Ensimmäiset voidaan myöntää ns. Itse allekirjoittamilla varmenteilla, mutta entiteetin todentamiseksi tarvitset maailmanlaajuisesti luotettavan varmenteen, jonka on myöntänyt pää- tai väli-CA. Tässä artikkelissa kerrotaan, miten varmenteet yleensä saavuttavat tämän todennuksen, kuinka varmenteen muoto voidaan muuttaa toimimaan muiden laitteiden kanssa, mukaan lukien palomuurimme, kuinka varmenteita tuodaan palomuuriin ja miten varmenteita tulisi käsitellä tietoturvariskien välttämiseksi.
Sisällysluettelo
- Kuinka varmenne toimii?
- Itse allekirjoittamat varmenteet
- Työskentely varmenteiden kanssa
- Varmenteiden tuominen USG / ATP-palomuureihin
- Varmenteen turvallisuus
Kuinka varmenne toimii?
Jokainen varmenne koostuu kahdesta osasta: varmenne (jota kutsutaan myös julkiseksi avaimeksi) ja yksityinen avain. Sertifikaatti voidaan jakaa julkisesti, ja se sisältää vain tietoja tarkoituksista, joihin varmenne on annettu ja mihin tahoon sertifikaatti on annettu - tämä voi olla sinun FQDN, sähköpostiosoitteesi tai muu arvo.
Varmenteilla on rajoitettu voimassaoloaika - tämä auttaa tilanteissa, joissa jokin vanha yksityisen avaimen varmenne kaivetaan jonnekin vuosikymmenien jälkeen. Jos voimassaoloaika on rajaton, kuka tahansa, joka saa sen käsiinsä, voi silti käyttää varmennetta haitallisiin tarkoituksiin. Vuodesta 2021 alkaen on suositeltavaa olla käyttämättä voimassaoloaikaa yli vuoden ajan. CertBotin kaltaisten automaattisten uudelleenlähetysmekanismien myötä tämä ajanjakso voi olla paljon lyhyempi turvallisuuden parantamiseksi edelleen.
Sertifikaatit voidaan peruuttaa, jos yksityinen avain vuotaa - ja varotoimena yksityisavaimia sisältävää laitteistoa vaarantavan tietoturvaloukkauksen jälkeen seuraa varmenteen kumoaminen ja uusien sertifikaattien uudelleenlähettäminen.
Varmenteita voidaan myöntää useille yhteisöille, kuten FQDN, sähköposti, jopa IP-osoite tai etunimi. Vaikka jokerimerkkien FQDN-varmenteet ovat teknisesti mahdollisia ja käyttäjät usein suosivat niitä, muista, että jos tietystä palvelusta vuotaa yksityinen avain, jokerimerkki varmentaa koko FQDN: n - seurauksena yksityistä avainta Web-palvelimella, jota käytetään pelkästään yrityksen esittelyyn, voidaan myös käyttää MITM-hyökkäyksiin Exchange-palvelimen tai CRM-järjestelmän välillä. Varmenteiden pitäminen riippumattomina kullekin aliverkkotunnukselle auttaa vähentämään vuotojen vaikutuksia, kunnes varmenne peruutetaan.
Vaikka varmenteita on mahdollista antaa myös IP-osoitteille, se on vanhentunut. Syynä tähän on se, että IP-osoitteita voidaan vaihtaa helposti FQDN: ään verrattuna.
Todistusten perusperiaate on melko yksinkertainen. Esimerkissä Alice haluaa käyttää Bobin palvelinta, mutta ongelmana on, että hän ei koskaan ollut siellä, joten he eivät koskaan voineet vaihtaa yleistä salaisuutta todentamiseksi. Kuinka Alice voi olla varma, että hän todella yhdistää Bobia? Täällä Charlie tulee pelaamaan. Alice tuntee Charlien ja lisäsi varmenteensa juurivarmentetietovarastoon. Siksi Alice pitää Charliea luotettavana kokonaisuutena. Jos Bobilla on oma Charlien myöntämä varmenne ja yksityinen avain, hän voi todentaa Alicelle, eikä sillä ole väliä, että Alice ei ollut koskaan ollut yhteydessä Bobiin, koska Charlie luottaa Bobiin ja koska Alice luottaa Charlieen, hän luottaa myös Bobiin . Tätä kutsutaan luottamusketjuksi.
Katsotaanpa tukikampuksen verkkotodistuksen luottamusketjua:
Huomaa, että on myös toinen yksikkö nimeltä R3. Tätä kutsutaan Intermediate CA, kun taas DST Root CA X3 on Root CA. Sertifikaatilla voi olla vain yksi juurivarmentaja, mutta keskitason varmentajia voi olla enemmän. Intermediate CA on yhteisö, jolle on myönnetty lupa myöntää varmenteita asiakkailleen. Niin kauan kuin tietokoneellasi on DST Root CA X3 -sertifikaatti luotettavien juurivarmenteiden luettelossa, se pitää tukea.zyxel.eu luotettavana.
Itse allekirjoittamat varmenteet
Oletuksena palomuurimme (ja monet muut laitteet) käyttävät itse allekirjoitettuja varmenteita salatun TLS-yhteyden muodostamiseen. Selain ilmoittaa tällaisesta varmenteesta tunnetulla virheilmoituksella: 
Tähän voi olla kaksi syytä. Ensimmäinen syy on, että varmenne on pohjimmiltaan varmentajan juurivarmenteita, jota ei ole järjestelmässäsi. Mutta yksinkertaisesti sen asentaminen juurivarmentajana tietokoneellesi ei tee temppua, koska varmentetta ei myönnetä IP-osoitteellesi tai verkkotunnuksellesi. Sertifikaatti soveltuu kuitenkin suojattuun yhteyteen, eikä sen käytöllä ole turvallisuusriskiä, kunhan sen yksityistä avainta ei ole vuotanut - ainoa ongelma on, että henkilöllisyyttä ei voida vahvistaa.
Työskentely varmenteiden kanssa
Vuosien varrella kehitettiin monia varmentemuotoja. Sertifikaatit käyttävät kuitenkin edelleen samaa periaatetta ja kaikki muodot voidaan muuntaa muiksi.
Varmenteen muodot
Vanhin muoto olisi PEM, joka sisältää ASCII-koodatun avaimen. Syynä tähän on alkuperäinen käyttö salatuissa sähköposteissa, joissa binaarinen varmenne saattaa vääristyä. PEM: t ovat yleisiä Unix-järjestelmissä, ja on todennäköistä, että varmentajasi lähetti sinulle sertifikaatin yhdessä yksityisen avaimen kanssa PEM-muodossa. Yleensä käyttää .pem- tai .cer-tiedostotunnistetta.
DER on ASCII PEM -muotoisen sertifikaatin binaarimuoto. Kaikentyyppiset varmenteet ja yksityiset avaimet voidaan koodata DER-muodossa. Tämä muoto tukee yhden varmenteen tallentamista eikä sisällä yksityistä avainta väli- / pääkäyttäjälle. Niillä on laajennus .der tai .cer ja niitä käytetään useimmiten Java-alustoilla.
PKCS # 7 on binaarimuoto, joka sallii varmenteiden tai kokonaisen varmenteketjun sisällyttämisen yhteen tiedostoon. Yksityistä avainta ei kuitenkaan voida tallentaa tässä muodossa. Tätä muotoa käyttävät varmentajat useimmiten tarjoamaan täydellisen luottamusketjun. Käyttää laajennusta .p7b.
PKCS # 12, joka tunnetaan myös nimellä PFX, on muoto, joka voi sisältää myös koko luottamusketjun ja yksityisen avaimen. Yleensä tämän muodon tarjoavat varmentajat, koska se voidaan suojata salasanalla. Yleensä käyttää .p12- tai .pfx-laajennusta.
Sertifikaattityökalut
Windowsissa on sisäänrakennettu CLI-apuohjelma certutil, jota voidaan käyttää varmenteiden muuntamiseen. Microsoft Management Consolen hallintalaajennukset mahdollistavat myös varmenteiden hallinnan.
OpenSSL-niminen avoimen lähdekoodin apuohjelma pystyy myös käsittelemään ja muuntamaan varmenteita. Binaareja on saatavana Windowsille, Linuxille ja macOS: lle (ja monille muille alustoille)
Hyödyllisiä certutil-komentoja:
Merging PEM into PFX:
C:\temp>certutil –MergePFX cert.cer cert.pfx
NOTE: as certutil doesn't allow to specify private key path, the key must be present
in the same directory as certificate, have the same name and .key extension.
Hyödyllisiä OpenSSL-komentoja:
Merging PEM into PFX:
C:\temp>openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem
Varmenteen tuominen USG / ATP-palomuureihin
Nykyinen muotoilu (kesäkuusta 2021 alkaen) rajoittuu varmenteiden tuontiin ilman väliavaimia. Jos varmenteessa on väliavain, tiedosto jäsennetään väärin, ja yritys käyttää tällaista varmentetta voi johtaa palvelun (kuten WebGUI) saatavuuteen. On hyvä hankkia varmenne .pem-muodossa ja viedä se .pfx-muotoon joko certutilin tai OpenSSL: n avulla. Sertifikaatti voidaan tuoda yhdessä sen salasanan kanssa seuraavassa valikossa:
Configuration > Objects > Certificates > My Certificates
Varmenteen turvallisuus
Jokaisella varmenteella on oma yksityinen avain. Vaikka varmenne on julkista tietoa, yksityistä avainta on käsiteltävä salaisuutena - eikä kukaan saa jakaa sitä. Ei edes kanssamme Zyxelissä - ainoa pätevä tapa on käyttää etäaputyökaluja, kuten TeamViewer. Kun tallennat yksityisen avaimen pem-muodossa, tarkista yksityisen avaimen käyttöoikeudet uudelleen, jotta se ei pääse vuotamaan. Käytä aina pfx-muodon salasanasalausta, jotta varmenteita viedään ainakin jonkin verran. Varmenteet, joissa on vuotanut yksityinen avain, on peruutettava välittömästi.
VASTUUVAPAUSLAUSEKE:
Hyvä asiakas, muista, että käytämme konekäännöstä artikkeleiden toimittamiseen paikallisella kielelläsi. Kaikkia tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyn version tietojen oikeellisuudesta on kysymyksiä tai ristiriitoja, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio