বেসরকারি সার্টিফিকেট ব্যবহার করে TLS পরিদর্শনের মাধ্যমে ট্রাফিক সুরক্ষা

কেন আপনার নিজস্ব CA সার্টিফিকেটগুলি TLS পরিদর্শনের জন্য ব্যবহার করবেন?

চমৎকার প্রশ্ন! নিজের CA সার্টিফিকেট ব্যবহার করার প্রধান কারণ হল আপনার ট্রাফিক পরিদর্শন নিয়ে অভ্যন্তরীণ অনুসরণ, নিরাপত্তা এবং শাসন। এই মানে আপনি আপনার সার্টিফিকেট কাঠামো ব্যবহার করে আপনার পরিবেশের ট্রাফিক ডিক্রিপ্ট এবং পরিদর্শন করতে পারেন। স্মরণ করিয়ে দেওয়ার জন্য, TLS পরিদর্শন হল অন্যান্য Cato বৈশিষ্ট্যগুলির জন্য প্রয়োজনীয় বৈশিষ্ট্য, যেমন CASB, DLP এবং RBI।

ব্যক্তিগত CA সার্টিফিকেটের সাথে TLS পরিদর্শন কিভাবে কাজ করে?

নিজের CA সার্টিফিকেট দিয়ে TLS পরিদর্শন করার দুটি প্রধান পদ্ধতি রয়েছে:

আপনার নিজস্ব CA প্রাইভেট কী সহ আপনার নিজস্ব CA সার্টিফিকেট আপলোড করুন
ক্যাটো থেকে সার্টিফিকেট সাইনিং অনুরোধ (গ্রাহক সাইন করা সার্টিফিকেট)

TLS পরিদর্শনের জন্য Cato প্রদত্ত সার্টিফিকেট ব্যবহারের বিকল্পটিও সবসময় উপলভ্য থাকে। আপনি আরও জানার জন্য এখানে পড়তে পারেন।

এটি উল্লেখযোগ্য যে আপনি একাধিক সার্টিফিকেট তৈরি করতে পারেন, কিন্তু যে কোন সময়ে একটিমাত্র সার্টিফিকেট সক্রিয় থাকতে পারে।

গ্রাহকের পরিবেশের সামগ্রিক নিরাপত্তা অবস্থান উন্নত করার পাশাপাশি কনফিগার করা হলে কাস্টম সার্টিফিকেট নিম্নলিখিত নিয়মগুলিতে TLS পরিদর্শনের জন্য ব্যবহার করা হবে:

ফায়ারওয়াল
এন্টি-ম্যালওয়্যার
IPS
CASB/DLP
RBI

এই পদ্ধতিগুলির একটির সাথে TLS পরিদর্শন সক্রিয় থাকলে সমস্ত TLS ট্রাফিক পরিদর্শনের জন্য ডিক্রিপ্ট হবে নিয়ম ব্যবহার করে বাইপাস করা ট্রাফিক ছাড়া।

TLS পরিদর্শনের জন্য বিদ্যমান CA সার্টিফিকেট আপলোড

TLS পরিদর্শনের জন্য একটি বিদ্যমান এন্টারপ্রাইজ CA সার্টিফিকেট ব্যবহারের বিকল্পের জন্য, প্রথমে, আপনি সেই সাইন করা সার্টিফিকেটটিকে এনক্রিপ্ট না করা ব্যক্তিগত কী সহ আপলোড করতে চাইবেন।

যখন CA সার্টিফিকেট আপলোড হয়, আপনাকে CA-র নাম, সার্টিফিকেট চেইন এবং মেয়াদ উত্তীর্ণের তারিখ সহ সার্টিফিকেটের বিশদ দৃশ্য দেখানো হবে।

