Asegurando el Tráfico con Inspección TLS Usando Certificados Privados

¿Por qué usar tus propios certificados de AC para la Inspección TLS?

¡Excelente pregunta! El caso principal de uso para utilizar tus propios certificados de AC es para cumplimiento interno, seguridad y gobierno sobre la inspección de tu tráfico. Esto significa que puedes utilizar tu infraestructura de certificados para descifrar e inspeccionar el tráfico que atraviesa tu entorno. Como recordatorio, la inspección TLS es una función prerrequisito para otras funciones de Cato, como RBI, CASB y DLP.

¿Cómo funciona la Inspección TLS con Certificados Privados de AC?

Hay dos enfoques principales para usar la inspección TLS con tus propios certificados de AC:

  • Sube tu propio certificado de AC con la clave privada de AC

  • Solicitud de Firma de Certificado desde Cato (certificado firmado por el cliente)

La opción de usar el certificado proporcionado por Cato para la inspección TLS también está siempre disponible. Puede leer más sobre esa opción aquí.

Es importante notar que puedes crear múltiples certificados, pero solo un certificado puede estar activo en un momento dado.

Además de mejorar la postura general de seguridad del entorno del cliente, una vez configurado, el certificado personalizado se utilizará para la inspección TLS en las siguientes reglas:

  • Firewall

  • Anti-malware

  • IPS

  • CASB/DLP

  • RBI

Con la inspección TLS habilitada con uno de estos métodos, todo el tráfico TLS será descifrado para inspección, excepto el tráfico que se omite usando reglas.

Subir un certificado de AC existente para la inspección TLS

certificate_management.png

Para la opción de utilizar un certificado de AC empresarial existente para la inspección TLS, primero querrás subir ese certificado firmado junto con la clave privada no cifrada.

Cuando se cargue el certificado de AC, se te presentará una vista detallada del certificado, incluido el nombre del AC firmado, la cadena de certificados y la fecha de vencimiento.

Si necesitas subir un nuevo certificado para actualizar el período de validez del certificado, puedes eliminar los archivos actuales subidos y comenzar el proceso de nuevo con un nuevo certificado y un par de claves. La Aplicación de Gestión de Cato comenzará a alertar a los administradores 60 días antes de la expiración del certificado, tanto en la Aplicación de Gestión de Cato como con una notificación por correo electrónico (y repetirá a los 30 días, 7 días y el día de expiración) para evitar cualquier inconveniente y lapsos de seguridad con un certificado expirado.

Los certificados que tengan menos de 60 días de validez tendrán un icono de triángulo naranja junto al botón Activar. Cuando pases el cursor sobre él, mostrará "El certificado está por expirar en XX días". Una vez que el certificado ha expirado, habrá un icono de círculo rojo junto al botón Activar, y mostrará "Certificado expirado" cuando pases el cursor sobre el icono, y el botón Activar estará deshabilitado.

Nota

Nota: Actualmente Cato no puede revocar certificados.

Para subir un certificado personalizado existente:

  1. Desde el menú de navegación, haz clic en Seguridad > Gestión de Certificados.

  2. Haz clic en Nuevo, y luego selecciona Certificado Personalizado

  3. En el panel de Certificado Personalizado, explora y carga tanto el certificado personalizado como la clave privada para el certificado. Después de que ambos archivos se hayan cargado correctamente, haz clic en Enviar.

    Custom_certificate_panel.png

    Después de hacer clic en Enviar, el certificado y la clave son validados para asegurar que toda la información requerida sea correcta y esté lista para ser usada. El certificado y la clave cargados serán validados para:

    • El certificado debe ser un certificado intermedio o de publicador de AC (el certificado debe poder firmar otros certificados)

    • La cadena de certificados existe e incluye la raíz de AC

    • El archivo de certificado debe estar en formato PEM

    • El archivo de clave no está protegido por contraseña y la longitud mínima de clave de cifrado es de 2048 bits en formato RSA

    • La clave privada debe coincidir con el certificado de AC cargado

    Si alguna de estas validaciones falla, se mostrará un error.

Usando ese par de claves de certificado, Cato generará un nuevo par de claves, luego el certificado intermedio personalizado. El nuevo par de claves creado se firmará usando la clave privada importada y será cifrado y almacenado en el almacén de claves de Cato. Después de que se genere el nuevo certificado intermedio, la clave no cifrada cargada será eliminada del sistema y solo se usará el certificado intermedio recién generado.

Generar una Solicitud de Firma de Certificado

Esta opción te permitirá generar una Solicitud de Firma de Certificado (CSR) desde tu inquilino de Cato, y luego firmada por cualquier certificado intermedio que esté firmado por el AC de la organización. Esta opción, además de aumentar la postura de seguridad de un entorno, facilita a los administradores la creación de los certificados necesarios ya que el CSR será generado por la plataforma que los utilizará.

Nota

Nota: Aunque se pueden generar muchos CSRs, solo un certificado puede ser activado a la vez por cuenta.

Para generar un CSR personalizado para tu cuenta:

  1. Desde el menú de navegación, haz clic en Seguridad > Gestión de Certificados.

  2. Haz clic en Nuevo, y luego selecciona CSR - Solicitud de Firma de Certificado.

    Aparece el panel de Crear CSR.

  3. Rellena los siguientes campos obligatorios:

    • Nombre del Certificado

    • Nombre de la Organización

    • Nombre Común

    Nota: Aunque otros campos del CSR son opcionales, es mejor práctica rellenar toda la información.

  4. Haz clic en Crear CSR para generar el CSR que será firmado por tu autoridad certificadora.

    Create_CSR.png

    Después de generar el CSR, se te presentará una opción para subir el certificado firmado.

    Create_CSR_Upload.png

  5. El CSR completado se descargará automáticamente en la máquina local del administrador, donde puedes enviar el archivo CSR a tu autoridad certificadora para su firma.

  6. El certificado firmado por el AC necesitará ser subido a la Aplicación de Gestión de Cato. Regresa al menú de Gestión de Certificados y haz clic en Cargar Certificado.

  7. Selecciona el certificado firmado desde tu máquina local para subir al entorno de Cato, lo que habilitará el uso del certificado para reglas de inspección TLS.

NOTA: El certificado firmado debe incluir lo siguiente:

  • Firmado con alguno de los siguientes algoritmos RSA:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • Firmado con tamaño mínimo de clave de 2048

  • Necesita incluir los siguientes atributos:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Los atributos pueden confirmarse usando el siguiente comando:

    openssl x509 -in signed_cert.crt -text -noout

    NOTA: La revocación de certificados no es soportada en este momento.

Monitorización y Auditoría

No se generan eventos para certificados expirados, sin embargo, se crean entradas de registro de auditoría cuando los certificados son generados, subidos o removidos. Busca usando "tls account" bajo Cuenta > Registro de Auditoría > campo de búsqueda, y mostrará el registro de auditoría de los certificados creados y eliminados:

image-20230423-104436.png

Cómo se ve cuando está funcionando

Cuando un certificado personalizado está funcionando, el navegador muestra que el certificado devuelto es el mismo que el certificado personalizado que fue subido por el cliente a 'Gestión de Certificados' en la Aplicación de Gestión de Cato. Entonces puedes comparar el nombre común y la huella digital del certificado devuelto con el certificado activo en la Aplicación de Gestión de Cato.

image-20230423-104907.png

Recursos

Aquí hay algunos comandos útiles de OpenSSL que pueden ayudar al trabajar con certificados:

  • Comprobación de la longitud de la clave privada usando OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • Validación de las claves privadas y de CA:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Donde:

    • cert.crt es tu certificado

    • privkey.txt es tu clave privada

    Compara la salida de ambos comandos. Si son idénticos, entonces la clave privada coincide con el certificado.

  • Firmando el certificado usando OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Donde:

    • sha256 es el algoritmo de firma. En mac el predeterminado es sha-1 . También puedes usar sha512.

    • myCA.pem es tu AC

    • myCA.key es tu clave privada

    • request.csr es el archivo csr que obtuviste de cc2

    • signed_cert.crt es tu nuevo certificado firmado

    • El archivo signed_cert_attributes.conf tiene el siguiente contenido de ejemplo:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios