تأمين حركة المرور باستخدام فحص TLS باستخدام شهادات خاصة

لماذا تستخدم شهادات CA الخاصة بك لفحص TLS؟

سؤال ممتاز! الاستخدام الرئيسي لشهادات CA الخاصة بك هو الامتثال الداخلي والأمان والحكم على فحص حركة المرور الخاصة بك. هذا يعني أنه يمكنك استخدام بنية الشهادات لديك لفك تشفير وفحص حركة المرور التي تمر عبر بيئتك. كتذكير، يعتبر فحص TLS خاصية ضرورية لميزات Cato الأخرى، مثل RBI وCASB وDLP.

كيف يعمل فحص TLS بشهادات CA الخاصة؟

هناك نهجان رئيسيان لاستخدام فحص TLS مع شهادات CA الخاصة بك:

  • تحميل شهادة CA الخاصة بك مع مفتاح CA الخاص

  • طلب توقيع الشهادة من Cato (شهادة موقعة من العميل)

يتوفر أيضًا الخيار باستخدام الشهادة المقدمة من Cato لفحص TLS دائمًا. يمكنك قراءة المزيد عن هذا الخيار هنا.

من المهم أن تعلم أنه يمكنك إنشاء شهادات متعددة، لكن يمكن أن تكون شهادة واحدة نشطة فقط في أي وقت معين.

بالإضافة إلى تعزيز موقف الأمان العام لبيئة العميل، بمجرد تكوينها، سيتم استخدام الشهادة المخصصة لفحص TLS على القواعد التالية:

  • الجدار الناري

  • مكافحة البرامج الضارة

  • نظام منع التسلل

  • CASB/DLP

  • RBI

مع تمكين فحص TLS بطريقة من هذه الطرق، سيتم فك تشفير جميع حركة المرور TLS للفحص باستثناء حركة المرور التي يتم تجاوزها باستخدام القواعد.

تحميل شهادة CA الحالية لفحص TLS

certificate_management.png

بالنسبة لخيار استخدام شهادة CA مؤسسية حالية لفحص TLS، أولاً، ستحتاج إلى تحميل تلك الشهادة الموقعة مع مفتاح خاص غير مشفر.

عند تحميل شهادة CA، سيتم تقديم عرض مفصل للشهادة، بما في ذلك اسم CA الموقع وسلسلة الشهادات وتاريخ انتهاء الصلاحية.

إذا كنت بحاجة إلى تحميل شهادة جديدة لتحديث فترة صلاحية الشهادة، يمكنك إزالة الملفات المحملة الحالية، وبدء العملية مرة أخرى بشهادة جديدة وزوج مفتاح. سيبدأ تطبيق إدارة Cato في تنبيه المسؤولين قبل 60 يومًا من انتهاء صلاحية الشهادة عبر تطبيق إدارة Cato ومع إشعار عبر البريد الإلكتروني (والتكرار في 30 يومًا، و7 أيام، ويوم انتهاء الصلاحية) لتجنب أي إزعاج وانقطاع الأمن مع شهادة منتهية.

الشهادات التي تقل صلاحيتها عن 60 يومًا سيكون لها رمز مثلث برتقالي بجانب زر التنشيط. عندما تضع مؤشر الفأرة فوقها، ستعرض "الشهادة على وشك الانتهاء خلال XX يومًا". بمجرد انتهاء صلاحية الشهادة، سيكون هناك رمز دائرة حمراء بجانب زر التنشيط، وسيعرض "الشهادة منتهية" عند وضع المؤشر فوق الرمز، وسيكون الزر الرمادي غير نشط.

ملاحظة

ملاحظة: حاليًا، لا يمكن لـ Cato إلغاء الشهادات.

لتحميل شهادة مخصصة حالية:

  1. من قائمة التنقل، انقر الأمان > إدارة الشهادات.

  2. انقر جديد، ثم اختر شهادة مخصصة

  3. في لوحة الشهادة المخصصة، تصفح وقم بتحميل كل من الشهادة المخصصة والمفتاح الخاص للشهادة. بعد تحميل كلا الملفين بنجاح، انقر إرسال.

    Custom_certificate_panel.png

    بعد النقر على إرسال، يتم التحقق من صحة الشهادة والمفتاح لضمان صحة جميع المعلومات المطلوبة وجاهزيتها للاستخدام. سيتم التحقق من صحة الشهادة والمفتاح المحملين لـ:

    • يجب أن تكون الشهادة شهادة ناشر الوسيط أو CA (يجب أن تكون الشهادة قادرة على توقيع شهادات أخرى)

    • وجود سلسلة الشهادات وتضمن CA الجذرية

    • يجب أن يكون ملف الشهادة بصيغة PEM

    • ملف المفتاح غير محمي بكلمة مرور وطول مفتاح التشفير الأدنى هو 2048 بت بصيغة RSA

    • يجب أن يتطابق المفتاح الخاص مع شهادة CA المحملة

    إذا فشل أي من هذه التحققات، سيتم عرض خطأ.

باستخدام زوج مفتاح الشهادة هذا، ستقوم Cato بإنشاء زوج مفتاح جديد، ثم شهادة وسيطة مخصصة. سيتم توقيع زوج المفتاح الجديد الذي تم إنشاؤه باستخدام المفتاح الخاص المستورد وتشفيره وتخزينه في مخزن مفاتيح Cato. بعد إنشاء شهادة الوسيط الجديدة، سيتم حذف المفتاح الغير مشفر المحمل من النظام وسيتم استخدام الشهادة الوسيط الجديدة فقط.

إنشاء طلب توقيع شهادة

سيتيح لك هذا الخيار إنشاء طلب توقيع شهادة (CSR) من منفذ Cato الخاص بك، ثم توقيعه بواسطة أي شهادة وسيطة موقعة بواسطة CA للمؤسسة. هذا الخيار، بينما يعزز أيضًا موقف الأمان للبيئة يجعله أسهل للمسؤولين لخلق الشهادات اللازمة حيث سيتم إنشاء CSR بواسطة المنصة التي ستستخدمها.

ملاحظة

ملاحظة: بينما يمكن إنشاء العديد من طلبات CSR، يمكن تفعيل شهادة واحدة فقط في الوقت لكل حساب.

لإنشاء طلب CSR مخصص لحسابك:

  1. من قائمة التنقل، انقر الأمان > إدارة الشهادات.

  2. انقر جديد، ثم اختر CSR - طلب توقيع شهادة.

    تظهر لوحة إنشاء CSR.

  3. املأ الحقول المطلوبة التالية:

    • اسم الشهادة

    • اسم المنظمة

    • الاسم الشائع

    ملاحظة: بينما تكون الحقول الأخرى في CSR اختيارية، من الأفضل ملء كل المعلومات.

  4. انقر إنشاء CSR لإنشاء CSR ليتم توقيعه بواسطة سلطة شهاداتك.

    Create_CSR.png

    بعد إنشاء CSR، سيتم تقديم خيار لتحميل الشهادة الموقعة.

    Create_CSR_Upload.png

  5. سيتم تنزيل CSR المكتمل تلقائيًا إلى جهاز المسؤول المحلي، حيث يمكنك تقديم ملف CSR إلى سلطة شهاداتك لتوقيعه.

  6. ستحتاج إلى تحميل الشهادة الموقعة من CA إلى تطبيق إدارة Cato. ارجع إلى قائمة إدارة الشهادات وانقر على تحميل شهادة.

  7. اختر الشهادة الموقعة من جهازك المحلي لتحميلها إلى بيئة Cato، مما سيمكن الشهادة من استخدامها في قواعد فحص TLS.

ملاحظة: يجب أن تتضمن الشهادة الموقعة ما يلي:

  • موقعة بواسطة أحد خوارزميات RSA التالية:

    • Sha256WithRSAEncryption

    • Sha512WithRSAEncryption

  • موقعة بطول مفتاح أدنى 2048

  • تحتاج إلى تضمين السمات التالية:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    يمكن تأكيد السمات باستخدام الأمر التالي:

    openssl x509 -in signed_cert.crt -text -noout

    ملحوظة: إلغاء الشهادة غير مدعوم في الوقت الحالي.

الرصد والتدقيق

لا يتم توليد أحداث للشهادات المنتهية، ومع ذلك، يتم إنشاء مدخلات سجل التدقيق عندما يتم إنشاء الشهادات، أو تحميلها، أو إزالتها. ابحث باستخدام "tls account" ضمن الحساب > سجل التدقيق > حقل البحث، وسيظهر سجل التدقيق للشهادات التي تم إنشاؤها وحذفها:

image-20230423-104436.png

كيف يبدو عندما يعمل

عندما تعمل شهادة مخصصة، يظهر المتصفح أن الشهادة المستردة هي نفس الشهادة المخصصة التي تم تحميلها من قبل العميل إلى "إدارة الشهادات" في تطبيق إدارة Cato. يمكنك بعد ذلك مقارنة الاسم الشائع والبصمة الرقمية للشهادة المستردة مع الشهادة النشطة في تطبيق إدارة Cato.

image-20230423-104907.png

المصادر

إليك بعض أوامر OpenSSL المفيدة التي قد تساعد عند العمل مع الشهادات:

  • فحص طول المفتاح الخاص باستخدام OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • التحقق من صحة الشهادات والمفاتيح الخاصة:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    حيث:

    • cert.crt هي شهادتك

    • privkey.txt هو مفتاحك الخاص

    قارن الناتج من كلا الأمرين. إذا كانت متطابقة فإن المفتاح الخاص يتطابق مع الشهادة.

  • توقيع الشهادة باستخدام OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    حيث:

    • sha256 هي خوارزمية التوقيع. في الماك الافتراضي هو sha-1 . يمكنك استخدام sha512 أيضًا.

    • myCA.pem هو CA الخاص بك

    • myCA.key هو مفتاح الخاص بك

    • request.csr هو ملف csr الذي حصلت عليه من cc2

    • signed_cert.crt هي شهادتك الموقعة الجديدة

    • يحتوي ملف signed_cert_attributes.conf على المحتوى المثال التالي:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات