تأمين حركة المرور بفحص TLS باستخدام الشهادات الخاصة

لماذا تستخدم شهادات CA الخاصة بك لفحص TLS؟

سؤال ممتاز! الحالة الأساسية لاستخدام شهادات CA الخاصة بك هي الامتثال الداخلي والأمان والحكم على تفتيش حركة المرور الخاصة بك. هذا يعني أنه يمكنك استخدام بنية الشهادات الخاصة بك لفك تشفير وفحص الحركة التي تمر عبر بيئتك. كتذكير، فحص TLS هو ميزة شرطية للميزات الأخرى مثل RBI و CASB و DLP.

كيف يعمل فحص TLS مع شهادات CA الخاصة؟

هناك نهجان رئيسيان لاستخدام فحص TLS مع شهادات CA الخاصة بك:

  • ارفع شهادة CA الخاصة بك مع المفتاح الخاص لـ CA

  • طلب توقيع الشهادة من Cato (شهادة موقعة من قبل العميل)

يتوفر دائمًا الخيار لاستخدام الشهادة التي توفرها Cato لفحص TLS أيضًا. يمكنك قراءة المزيد عن هذا الخيار هنا.

من المهم أن نلاحظ أنك يمكنك إنشاء عدة شهادات، ولكن يمكن أن تكون شهادة واحدة فقط نشطة في أي وقت معين.

بالإضافة إلى تعزيز موقف الأمان العام لبيئة العميل، بمجرد التكوين، سيتم استخدام الشهادة المخصصة لفحص TLS على القواعد التالية:

  • جدار الحماية

  • مضاد للبرمجيات الخبيثة

  • IPS

  • CASB/DLP

  • RBI

مع تمكين فحص TLS بإحدى هذه الطرق، سيتم فك تشفير كل حركة TLS للفحص باستثناء الحركة التي يتم تجاوزها باستخدام القواعد.

رفع شهادة CA موجودة لفحص TLS

certificate_management.png

للخيار باستخدام شهادة CA للمؤسسة الموجودة لفحص TLS، أولاً، ستحتاج إلى رفع تلك الشهادة الموقعة مع المفتاح الخاص غير المشفر.

عند رفع شهادة CA، ستظهر لك عرض تفصيلي للشهادة، بما في ذلك اسم CA الموقع، وسلسلة الشهادات، وتاريخ انتهاء الصلاحية.

إذا كنت بحاجة لرفع شهادة جديدة لتحديث فترة صلاحية الشهادة، يمكنك إزالة الملفات المرفوعة الحالية، وبدء العملية من جديد مع شهادة جديدة وزوج مفتاح جديد. ستبدأ تطبيق إدارة Cato في تنبيه المسؤولين قبل 60 يومًا من انتهاء الصلاحية على كل من تطبيق إدارة Cato وإشعار البريد الإلكتروني (وتكرار ذلك عند 30 يومًا، 7 أيام، ويوم الانتهاء) لتجنب أي إزعاج وخلل أمني بالشهادة المنتهية.

الشهادات التي تقل عن 60 يومًا من فترة الصلاحية ستحتوي على أيقونة مثلث برتقالي بجانب زر التفعيل. عند الوقوف بمؤشر الفأرة فوقها، ستعرض "الشهادة على وشك الانتهاء خلال XX يومًا". بمجرد انتهاء صلاحية الشهادة، ستكون هناك أيقونة دائرة حمراء بجانب زر التفعيل، وستعرض "الشهادة منتهية الصلاحية" عندما تقف بمؤشر الفأرة فوق الأيقونة، وزر التفعيل سيكون غير مفعل.

ملاحظة

ملاحظة: Cato غير قادرة حاليًا على إلغاء الشهادات.

لرفع شهادة مخصصة موجودة:

  1. من قائمة التنقل، انقر على الأمان > إدارة الشهادات.

  2. انقر على جديد، ثم حدد شهادة مخصصة

  3. في لوحة الشهادة المخصصة، تصفح وارفع كلاً من الشهادة المخصصة والمفتاح الخاص للشهادة. بعد رفع كلا الملفين بنجاح، انقر على إرسال.

    Custom_certificate_panel.png

    بعد النقر على إرسال، سيتم التحقق من صلاحية الشهادة والمفتاح للتأكد من أن جميع المعلومات المطلوبة صحيحة وجاهزة للاستخدام. سيتم التحقق من صلاحية الشهادة والمفتاح المرفوعين:

    • يجب أن تكون الشهادة إما شهادة وسيطة أو ناشر CA (يجب أن تكون الشهادة قادرة على توقيع الشهادات الأخرى)

    • توجد سلسلة الشهادات وتشمل CA الجذر

    • يجب أن يكون ملف الشهادة بتنسيق PEM

    • ملف المفتاح غير محمي بكلمة مرور وطول مفتاح التشفير الأدنى هو 2048 بت بتنسيق RSA

    • يجب أن يتطابق المفتاح الخاص مع الشهادة CA المرفوعة

    إذا فشلت أي من هذه التحققات، سيتم عرض خطأ.

باستخدام زوج مفتاح الشهادة هذا، ستقوم Cato بتوليد زوج مفتاح جديد، ثم الشهادة الوسيطة المخصصة. سيتم توقيع زوج المفتاح الذي تم إنشاؤه حديثًا باستخدام المفتاح الخاص المستورد وتشفيره وتخزينه في متجر مفاتيح Cato. بعد أن يتم توليد الشهادة الوسيطة الجديدة، سيتم حذف المفتاح غير المشفر المرفوع من النظام وسيتم استخدام الشهادة الوسيطة المولدة حديثًا فقط.

توليد طلب توقيع الشهادة

سيسمح لك هذا الخيار بتوليد طلب توقيع الشهادة (CSR) من مستأجر Cato الخاص بك، ثم توقيعه بواسطة أي شهادة وسيطة موقعة من CA الخاصة بالمنظمة. هذا الخيار، بينما يزيد من الوضع الأمني لبيئة، يسهل على المشرفين إنشاء الشهادات الضرورية منذ أن يتم توليد CSR بواسطة المنصة التي ستستخدمها.

ملاحظة

ملاحظة: في حين يمكن توليد العديد من CSR، يمكن تفعيل شهادة واحدة فقط في وقت واحد لكل حساب.

لتوليد CSR مخصص لحسابك:

  1. من قائمة التنقل، انقر على الأمان > إدارة الشهادات.

  2. انقر على جديد، ثم حدد طلب توقيع الشهادة - CSR.

    تظهر لوحة إنشاء CSR.

  3. املأ الحقول المطلوبة التالية:

    • اسم الشهادة

    • اسم المنظمة

    • اسم شائع

    ملاحظة: بينما تكون الحقول الأخرى في CSR اختيارية، من الأفضل ملء جميع المعلومات.

  4. انقر على إنشاء CSR لتوليد CSR ليتم توقيعه من قبل سلطة الشهادة الخاصة بك.

    Create_CSR.png

    بعد توليد CSR، ستتاح لك خيار لرفع الشهادة الموقعة.

    Create_CSR_Upload.png

  5. سيتم تنزيل CSR المكتمل تلقائيًا إلى جهاز المشرف المحلي، حيث يمكنك تقديم ملف CSR إلى سلطة الشهادة الخاصة بك للتوقيع.

  6. يجب تحميل الشهادة الموقعة من CA إلى تطبيق إدارة Cato. عد إلى قائمة إدارة الشهادات وانقر على رفع شهادة.

  7. حدد الشهادة الموقعة من جهازك المحلي للرفع إلى بيئة Cato، مما سيمكن الشهادة لاستخدامها في قواعد فحص TLS.

ملاحظة: يجب أن تتضمن الشهادة الموقعة التالية:

  • موقعة بواسطة أي من خوارزميات RSA التالية:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • موقعة بحجم مفتاح أدنى 2048

  • يحتاج لتضمين السمات التالية:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    يمكن تأكيد السمات باستخدام الأمر التالي:

    openssl x509 -in signed_cert.crt -text -noout

    ملاحظة: إلغاء الشهادات غير مدعوم في الوقت الحالي.

المراقبة والتدقيق

لا يتم توليد أحداث للشهادات المنتهية الصلاحية، ومع ذلك، يتم إنشاء إدخالات سجل التدقيق عندما يتم توليد الشهادات أو رفعها أو إزالتها. ابحث باستخدام "tls account" تحت حساب > سجل التدقيق > حقل البحث، وسوف تظهر لك مسار التدقيق للشهادات المنشأة والمحذوفة:

image-20230423-104436.png

كيف يبدو عندما يعمل

عندما تعمل الشهادة المخصصة، يظهر المتصفح أن الشهادة المعادة هي نفس الشهادة المخصصة التي تم رفعها من قبل العميل في 'إدارة الشهادات' في تطبيق إدارة Cato. يمكنك بعد ذلك مقارنة الاسم الشائع وبصمة الشهادة للشهادة المعادة مع الشهادة النشطة في تطبيق إدارة Cato.

image-20230423-104907.png

الموارد

ها هنا بعض أوامر OpenSSL المفيدة التي قد تساعد عند العمل مع الشهادات:

  • التحقق من طول المفتاح الخاص باستخدام OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • التحقق من مفاتيح CA والمفاتيح الخاصة:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    حيث:

    • cert.crt هي شهادتك

    • privkey.txt هو مفتاحك الخاص

    قارن الناتج من كلا الأمرين. إذا كانت متطابقة، فإن المفتاح الخاص يتطابق مع الشهادة.

  • توقيع الشهادة باستخدام OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    حيث:

    • sha256 هي خوارزمية التوقيع. في الماك التعيين الافتراضي هو sha-1. يمكنك استخدام sha512 أيضًا.

    • myCA.pem هو CA الخاص بك

    • myCA.key هو مفتاحك الخاص

    • request.csr هو ملف csr الذي حصلت عليه من cc2

    • signed_cert.crt هي شهادتك الجديدة الموقعة

    • يتضمن ملف signed_cert_attributes.conf المحتوى المثال التالي:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات