Sécuriser le trafic avec l'inspection TLS à l'aide de certificats privés

Pourquoi utiliser vos propres certificats CA pour l'Inspection TLS ?

Excellente question ! L'utilisation principale de vos propres certificats CA est pour la conformité interne, la sécurité et la gouvernance sur votre inspection du trafic. Cela signifie que vous pouvez exploiter votre infrastructure de certificats pour décrypter et inspecter le trafic traversant votre environnement. Pour mémoire, l'inspection TLS est une fonctionnalité préalable à d'autres fonctionnalités de Cato, comme RBI, CASB et DLP.

Comment fonctionne l'Inspection TLS avec des certificats CA privés ?

Il existe deux approches principales pour utiliser l'inspection TLS avec vos propres certificats CA :

  • Téléchargez votre propre certificat CA avec la clé privée CA

  • Demande de signature de certificat par Cato (certificat signé par le client)

L'option d'utiliser le certificat fourni par Cato pour l'inspection TLS est également toujours disponible. Vous pouvez en lire plus sur cette option ici.

Il est important de noter que vous pouvez créer plusieurs certificats, mais qu'un seul certificat peut être actif à tout moment.

En plus d'améliorer la posture générale de sécurité de l'environnement du client, une fois configuré, le certificat personnalisé sera utilisé pour l'inspection TLS sur les règles suivantes :

  • Pare-feu

  • Anti-Malware

  • IPS

  • CASB/DLP

  • RBI

Avec l'inspection TLS activée avec l'une de ces méthodes, tout le trafic TLS sera décrypté pour inspection, sauf pour le trafic contourné à l'aide de règles.

Téléchargez un certificat CA existant pour l'Inspection TLS

certificate_management.png

Pour l'option d'utiliser un certificat CA d'entreprise existant pour l'inspection TLS, vous souhaiterez d'abord télécharger ce certificat signé ainsi que la clé privée non chiffrée.

Lorsque le certificat CA est téléchargé, une vue détaillée du certificat vous sera présentée, comprenant le nom du CA signé, la chaîne de certificats et la date d'expiration.

Si vous devez télécharger un nouveau certificat pour mettre à jour la période de validité du certificat, vous pouvez supprimer les fichiers actuellement téléchargés et recommencer le processus avec un nouveau certificat et une paire de clés. L'application de gestion Cato commencera à alerter les administrateurs 60 jours avant l'expiration du certificat, à la fois sur l'application de gestion Cato et avec une notification par e-mail (et répétera à 30 jours, 7 jours et le jour de l'expiration) pour éviter tout inconvénient et manque de sécurité avec un certificat expiré.

Les certificats qui ont moins de 60 jours de validité auront une icône de triangle orange à côté du bouton Activer. Lorsque vous passez le curseur dessus, cela affichera "Le certificat est sur le point d'expirer dans XX jours". Une fois que le certificat a expiré, il y aura une icône de cercle rouge à côté du bouton Activer, et il affichera "Certificat expiré" lorsque vous passerez le curseur sur l'icône, et le bouton Activer sera grisé.

Remarque

Remarque : Cato est actuellement incapable de révoquer les certificats.

Pour charger un certificat personnalisé existant :

  1. Dans le menu de navigation, cliquez sur Sécurité > Gestion des certificats.

  2. Cliquez sur Nouveau, puis sélectionnez Certificat personnalisé

  3. Dans le panneau Certificat personnalisé, naviguez et téléchargez le certificat personnalisé et la clé privée du certificat. Une fois que ces fichiers ont été téléchargés avec succès, cliquez sur Soumettre.

    Custom_certificate_panel.png

    Après avoir cliqué sur Soumettre, le certificat et la clé sont validés pour s'assurer que toutes les informations requises sont correctes et prêtes à être utilisées. Le certificat et la clé téléchargés seront validés pour :

    • Le certificat doit être un certificat éditeur intermédiaire ou CA (le certificat doit être capable de signer d'autres certificats)

    • La chaîne de certificats existe et inclut le CA racine

    • Le fichier de certificat doit être au format PEM

    • Le fichier clé n'est pas protégé par mot de passe et la longueur minimale de la clé de cryptage est de 2048 bits dans le format RSA

    • La clé privée doit correspondre au certificat CA téléchargé

    Si l'une de ces validations échoue, une erreur sera affichée.

En utilisant cette paire de clés de certificat, Cato générera une nouvelle paire de clés, puis le certificat intermédiaire personnalisé. La nouvelle paire de clés sera signée à l'aide de la clé privée importée, chiffrée et stockée dans le magasin de clés Cato. Une fois le nouveau certificat intermédiaire généré, la clé non chiffrée téléchargée sera supprimée du système et seul le nouveau certificat intermédiaire généré sera utilisé.

Génération d'une demande de signature de certificat

Cette option vous permettra de générer une demande de signature de certificat (CSR) à partir de votre locataire Cato, puis d'être signée par tout certificat intermédiaire signé par le CA de l'organisation. Cette option, tout en augmentant également la posture de sécurité d'un environnement, permet aux administrateurs de créer plus facilement les certificats nécessaires puisque le CSR sera généré par la plateforme qui les utilisera.

Remarque

Remarque : Bien que de nombreux CSR puissent être générés, un seul certificat peut être activé à la fois par compte.

Pour générer un CSR personnalisé pour votre compte :

  1. Dans le menu de navigation, cliquez sur Sécurité > Gestion des certificats.

  2. Cliquez sur Nouveau , puis sélectionnez CSR - Demande de signature de certificat.

    Le panneau Créer un CSR apparaît.

  3. Remplissez les champs obligatoires suivants :

    • Nom du certificat

    • Nom de l'organisation

    • Nom commun

    Remarque : Bien que les autres champs du CSR soient facultatifs, il est préférable de remplir toutes les informations.

  4. Cliquez sur Créer un CSR pour générer le CSR qui sera signé par votre autorité de certification.

    Create_CSR.png

    Après avoir généré le CSR, vous aurez la possibilité de télécharger le certificat signé.

    Create_CSR_Upload.png

  5. Le CSR terminé sera automatiquement téléchargé sur l'ordinateur local de l'administrateur, où vous pourrez soumettre le fichier CSR à votre autorité de certification pour signature.

  6. Le certificat signé par le CA devra être téléchargé dans l'application de gestion Cato. Revenez au menu Gestion des certificats et cliquez sur Télécharger le certificat.

  7. Sélectionnez le certificat signé depuis votre machine locale pour le télécharger dans l'environnement Cato, ce qui permettra au certificat d'être utilisé pour les règles d'inspection TLS.

REMARQUE : Le certificat signé doit inclure ce qui suit :

  • Signé par l'un des algorithmes RSA suivants :

    • sha256AvecRSAEncryption

    • sha512AvecRSAEncryption

  • Signé avec une taille de clé minimale de 2048

  • Doit inclure les attributs suivants :

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Les attributs peuvent être confirmés en utilisant la commande suivante :

    openssl x509 -in signed_cert.crt -text -noout

    REMARQUE : La révocation de certificat n'est pas prise en charge pour le moment.

Surveillance et audit

Aucun événement n'est généré pour les certificats expirés, cependant, des entrées de journal d'audit sont créées lorsque des certificats sont générés, téléchargés ou supprimés. Recherchez 'compte tls' sous Compte > Trace d'audit > Champ de recherche, et il affichera la trace d'audit des certificats créés et supprimés :

image-20230423-104436.png

À quoi cela ressemble-t-il lorsque cela fonctionne

Lorsqu'un certificat personnalisé fonctionne, le navigateur indique que le certificat renvoyé est le même que le certificat personnalisé téléchargé par le client dans "Gestion des certificats" dans l'application de gestion Cato. Vous pouvez ensuite comparer le nom commun et l'empreinte du certificat renvoyé avec le certificat actif dans l'application de gestion Cato.

image-20230423-104907.png

Ressources

Voici quelques commandes utiles OpenSSL qui peuvent aider lors de la gestion des certificats :

  • Vérification de la longueur de la clé privée à l'aide d'OpenSSL :

    • openssl rsa -in myCA.key -text -noout

  • Validation des certificats CA et des clés privées :

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Où :

    • cert.crt est votre certificat

    • privkey.txt est votre clé privée

    Comparez la sortie des deux commandes. S'ils sont identiques, alors la clé privée correspond au certificat.

  • Signature du certificat à l'aide d'OpenSSL :

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Où :

    • sha256 est l'algorithme de signature. Dans mac, la valeur par défaut est sha-1 . Vous pouvez également utiliser sha512.

    • myCA.pem est votre CA

    • myCA.key est votre clé privée

    • request.csr est le fichier csr que vous avez obtenu de cc2

    • signed_cert.crt est votre nouveau certificat signé

    • Le fichier signed_cert_attributes.conf a le contenu d'exemple suivant :

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire