Bir Firewall üzerinde üçüncü taraf sertifikalarını içe aktarma ve kullanma

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Bu makale, Let's Encrypt, Comodo, Symantec, Digicert vb. gibi bir üçüncü taraf Sertifika Yetkilisi (CA) tarafından verilen sertifikaların nasıl kullanılacağını açıklayacaktır. Ayrıca sertifikaların genel olarak nasıl çalıştığını da ele alacaktır.

 

özet

Sertifikalar iki ana amaca hizmet eder: İki varlık arasındaki iletişimi şifrelemek ve varlığın özgünlüğünü doğrulamak. İlki, kendinden imzalı bir sertifika tarafından verilebilir, ancak varlığın kimliğini doğrulamak için, kök veya ara CA tarafından verilen küresel olarak güvenilir bir sertifikaya ihtiyacınız vardır. Bu makale, sertifikaların bu kimlik doğrulamasını genel olarak nasıl başardığını, güvenlik duvarlarımız da dahil olmak üzere diğer cihazlarla çalışmak için sertifika biçiminin nasıl değiştirileceğini, sertifikanın güvenlik duvarınıza nasıl aktarılacağını ve güvenlik risklerinden kaçınmak için sertifikaların nasıl ele alınması gerektiğini açıklayacaktır.

 

İçerik tablosu

  1. Sertifika nasıl çalışır?
  2. Kendinden imzalı sertifikalar
  3. Sertifikalarla çalışma
  4. USG/ATP güvenlik duvarlarında sertifikaları içe aktarma
  5. Sertifika güvenliği

 

Sertifika nasıl çalışır?

Her sertifika iki bölümden oluşur: Sertifika (genel anahtar olarak da adlandırılır) ve özel anahtar. Sertifika herkese açık olarak paylaşılabilir ve yalnızca sertifikanın verilme amaçları ve sertifikanın hangi kuruluşa verildiği hakkında bilgi içerir - bu sizin FQDN, E-posta adresiniz veya başka bir değer olabilir.

Sertifikaların sınırlı bir geçerlilik süresi vardır - bu, özel anahtarlı bazı eski sertifikaların onlarca yıl sonra bir yere kazıldığı durumlarda yardımcı olur. Geçerliliği sonsuz olsaydı, sertifika, eline geçen herkes tarafından kötü amaçlar için kullanılabilirdi. 2021 itibariyle bir yıldan fazla geçerlilik süresinin kullanılmaması tavsiye edilmektedir. CertBot gibi otomatik yeniden düzenleme mekanizmalarının ortaya çıkmasıyla, güvenliği daha da artırmak için bu süre çok daha kısa olabilir.

Özel anahtarın sızdırılması durumunda sertifikalar iptal edilebilir - ve bir önlem olarak, özel anahtarlar içeren donanımın güvenliğini ihlal eden herhangi bir güvenlik ihlalini bir sertifika iptali ve ardından yeni sertifikaların yeniden düzenlenmesi takip etmelidir.

Sertifikalar, FQDN, E-posta, hatta IP adresi veya verilen ad gibi çeşitli kuruluşlara verilebilir. Joker karakterli FQDN sertifikalarına sahip olmak teknik olarak mümkün olsa ve bunlar genellikle kullanıcılar tarafından tercih edilse de, belirli bir hizmetten özel anahtar sızıntısı olması durumunda, joker karakter sertifikasının tüm FQDN'yi doğruladığını unutmayın - sonuç olarak, Sadece şirket sunumu için kullanılan bir web sunucusundaki özel anahtar, Exchange sunucusu veya CRM sistemi arasındaki MITM saldırıları için de kullanılabilir. Sertifikaları her alt etki alanı için bağımsız tutmak, sertifika iptal edilene kadar sızıntının etkisini azaltmaya yardımcı olur.

IP adresine sertifika vermek de mümkün olsa da, bunu yapmak kullanımdan kaldırılmıştır. Bunun nedeni, IP'lerin FQDN'ye kıyasla kolayca değiştirilebilmesidir.

 

Sertifikaların temel prensibi oldukça basittir. Bir örnekte, Alice Bob'un sunucusuna erişmek istiyor, ancak sorun şu ki, o asla orada değildi, bu yüzden kimlik doğrulaması için ortak bir sırrı asla değiş tokuş edemediler. Alice, Bob'la gerçekten bağlantı kurduğundan nasıl emin olabilir? Charlie'nin devreye girdiği yer burasıdır. Alice, Charlie'yi tanıyor ve sertifikasını kök sertifika deposuna ekledi. Bu nedenle Alice, Charlie'yi güvenilir bir varlık olarak görür. Bob'un Charlie tarafından verilen kendi sertifikası ve özel anahtarı varsa, Alice'in kimliğini doğrulayabilir ve Alice'in daha önce Bob ile hiç iletişim kurmamış olması önemli değildir, çünkü Bob'a Charlie güvenir ve Alice Charlie'ye güvendiği için o da Bob'a güvenir. . Bu, Güven Zinciri denen bir şey.

Destek Kampüsü web sertifikamız için Güven Zincirine bir göz atalım:
mceclip0.png
Ayrıca R3 adında başka bir varlık olduğuna dikkat edin. Buna Ara CA denir, DST Kök CA X3 ise Kök CA'dır. Sertifikanın yalnızca bir kök CA'sı olabilir, ancak daha fazla Orta Düzey CA olabilir. Intermediate CA, müşterileri için sertifika verme izni verilmiş bir varlıktır. PC'niz güvenilir kök sertifikalar listesinde DST Root CA X3 sertifikasına sahip olduğu sürece, support.zyxel.eu'nun güvenilir olduğunu kabul edecektir.

 

Kendinden imzalı sertifikalar

Varsayılan olarak güvenlik duvarlarımız (ve diğer birçok cihaz), şifreli TLS bağlantısı kurmak için kendinden imzalı sertifikalar kullanır. Bu sertifika, tarayıcı tarafından iyi bilinen bir hata mesajıyla bildirilir:
NET::ERR_CERT_AUTHORITY_INVALID Hatası Nasıl Düzeltilir (9 Yöntem)
Bunun olmasının iki nedeni var. İlk neden, sertifikanın temelde sisteminizde bulunmayan bir kök CA sertifikası olmasıdır. Ancak, IP veya etki alanınız için sertifika verilmediğinden, bilgisayarınıza kök CA olarak yüklemek işe yaramaz. Ancak sertifika güvenli bir bağlantı için uygundur ve özel anahtarı sızdırılmadığı sürece kullanılması herhangi bir güvenlik riski taşımaz - buradaki tek sorun kimliğin doğrulanamamasıdır.

 

Sertifikalarla çalışma

Yıllar içinde birçok sertifika formatı geliştirildi. Ancak sertifikalar hala aynı prensibi kullanıyor ve tüm formatlar diğer formatlara dönüştürülebilir.

 

Sertifika biçimleri

En eski biçim, ASCII kodlu anahtarı içeren PEM olacaktır. Bunun nedeni, ikili sertifikanın hatalı oluşturulabileceği şifreli postalarda orijinal kullanımdır. PEM'ler Unix sistemlerinde yaygındır ve CA'nız size PEM biçiminde özel bir anahtarla birlikte bir sertifika göndermiş olabilir. Genellikle .pem veya .cer dosya uzantısını kullanır.

DER, ASCII PEM biçim sertifikasının İkili biçimidir. Her tür Sertifika ve Özel Anahtar, DER formatında kodlanabilir. Bu biçim, tek bir sertifikanın depolanmasını destekler ve ara/kök CA için özel bir anahtar içermez. .der veya .cer uzantılarına sahiptirler ve çoğunlukla Java platformlarında kullanılırlar.

PKCS#7, sertifikaların veya tüm sertifika Güven Zincirinin tek bir dosyada bulunmasına izin veren ikili bir biçimdir. Ancak, bu biçimde hiçbir özel anahtar saklanamaz. Bu biçim genellikle CA'lar tarafından eksiksiz bir Güven Zinciri sağlamak için kullanılır. .p7b uzantısını kullanır.

PFX olarak da bilinen PKCS#12, tüm Güven Zincirini ve özel anahtarı da içerebilen bir formattır. Genellikle bu biçim, bir parola ile güvence altına alınabileceğinden CA'lar tarafından sağlanır. Genellikle .p12 veya .pfx uzantısını kullanır.

 

Sertifika araçları

Windows, sertifikaları dönüştürmek için kullanılabilecek yerleşik bir sistem CLI yardımcı programına sahiptir. Microsoft Yönetim Konsolu'ndaki yönetim eklentileri, sertifikaların yönetimine de izin verir.

OpenSSL adlı açık kaynaklı yardımcı program ayrıca sertifikaları işleyebilir ve dönüştürebilir. Windows, Linux ve macOS (ve diğer birçok platform) için ikili dosyalar mevcuttur

Yararlı certutil komutları:

Merging PEM into PFX:
C:\temp>certutil –MergePFX cert.cer cert.pfx
NOTE: as certutil doesn't allow to specify private key path, the key must be present
in the same directory as certificate, have the same name and .key extension.


Kullanışlı OpenSSL komutları:

Merging PEM into PFX:
C:\temp>openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem

 

USG/ATP güvenlik duvarlarında sertifikayı içe aktarma

Mevcut tasarım (Haziran 2021 itibariyle), ara anahtarlar olmadan sertifikaların içe aktarılmasıyla sınırlıdır. Sertifikanın bir ara anahtar içermesi durumunda, dosya hatalı bir şekilde ayrıştırılır ve bu tür bir sertifikayı kullanma girişimi hizmetin kullanılamamasına (WebGUI gibi) neden olabilir. Sertifikayı .pem biçiminde almak ve certutil ya da OpenSSL kullanarak .pfx biçiminde dışa aktarmak iyi bir fikirdir. Sertifika, şifresiyle birlikte aşağıdaki menüden içe aktarılabilir:

Configuration > Objects > Certificates > My Certificates

 

Sertifika güvenliği

Her sertifikanın kendi özel anahtarı vardır. Bir sertifika herkese açık bilgi olsa da, özel anahtarın bir sır olarak ele alınması ve kimse tarafından paylaşılmaması gerekir. Zyxel'de bizde bile değil - tek geçerli yol TeamViewer gibi uzaktan yardım araçlarını kullanmaktır. Özel anahtarı pem biçiminde saklarken, sızıntıyı önlemek için özel anahtara erişim izinlerini iki kez kontrol edin. Sertifikaları dışa aktarırken en azından bir dereceye kadar güvenlik sağlamak için her zaman pfx biçiminde parola şifrelemesi kullanın. Sızan özel anahtarı olan tüm sertifikalar derhal iptal edilmelidir.

SORUMLULUK REDDİ:

 Değerli müşterimiz, yerel dilinizde makaleler sağlamak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru bir şekilde çevrilemeyebilir. Tercüme edilmiş versiyondaki bilgilerin doğruluğu hakkında sorularınız veya tutarsızlıklar varsa, lütfen orijinal makaleyi buradan inceleyin: Orijinal Versiyon

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
15 kişi içerisinden 9 kişi bunun yardımcı olduğunu düşündü
Paylaş