যদি আপনাকে সার্টিফিকেটের বৈধতা সময়সীমা আপডেট করার জন্য একটি নতুন সার্টিফিকেট আপলোড করতে হয়, আপনি বর্তমানে আপলোড করা ফাইলগুলি সরিয়ে দিতে পারেন এবং একটি নতুন সার্টিফিকেট এবং কী পেয়ার দিয়ে প্রক্রিয়াটি আবার শুরু করতে পারেন। Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন সার্টিফিকেটের মেয়াদোত্তীর্ণের ৬০ দিন আগে প্রশাসকদের সতর্ক করা শুরু করবে Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এবং ইমেইল বিজ্ঞপ্তি উভয়ের মাধ্যমেই (এবং ৩০ দিন, ৭ দিন এবং মেয়াদোত্তীর্ণের দিনে তা পুনরাবৃত্তি করবে) এবং সার্টিফিকেট মেয়াদোত্তীর্ণ থেকে কোন অসুবিধা এবং নিরাপত্তায় অপচয় না হয় তা নিশ্চিত করবে।

যেসব সার্টিফিকেটের বৈধতা ৬০ দিনের কম তারা সক্রিয় করুন বাটনের পাশে কমলা ত্রিভুজ আইকন থাকবে। যখন আপনি আপনার কার্সারটি এটির উপরে নিন, এটি প্রদর্শন করবে "সার্টিফিকেট XX দিনে মেয়াদ শেষ হতে চলেছে"। একবার সার্টিফিকেট মেয়াদ শেষ হয়ে গেলে, সক্রিয়করণের বাটনের পাশে একটি লাল বৃত্ত আইকন থাকবে, এবং আইকনের উপরে কার্সার রাখলে "সার্টিফিকেট মেয়াদোত্তীর্ণ" প্রদর্শিত হবে, এবং সক্রিয়করণের বাটনটি ধূসর হয়ে যাবে।

নোট

নোট: Cato বর্তমানে সার্টিফিকেট প্রত্যাহার করতে অক্ষম।

বিদ্যমান কাস্টম সার্টিফিকেট আপলোড করতে:

নেভিগেশন মেনু থেকে, নিরাপত্তা > সার্টিফিকেট ব্যবস্থাপনা ক্লিক করুন।
নতুন ক্লিক করুন, এবং তারপর কাস্টম সার্টিফিকেট নির্বাচন করুন
কাস্টম সার্টিফিকেট প্যানেলে, কাস্টম সার্টিফিকেট এবং সার্টিফিকেটের জন্য ব্যক্তিগত কী ব্রাউজ করুন এবং আপলোড করুন। উভয় ফাইল সফলভাবে আপলোড করা হলে, জমা দিন ক্লিক করুন।

জমা দিন ক্লিক করার পর, সার্টিফিকেট ও কী যাচাই করা হয় যাতে নিশ্চিত করা যায় যে সমস্ত প্রয়োজনীয় তথ্য সঠিক এবং ব্যবহারের জন্য প্রস্তুত। আপলোড করা সার্টিফিকেট এবং কী যাচাই করা হবে:
- সার্টিফিকেটটি একটি মধ্যবর্তী বা CA প্রকাশক সার্টিফিকেট হতে হবে (সার্টিফিকেটটি অন্যান্য সার্টিফিকেট স্বাক্ষর করতে সক্ষম হতে হবে)
- সার্টিফিকেট চেইনটি বিদ্যমান এবং রুট CA অন্তর্ভুক্ত করে
- সার্টিফিকেট ফাইল অবশ্যই PEM ফর্ম্যাটে থাকতে হবে
- কী ফাইল পাসওয়ার্ড সুরক্ষিত নয় এবং ন্যূনতম এনক্রিপশন কী দৈর্ঘ্য RSA ফর্ম্যাটে 2048 বিট
- ব্যক্তিগত কীটি আপলোড করা CA সার্টিফিকেটের সাথে মিল রাখতে হবে
যদি এই যাচাইকরণগুলির কোনো একটি ব্যর্থ হয়, তবে একটি ত্রুটি প্রদর্শিত হবে।

সেই সার্টিফিকেট কী পেয়ার ব্যবহার করে, Cato একটি নতুন কী পেয়ার তৈরি করবে, তারপর কাস্টম মধ্যবর্তী সার্টিফিকেট। নতুন তৈরি করা কী পেয়ারটি আমদানি করা ব্যক্তিগত কী দিয়ে স্বাক্ষরিত হবে, এনক্রিপ্টেড করা হবে এবং Cato কী স্টোরে সংরক্ষণ করা হবে। নতুন মধ্যবর্তী সার্টিফিকেট তৈরি হওয়ার পরে, আপলোড করা এনক্রিপ্টেড নয় এমন কীটি সিস্টেম থেকে মুছে ফেলা হবে এবং শুধুমাত্র নতুন তৈরি করা মধ্যবর্তী সার্টিফিকেট ব্যবহার করা হবে।

সার্টিফিকেট সাইনিং অনুরোধ তৈরি হচ্ছে

এই অপশনটি আপনাকে আপনার Cato টেন্যান্ট থেকে একটি সার্টিফিকেট সাইনিং অনুরোধ (CSR) তৈরি করতে দেবে, যা তারপর যে কোনও মধ্যবর্তী সার্টিফিকেট দ্বারা স্বাক্ষরিত হবে যা সংগঠনের CA দ্বারা স্বাক্ষরিত। এই অপশনটি যেমনভাবে এটি একটি পরিবেশের নিরাপত্তা অগ্রগতি বাড়ায় তেমনই এটি প্রশাসকগণকে প্রয়োজনীয় সার্টিফিকেট তৈরি করতে সহজ করে দেয় কারণ CSR প্ল্যাটফর্ম দ্বারা তৈরি হবে যা এগুলি ব্যবহার করবে।

নোট

নোট: অনেকগুলি CSR উৎপন্ন করা গেলে, প্রতি অ্যাকাউন্টের এক সময়ে শুধুমাত্র একটি সার্টিফিকেট সক্রিয় করা যায়।

আপনার অ্যাকাউন্টের জন্য কাস্টম CSR তৈরি করতে:

নেভিগেশন মেনু থেকে, নিরাপত্তা > সার্টিফিকেট ব্যবস্থাপনা ক্লিক করুন।
নতুন ক্লিক করুন, এবং তারপর CSR - সার্টিফিকেট সাইনিং অনুরোধ নির্বাচন করুন।

CSR তৈরি করুন প্যানেলটি প্রদর্শিত হয়।
নিম্নলিখিত প্রয়োজনীয় ক্ষেত্রসমূহ পূরণ করুন:
- সার্টিফিকেটের নাম
- প্রতিষ্ঠানের নাম
- সাধারণ নাম
নোট: যদিও CSR এর অন্যান্য ক্ষেত্রসমূহ ঐচ্ছিক, সব তথ্য পূরণ করাই সর্বোত্তম অনুশীলন।
CSR তৈরি করুন এ ক্লিক করুন আপনার সার্টিফিকেট অথরিটি দ্বারা স্বাক্ষরিত হওয়ার জন্য CSR তৈরি করতে।

আপনি CSR তৈরি করার পরে, আপনি স্বাক্ষরিত সার্টিফিকেট আপলোড করার একটি বিকল্প পাবেন।
সমাপ্ত CSR স্বয়ংক্রিয়ভাবে প্রশাসকের স্থানীয় মেশিনে ডাউনলোড করা হবে, যেখানে আপনি স্বাক্ষরের জন্য CSR ফাইলটি আপনার সার্টিফিকেট অথরিটি তে জমা দিতে পারেন।
CA থেকে স্বাক্ষরিত সার্টিফিকেট Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনএ আপলোড করতে হবে। সার্টিফিকেট ব্যবস্থাপনা মেনুতে ফিরে যান এবং সার্টিফিকেট আপলোড করুন এ ক্লিক করুন।
Cato পরিবেশে আপলোড করার জন্য স্থানীয় মেশিন থেকে স্বাক্ষরিত সার্টিফিকেট নির্বাচন করুন, যা TLS পরিদর্শন নিয়মের জন্য সার্টিফিকেটটি ব্যবহৃত হতে সক্ষম করবে।

নোট: স্বাক্ষরিত সার্টিফিকেটে নিম্নলিখিত বিষয়গুলি অন্তর্ভুক্ত থাকতে হবে:

নিম্নলিখিত RSA অ্যালগরিদম দ্বারা স্বাক্ষরিত:
- sha256WithRSAEncryption
- sha512WithRSAEncryption
সর্বনিম্ন কী আকার 2048 দিয়ে স্বাক্ষরিত
নিম্নলিখিত বৈশিষ্ট্যগুলি অন্তর্ভুক্ত করতে হবে:
- authorityKeyIdentifier=keyid,issuer
- basicConstraints=CA:TRUE
- keyUsage = keyCertSign,cRLSign
বৈশিষ্ট্যগুলি নিম্নলিখিত কমান্ড ব্যবহার করে নিশ্চিত করা যেতে পারে:
```
openssl x509 -in signed_cert.crt -text -noout
```
নোট: সার্টিফিকেট বাতিল সমর্থিত নয়।

মনিটরিং এবং অডিটিং

মেয়াদোত্তীর্ণ সার্টিফিকেটের জন্য কোন ইভেন্ট উৎপন্ন হয় না, তবে, সার্টিফিকেট তৈরি, আপলোড বা মুছে ফেলা হলে অডিট লগ এন্ট্রি তৈরি করা হয়। অ্যাকাউন্ট > অডিট ট্রেইল > অনুসন্ধান ক্ষেত্র এ "tls অ্যাকাউন্ট" ব্যবহার করে অনুসন্ধান করুন, এবং এটি তৈরি ও মুছে ফেলা সার্টিফিকেটের অডিট ট্রেইল দেখাবে:

এটি কাজ করার সময় কেমন দেখায়

যখন একটি কাস্টম সার্টিফিকেট কাজ করে, ব্রাউজার দেখায় যে ফেরত পাঠানো সার্টিফিকেট /* is the same as the custom certificate which was uploaded by the customer to 'Certificate Management' in the Cato Management Application. */ তখন আপনি ফেরত আসা সার্টিফিকেটের সাধারণ নাম এবং সার্টিফিকেট ফিঙ্গারপ্রিন্ট এগুলো Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন-এর সক্রিয় সার্টিফিকেটের সাথে তুলনা করতে পারেন।

সম্পদ

এখানে কিছু প্রয়োজনীয় OpenSSL কমান্ড রয়েছে যা সার্টিফিকেট নিয়ে কাজ করার সময় সহায়ক হতে পারে:

OpenSSL ব্যবহার করে ব্যক্তিগত কী দৈর্ঘ্য পরীক্ষা করা:
- openssl rsa -in myCA.key -text -noout
CA এবং ব্যক্তিগত কী যাচাই করা:
- openssl x509 -noout -modulus -in cert.crt | openssl md5
- openssl rsa -noout -modulus -in privkey.txt | openssl md5
অবস্থানে:
- cert.crt হল আপনার সার্টিফিকেট
- privkey.txt হল আপনার বেসরকারি কী
উভয় কমান্ডে আউটপুট তুলনা করুন। যদি তারা অভিন্ন হয় তবে ব্যক্তিগত কী সনদটির সাথে মেলে।
OpenSSL ব্যবহার করে সনদ স্বাক্ষর করা:
- openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf
যেখানে:
- sha256 হল সিগনেচার অ্যালগরিদম। ম্যাক-এ ডিফল্ট হল sha-1। আপনি sha512 ও ব্যবহার করতে পারেন।
- myCA.pem হল আপনার CA
- myCA.key হল আপনার বেসরকারি কী
- request.csr হল csr ফাইল যা আপনি cc2 থেকে পেয়েছেন
- signed_cert.crt হল আপনার নতুন স্বাক্ষর করা সার্টিফিকেট
- signed_cert_attributes.conf ফাইলে নিম্নলিখিত উদাহরণ কন্টেন্ট রয়েছে:
  - basicConstraints=CA:TRUE
  - authorityKeyIdentifier=keyid,সার্টিফিকেট জারিকারক
  - keyUsage = keyCertSign,cRLSign