Ez a cikk elmagyarázza, hogyan kell használni egy harmadik fél által kiadott tanúsító hatóság (CA) által kiadott tanúsítványokat, mint például a Let's Encrypt, a Comodo, a Symantec, a Digicert stb. Ezenkívül kitér a tanúsítványok működésére is.
Szinopszis
A tanúsítványok két fő célt szolgálnak: Két entitás közötti kommunikáció titkosítása és az entitás hitelességének megerősítése. Az előbbit úgynevezett önaláírt tanúsítvány adhatja meg, de az entitás hitelesítéséhez globálisan megbízható tanúsítványra van szükség, amelyet a root vagy a közbenső hitelesítésszolgáltató ad ki. Ez a cikk elmagyarázza, hogy a tanúsítványok általában hogyan érik el ezt a hitelesítést, hogyan módosíthatják a tanúsítvány formátumát más eszközökkel, így a tűzfalainkkal való működésre, hogyan lehet importálni a tanúsítványt a tűzfalba, és hogyan kell kezelni a tanúsítványokat a biztonsági kockázatok elkerülése érdekében.
Tartalomjegyzék
- Hogyan működik a tanúsítvány?
- Saját aláírású tanúsítványok
- Munka tanúsítványokkal
- Tanúsítványok importálása USG / ATP tűzfalakba
- Tanúsítványbiztonság
Hogyan működik a tanúsítvány?
Minden tanúsítvány két részből áll: A tanúsítvány (más néven nyilvános kulcs) és a magánkulcs. A tanúsítvány nyilvánosan megosztható, és csupán információkat tartalmaz a tanúsítvány kiállításának céljairól, valamint arról, hogy melyik entitás számára állították ki a tanúsítványt - ez lehet az Ön FQDN-je, e-mail címe vagy egyéb értéke.
A tanúsítványok érvényességi ideje korlátozott - ez segít azokban a helyzetekben, amikor néhány régi, magánkulccsal ellátott tanúsítványt évtizedek után ásnak el valahol. Ha az érvényesség végtelen volt, a tanúsítványt továbbra is rosszindulatú célokra használhatta bárki, aki kezébe kerül. 2021-től nem ajánlott egy évnél hosszabb érvényességi időt használni. Az automatikus újrakiadási mechanizmusok, például a CertBot megjelenésével ez az időszak sokkal rövidebbé válhat a biztonság további javítása érdekében.
A tanúsítványok visszavonhatók abban az esetben, ha a magánkulcs kiszivárgott - és elővigyázatosságból minden biztonsági megsértést, amely sérti a magánkulcsokat tartalmazó hardvert, tanúsítvány visszavonásával és új tanúsítványok későbbi kiadásával kell követni.
A tanúsítványokat különféle entitások számára lehet kiadni, például FQDN, E-mail, akár IP cím vagy név. Noha technikailag lehetséges, hogy helyettesítő karakterekkel rendelkező FQDN tanúsítványok vannak, és ezeket a felhasználók gyakran preferálják, ne feledje, hogy egy adott szolgáltatásból származó magánkulcs szivárgása esetén a helyettesítő tanúsítvány hitelesíti az egész FQDN-t - ennek eredményeként a A puszta vállalati bemutatásra használt webkiszolgálón lévő magánkulcsot fel lehet használni az Exchange szerver vagy a CRM rendszer közötti MITM támadásokra is. A tanúsítványok egyes aldomainektől való független megőrzése segít a szivárgás hatásainak enyhítésében, amíg a tanúsítványt nem vonják vissza.
Bár tanúsítványokat IP-címre is ki lehet állítani, ez elavult. Ennek oka az, hogy az IP-k könnyen megváltoztathatók az FQDN-hez képest.
A tanúsítványok alapelve meglehetősen egyszerű. Példaként Alice hozzáférni akar Bob szerveréhez, de a probléma az, hogy soha nem volt ott, így soha nem cserélhettek valamilyen közös titkot a hitelesítéshez. Hogyan lehet Alice biztos abban, hogy valóban kapcsolódik Bobhoz? Itt jön szóba Charlie. Alice ismeri Charlie-t, és hozzáadta tanúsítványát a root tanúsítványtárhoz. Ezért Alice Charlie-t megbízható entitásnak tekinti. Ha Bobnak saját tanúsítványa és magánkulcsa van, amelyet Charlie adott ki, akkor hitelesíteni tudja Alice-t, és nem számít, hogy Alice soha nem volt kapcsolatban Bobkal, mert Bobban megbízik Charlie, és mivel Alice bízik Charlie-ban, ő is megbízik Bobban . Ez az úgynevezett bizalmi lánc.
Vessen egy pillantást a Support Campus webes tanúsítványunk bizalmi láncára:
Vegyük észre, hogy létezik egy másik R3 nevű entitás is. Ezt Intermediate CA-nak hívják, míg a DST Root CA X3 Root CA-nak. A tanúsítványnak csak egy gyökér CA lehet, de több közbenső CA is lehet. A köztes CA olyan entitás, amely engedélyt kapott tanúsítványok kiadására ügyfelei számára. Mindaddig, amíg PC-jének DST Root CA X3 tanúsítványa van a megbízható gyökértanúsítványok listáján, a support.zyxel.eu megbízhatónak tekinthető.
Saját aláírású tanúsítványok
Alapértelmezés szerint a tűzfalaink (és sok más eszköz) önaláírt tanúsítványokat használnak a titkosított TLS-kapcsolat létrehozásához. Az ilyen tanúsítványt a böngésző jól ismert hibaüzenettel közli: 
Ennek két oka van. Az első ok az, hogy a tanúsítvány alapvetően egy root CA tanúsítvány, amely nincs a rendszerben. De egyszerűen root CA-ként a számítógépére telepíteni nem fog trükközni, mert a tanúsítványt nem az Ön IP-jéhez vagy tartományához adják ki. A tanúsítvány azonban alkalmas biztonságos kapcsolatra, és használata nem jelent semmilyen biztonsági kockázatot, amíg a titkos kulcsa nincs kiszivárogtatva - itt csak az a probléma, hogy a személyazonosság nem erősíthető meg.
Munka tanúsítványokkal
Az évek során számos tanúsítványformátumot fejlesztettek ki. A tanúsítványok azonban továbbra is ugyanazt az elvet használják, és az összes formátum átalakítható más formátumba.
Tanúsítvány formátumok
A legrégebbi formátum a PEM lenne, amely az ASCII kódolt kulcsot tartalmazza. Ennek oka a titkosított levelek eredeti használata, ahol a bináris tanúsítvány hibásan alakulhat ki. A PEM-ek elterjedtek a Unix rendszerekben, és valószínűleg az Ön CA-ja tanúsítványt küldött Önnek PEM formátumú magánkulccsal együtt. Általában .pem vagy .cer fájlkiterjesztést használ.
A DER az ASCII PEM formátumú tanúsítvány bináris formája. Minden típusú tanúsítvány és magánkulcs DER formátumban kódolható. Ez a formátum támogatja az egyetlen tanúsítvány tárolását, és nem tartalmaz magánkulcsot a köztes / gyökér hitelesítésszolgáltatóhoz. Ezek kiterjesztése .der vagy .cer, és leggyakrabban Java platformokon használják.
A PKCS # 7 egy bináris formátum, amely lehetővé teszi a tanúsítványok vagy a teljes tanúsítványlánc egyetlen fájlban való tárolását. Ebben a formátumban azonban nem tárolható magánkulcs. Ezt a formátumot a CA-k leggyakrabban a teljes bizalmi lánc biztosítására használják. A .p7b kiterjesztést használja.
A PKCS # 12, más néven PFX, egy olyan formátum, amely tartalmazhatja a teljes bizalmi láncot és a magánkulcsot is. Általában ezt a formátumot az illetékes hatóságok biztosítják, mivel jelszóval biztosítható. Általában .p12 vagy .pfx kiterjesztést használ.
Tanúsítványeszközök
A Windows rendelkezik egy beépített CLI segédprogrammal, a tanúsítványok konvertálására használható tanúsítvánnyal. A Microsoft Management Console felügyeleti beépülő moduljai lehetővé teszik a tanúsítványok kezelését is.
Az OpenSSL nevű nyílt forráskódú segédprogram képes a tanúsítványok kezelésére és átalakítására is. Bináris fájlok állnak rendelkezésre Windows, Linux és macOS (és sok más platform) számára
Hasznos certutil parancsok:
Merging PEM into PFX:
C:\temp>certutil –MergePFX cert.cer cert.pfx
NOTE: as certutil doesn't allow to specify private key path, the key must be present
in the same directory as certificate, have the same name and .key extension.
Hasznos OpenSSL parancsok:
Merging PEM into PFX:
C:\temp>openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem
Tanúsítvány importálása USG / ATP tűzfalakba
A jelenlegi terv (2021 júniusától) a köztes kulcsok nélküli tanúsítványok behozatalára korlátozódik. Ha a tanúsítvány tartalmaz egy köztes kulcsot, akkor a fájlt helytelenül elemzi, és az ilyen tanúsítvány használatának megkísérlése szolgáltatás (például WebGUI) elérhetetlenségéhez vezethet. Célszerű a tanúsítványt .pem formátumban megszerezni, és .pfx formátumba exportálni a certutil vagy az OpenSSL használatával. A tanúsítvány a jelszóval együtt a következő menüben importálható:
Configuration > Objects > Certificates > My Certificates
Tanúsítványbiztonság
Minden tanúsítványnak megvan a maga privát kulcsa. Bár a tanúsítvány nyilvános információ, a titkos kulcsot titokban kell kezelni - senki sem oszthatja meg. Még nálunk sem a Zyxelnél - az egyetlen érvényes mód az olyan távsegítő eszközök használata, mint a TeamViewer. Amikor a magánkulcsot pem formátumban tárolja, ellenőrizze még egyszer a privát kulcshoz való hozzáférés engedélyeit a szivárgás megakadályozása érdekében. A tanúsítványok exportálásakor mindig használja a pfx formátumú titkosítást, hogy legalább bizonyos fokú biztonságot nyújtson. A kiszivárgott magánkulccsal ellátott tanúsítványokat azonnal vissza kell vonni.
NYILATKOZAT:
Kedves ügyfél, kérjük, vegye figyelembe, hogy gépi fordítást használunk cikkek készítéséhez az Ön helyi nyelvén. Nem biztos, hogy az összes szöveget pontosan lefordítják. Ha kérdései vagy ellentmondásai vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti változat