ব্যক্তিগত শংসাপত্র ব্যবহার করে TLS পরিদর্শনের সাথে ট্র্যাফিক নিরাপদ করা

TLS পরিদর্শনের জন্য আপনার নিজস্ব CA শংসাপত্র কেন ব্যবহার করবেন?

সর্বোত্তম প্রশ্ন! আপনার নিজস্ব CA শংসাপত্র ব্যবহারের প্রাথমিক ব্যবহার কেস হল অভ্যন্তরীণ অনুসরণ, নিরাপত্তা এবং আপনার ট্র্যাফিক পরিদর্শনের উপর নিয়ন্ত্রণ। এর অর্থ হল যে আপনি আপনার শংসাপত্র অবকাঠামো ব্যবহার করে আপনার পরিবেশ অতিক্রমকারী ট্র্যাফিককে ডিক্রিপ্ট এবং পরিদর্শন করতে পারেন। মনে রাখবেন, TLS পরিদর্শন হল অন্যান্য Cato বৈশিষ্ট্যের জন্য একটি প্রয়োজনীয় বৈশিষ্ট্য, যেমন RBI, CASB এবং DLP।

ব্যক্তিগত CA শংসাপত্রের সাথে TLS পরিদর্শন কীভাবে কাজ করে?

আপনার নিজস্ব CA শংসাপত্র ব্যবহার করে TLS পরিদর্শনের দুটি প্রধান পদ্ধতি রয়েছে:

CA ব্যক্তিগত কী সহ আপনার নিজস্ব CA শংসাপত্র আপলোড করুন
Cato থেকে শংসাপত্র স্বাক্ষরের অনুরোধ (গ্রাহক স্বাক্ষরিত শংসাপত্র)

TLS পরিদর্শনের জন্য Cato প্রদত্ত শংসাপত্র ব্যবহার করার বিকল্পটিও সর্বদা উপলব্ধ থাকে। আপনি আরও জানার জন্য এখানে পড়তে পারেন।

এটি গুরুত্ব সহকারে নোট করা গুরুত্বপূর্ণ যে আপনি একাধিক শংসাপত্র তৈরি করতে পারেন, তবে যেকোনও সময়ে একটি শংসাপত্র সক্রিয় থাকতে পারে।

গ্রাহকের পরিবেশের সামগ্রিক নিরাপত্তা অবস্থান উন্নত করার পাশাপাশি, একবার কনফিগার করা হলে, নিম্নলিখিত নিয়মের জন্য কাস্টম শংসাপত্র TLS পরিদর্শনের জন্য ব্যবহৃত হবে।

ফায়ারওয়াল
এন্টি-ম্যালওয়্যার
IPS
CASB/DLP
RBI

এই পদ্ধতিগুলির একটির সাথে TLS পরিদর্শন সক্রিয় থাকলে, সমস্ত TLS ট্র্যাফিক পরিদর্শনের জন্য ডিক্রিপ্ট করা হবে, ট্র্যাফিকের ব্যতিক্রমে যা নিয়ম ব্যবহার করে বাইপাস করা হয়।

TLS পরিদর্শনের জন্য বিদ্যমান CA শংসাপত্র আপলোড করা

TLS পরিদর্শনের জন্য বিদ্যমান এন্টারপ্রাইজ CA শংসাপত্র ব্যবহার করার বিকল্পের জন্য, প্রথমে, আপনি সেই স্বাক্ষরিত শংসাপত্রটি এনক্রিপ্ট করা ব্যক্তিগত কী সহ আপলোড করতে চাইবেন।

যখন CA শংসাপত্র আপলোড করা হয়, তখন শংসাপত্রের একটি বিস্তারিত দৃশ্য সহ উপস্থাপন করা হবে, যার মধ্যে স্বাক্ষরিত CA এর নাম, শংসাপত্র চেইন, এবং মেয়াদ সমাপ্তির তারিখ অন্তর্ভুক্ত রয়েছে।

যদি আপনাকে শংসাপত্রের বৈধতার সময়কাল আপডেট করতে একটি নতুন শংসাপত্র আপলোড করার প্রয়োজন হয়, আপনি বর্তমান আপলোড করা ফাইলগুলো সরিয়ে ফেলতে পারেন এবং নতুন শংসাপত্র এবং কী জোড়া দিয়ে প্রক্রিয়াটি পুনরায় শুরু করতে পারেন। Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন শংসাপত্র মেয়াদ শেষের ৬০ দিন আগে প্রশাসকদের সতর্ক করা শুরু করবে উভয় Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এবং একটি ইমেইল বিজ্ঞপ্তি (এবং ৩০ দিন, ৭ দিন এবং মেয়াদ শেষের দিন পুনরাবৃত্তি করবে) যেকোনো অসুবিধা এবং মেয়াদোত্তীর্ণ শংসাপত্রের সাথে নিরাপত্তার সময় লঙ্ঘন এড়াতে।

যে শংসাপত্রের বৈধতা ৬০ দিনেরও কম হবে তাদের অ্যাক্টিভেট বাটনের পাশে একটি কমলা ত্রিভুজ আইকন থাকবে। আপনি যখন এর উপর আপনার কার্সারটি ধরে রাখবেন, এটি প্রদর্শন করবে "শংসাপত্র XX দিনে মেয়াদ শেষ হতে চলেছে"। একবার শংসাপত্রের মেয়াদ শেষ হলে, অ্যাক্টিভেট বাটনের পাশে একটি লাল বৃত্ত আইকন থাকবে, এবং যখন আপনি আপনার কার্সারটি আইকনের উপরে ধরবেন, এটি প্রদর্শন করবে "শংসাপত্র মেয়াদোত্তীর্ণ হয়েছে", এবং অ্যাক্টিভেট বাটনটি ধূসর হয়ে যাবে।

নোট

নোট: Cato বর্তমানে শংসাপত্রগুলি প্রত্যাহার করতে অক্ষম।

বিদ্যমান কাস্টম শংসাপত্র আপলোড করতে:

নেভিগেশন মেনু থেকে, Security > সার্টিফিকেট ব্যবস্থাপনা ক্লিক করুন।
নতুন এ ক্লিক করুন, তারপর কাস্টম শংসাপত্র নির্বাচন করুন।
কাস্টম শংসাপত্র প্যানেলে, কাস্টম শংসাপত্র এবং শংসাপত্রের ব্যক্তিগত কী উভয় ব্রাউজ এবং আপলোড করুন। উভয় ফাইল সফলভাবে আপলোড হওয়ার পরে, জমা দিন ক্লিক করুন।

আপনি জমা দিন ক্লিক করার পরে, শংসাপত্র এবং কী যাচাই করা হবে যে সমস্ত প্রয়োজনীয় তথ্য সঠিক এবং ব্যবহারের জন্য প্রস্তুত তা নিশ্চিত করতে। আপলোড করা শংসাপত্র এবং কী যাচাই করা হবে:
- শংসাপত্রটি অবশ্যই একটি মধ্যবর্তী বা CA প্রকাশক শংসাপত্র হতে হবে (শংসাপত্রটি অবশ্যই অন্যান্য শংসাপত্র স্বাক্ষর করতে সক্ষম হতে হবে)
- শংসাপত্র চেইন বিদ্যমান এবং মূল CA অন্তর্ভুক্ত রয়েছে
- শংসাপত্র ফাইল অবশ্যই PEM ফর্ম্যাটে থাকতে হবে
- কী ফাইলটি পাসওয়ার্ড সুরক্ষিত নয় এবং ন্যূনতম এনক্রিপশন কী দৈর্ঘ্য RSA ফর্ম্যাটে 2048 বিট হতে হবে
- ব্যক্তিগত কী অবশ্যই আপলোড করা CA শংসাপত্রের সাথে মেলে
এই যাচাইকরণগুলির মধ্যে কোনটি ব্যর্থ হলে, একটি ত্রুটি প্রদর্শিত হবে।

উক্ত শংসাপত্র কী জোড়া ব্যবহার করে, Cato একটি নতুন কী জোড়া তৈরি করবে, তারপর কাস্টম মধ্যবর্তী শংসাপত্র। নবনির্মিত কী জোড়া আমদানিকৃত ব্যক্তিগত কী ব্যবহার করে স্বাক্ষরিত হবে এবং Cato কী স্টোরে এনক্রিপ্টেড এবং সংরক্ষিত হবে। নতুন মধ্যবর্তী শংসাপত্র তৈরি হওয়ার পরে, আপলোড করা অনএনক্রিপ্টেড কীটি সিস্টেম থেকে মুছে ফেলা হবে এবং শুধুমাত্র নতুন তৈরি করা মধ্যবর্তী শংসাপত্রটি ব্যবহৃত হবে।

শংসাপত্র স্বাক্ষর অনুরোধ তৈরি করা

এই অপশনটি আপনার Cato টেন্যান্ট থেকে একটি শংসাপত্র স্বাক্ষর অনুরোধ (CSR) তৈরি করতে এবং তারপরে যে কোনও মধ্যবর্তী শংসাপত্র দ্বারা স্বাক্ষরিত করতে আপনাকে অনুমতি দেবে যা প্রতিষ্ঠানের CA দ্বারা স্বাক্ষরিত। এই অপশন, যখন কোনও পরিবেশের নিরাপত্তা অবস্থান বৃদ্ধি করে, এটি প্রশাসকদের জন্য প্রয়োজনীয় শংসাপত্র তৈরি করা সহজ করে তোলে যেহেতু CSR সেই প্ল্যাটফর্ম দ্বারা তৈরি করা হবে যা তাদের ব্যবহার করবে।

নোট

নোট: অনেক CSR তৈরি করা যেতে পারে, তবে প্রতি অ্যাকাউন্টে এক সময়ে একটির বেশি শংসাপত্র সক্রিয় করা যাবে না।

আপনার অ্যাকাউন্টের জন্য একটি কাস্টম CSR তৈরি করতে:

নেভিগেশন মেনু থেকে, Security > সার্টিফিকেট ব্যবস্থাপনা ক্লিক করুন।
নতুন এ ক্লিক করুন, তারপর CSR - সার্টিফিকেট সাইনিং অনুরোধ নির্বাচন করুন।

CSR তৈরি প্যানেল প্রদর্শিত হবে।
নিম্নলিখিত প্রয়োজনীয় ক্ষেত্র পূরণ করুনঃ
- শংসাপত্র নাম
- প্রতিষ্ঠানের নাম
- সাধারণ নাম
নোট: কোম্পানির অন্যান্য ক্ষেত্র ঐচ্ছিক, তবে সর্বোত্তম অনুশীলन হল সমস্ত তথ্য পূরণ করা।
আপনার শংসাপত্র কর্তৃপক্ষের দ্বারা স্বাক্ষরিত হওয়ার জন্য CSR তৈরি করতে CSR তৈরি করুন এ ক্লিক করুন।

আপনি CSR তৈরি করার পরে, একটি স্বাক্ষরিত শংসাপত্র আপলোড করার জন্য একটি বিকল্প উপস্থাপন করা হবে।
সম্পূর্ণ হওয়া CSR স্বয়ংক্রিয়ভাবে প্রশাসকের স্থানীয় মেশিনে ডাউনলোড করা হবে, যেখানে আপনি সাইনিংয়ের জন্য আপনার শংসাপত্র কর্তৃপক্ষের কাছে CSR ফাইল জমা দিতে পারেন।
CA থেকে স্বাক্ষরিত শংসাপত্রটি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এ আপলোড করতে হবে। সার্টিফিকেট ম্যানেজমেন্ট মেনুতে ফিরে যান এবং শংসাপত্র আপলোড করুন ক্লিক করুন।
Cato পরিবেশে আপলোড করার জন্য আপনার স্থানীয় মেশিন থেকে স্বাক্ষরিত শংসাপত্র নির্বাচন করুন, যা TLS পরিদর্শন নিয়মগুলির জন্য শংসাপত্রটি ব্যবহৃত হবে।

নোটঃ স্বাক্ষরিত শংসাপত্রটি অবশ্যই নিম্নলিখিতগুলি অন্তর্ভুক্ত করতে হবে:

নিম্নলিখিত RSA অ্যালগরিদমগুলির যে কোনও একটির দ্বারা স্বাক্ষরিত:
- sha256WithRSAEncryption
- sha512WithRSAEncryption
নিম্নতম কী আকার 2048 এর সাথে স্বাক্ষরিত
নিম্নলিখিত গুণগুলি অন্তর্ভুক্ত থাকতে প্রয়োজন:
- authorityKeyIdentifier=keyid,issuer
- basicConstraints=CA:TRUE
- keyUsage = keyCertSign,cRLSign
নিম্নলিখিত কমান্ড ব্যবহার করে গুণগুলি নিশ্চিত করা যেতে পারে:
```
openssl x509 -in signed_cert.crt -text -noout
```
নোট: এই মুহূর্তে শংসাপত্র প্রত্যাহার সমর্থিত নয়।

মনিটরিং এবং অডিটিং

মেয়াদোত্তীর্ণ শংসাপত্রগুলির জন্য কোনও ইভেন্ট তৈরি হয় না, তবে, শংসাপত্র তৈরি, আপলোড বা সরানোর সময় অডিট লগ এন্ট্রি তৈরি হয়। অ্যাকাউন্ট > অডিট ট্রেইল > অনুসন্ধান ফিল্ডের অধীনে "tls account" ব্যবহার করে অনুসন্ধান করুন, এবং তা তৈরি এবং মুছে ফেলার শংসাপত্রগুলির অডিট ট্রেইল দেখাবে:

কিভাবে এটি কাজ করার সময় দেখতে লাগছে

যখন একটি কাস্টম শংসাপত্র কাজ করে, তখন ব্রাউজার দেখায় যে প্রাপ্ত শংসাপত্রটি সেই কাস্টম শংসাপত্রের সাথে একই, যেটি গ্রাহক Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে 'শংসাপত্র ব্যবস্থাপনা'-এ আপলোড করেছিলেন। এরপর আপনি প্রাপ্ত শংসাপত্রের সাধারণ নাম এবং শংসাপত্র ফিঙ্গারপ্রিন্টের সাথে Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনের সক্রিয় শংসাপত্রের তুলনা করতে পারেন।

সম্পদ

এখানে কিছু দরকারী OpenSSL কমান্ড রয়েছে যা শংসাপত্রের সাথে কাজ করার সময় সহায়ক হতে পারে:

OpenSSL ব্যবহার করে ব্যক্তিগত কী দৈর্ঘ্য পরীক্ষা করা হচ্ছে:
- openssl rsa -in myCA.key -text -noout
CA এবং ব্যক্তিগত কীগুলি যাচাই করা হচ্ছে:
- openssl x509 -noout -modulus -in cert.crt | openssl md5
- openssl rsa -noout -modulus -in privkey.txt | openssl md5
যেখানে:
- cert.crt আপনার শংসাপত্র
- privkey.txt আপনার ব্যক্তিগত কী
উভয় কমান্ডের আউটপুট তুলনা করুন। যদি তারা অভিন্ন হয় তাহলে ব্যক্তিগত কীটি শংসাপত্রের সাথে মেলে।
OpenSSL ব্যবহার করে শংসাপত্র স্বাক্ষর করা হচ্ছে:
- openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf
যেখানে:
- sha256 হল স্বাক্ষর অ্যালগরিদম। ম্যাকে ডিফল্ট হল sha-1 । আপনি sha512 ও ব্যবহার করতে পারেন।
- myCA.pem আপনার CA
- myCA.key আপনার ব্যক্তিগত কী
- request.csr আপনার cc2 থেকে প্রাপ্ত csr ফাইল
- signed_cert.crt আপনার নতুন স্বাক্ষরিত শংসাপত্র
- signed_cert_attributes.conf ফাইলের উদাহরণ হিসেবে নিম্নলিখিত বিষয়বস্তু রয়েছে:
  - basicConstraints=CA:TRUE
  - authorityKeyIdentifier=keyid,issuer
  - keyUsage = keyCertSign,cRLSign