Sécurisation du trafic par inspection TLS avec des certificats privés

Pourquoi utiliser ses propres certificats CA pour l'inspection TLS ?

Excellente question ! Le cas d'utilisation principal de vos propres certificats CA est la conformité interne, la sécurité et la gouvernance sur votre inspection du trafic. Cela signifie que vous pouvez utiliser votre infrastructure de certificats pour décrypter et inspecter le trafic traversant votre environnement. En rappel, l'inspection TLS est une fonctionnalité préalable à d'autres fonctionnalités Cato, telles que RBI, CASB et DLP.

Comment l'inspection TLS avec des certificats CA privés fonctionne-t-elle ?

Il existe deux approches principales pour utiliser l'inspection TLS avec vos propres certificats CA :

  • Téléverser votre propre certificat CA avec la clé privée CA

  • Demande de signature de certificat de Cato (certificat signé par le client)

L'option d'utiliser le certificat fourni par Cato pour l'inspection TLS est toujours disponible également. Vous pouvez en lire plus sur cette option ici.

Il est important de noter que vous pouvez créer plusieurs certificats, mais seul un certificat peut être actif à un moment donné.

En plus d'améliorer la posture de sécurité globale de l'environnement client, une fois configuré, le certificat personnalisé sera utilisé pour l'inspection TLS selon les règles suivantes :

  • Pare-feu

  • Anti-malware

  • IPS

  • CASB/DLP

  • RBI

Avec l'inspection TLS activée grâce à l'une de ces méthodes, tout le trafic TLS sera décrypté pour inspection sauf le trafic contourné par des règles.

Téléversement d'un certificat CA existant pour l'inspection TLS

certificate_management.png

Pour l'option d'utiliser un certificat CA d'entreprise existant pour l'inspection TLS, vous devez d'abord téléverser ce certificat signé avec la clé privée non chiffrée.

Lorsque le certificat CA est téléversé, vous aurez une vue détaillée du certificat, y compris le nom CA signé, la chaîne de certificats et la date d'expiration.

Si vous devez téléverser un nouveau certificat pour mettre à jour la période de validité du certificat, vous pouvez supprimer les fichiers téléchargés actuels et recommencer le processus avec un nouveau certificat et une paire de clés. L'application de gestion Cato commencera à alerter les administrateurs 60 jours avant l'expiration du certificat, à la fois sur l'application de gestion Cato et avec une notification par e-mail (et répéter à 30 jours, 7 jours et le jour de l'expiration) pour éviter tout inconvénient et toute lacune de sécurité avec un certificat expiré.

Les certificats dont la validité est inférieure à 60 jours auront une icône de triangle orange à côté du bouton Activer. Lorsque vous survolez l'icône avec votre curseur, il affichera "Le certificat est sur le point d'expirer dans XX jours". Une fois le certificat expiré, il y aura une icône de cercle rouge à côté du bouton Activer, et cela affichera "Certificat expiré" lorsque vous survolez l'icône, et le bouton Activer sera grisé.

Remarque

Remarque: Cato ne peut actuellement pas révoquer de certificats.

Pour téléverser un certificat personnalisé existant :

  1. Dans le menu de navigation, cliquez sur Sécurité > Gestion des certificats.

  2. Cliquez sur Nouveau, puis sélectionnez Certificat Personnalisé

  3. Dans le panneau Certificat Personnalisé, parcourez et téléversez à la fois le certificat personnalisé et la clé privée pour le certificat. Après que ces deux fichiers ont été téléversés avec succès, cliquez sur Soumettre.

    Custom_certificate_panel.png

    Après avoir cliqué sur Soumettre, le certificat et la clé sont validés pour s'assurer que toutes les informations requises sont correctes et prêtes à être utilisées. Le certificat téléversé et la clé seront validés pour :

    • Le certificat doit être un certificat intermédiaire ou éditeur CA (le certificat doit pouvoir signer d'autres certificats)

    • La chaîne de certificats existe et inclut le CA racine

    • Le fichier certificat doit être au format PEM

    • La clé n'est pas protégée par mot de passe et la longueur minimale de la clé de chiffrement est de 2048 bits au format RSA

    • La clé privée doit correspondre au certificat CA téléchargé

    Si l'une de ces validations échoue, une erreur sera affichée.

En utilisant cette paire de certificat et de clé, Cato générera une nouvelle paire de clés, puis le certificat intermédiaire personnalisé. La nouvelle paire de clés créée sera signée en utilisant la clé privée importée, puis sera chiffrée et stockée dans le magasin de clés Cato. Après que le nouveau certificat intermédiaire est généré, la clé non chiffrée téléchargée sera supprimée du système et seul le certificat intermédiaire nouvellement généré sera utilisé.

Génération d'une demande de signature de certificat

Cette option vous permettra de générer une demande de signature de certificat (CSR) depuis votre tenant Cato, puis signée par tout certificat intermédiaire qui est signé par le CA de l'organisation. Cette option, tout en augmentant également la posture de sécurité d'un environnement, facilite aux administrateurs la création des certificats nécessaires puisque la CSR sera générée par la plateforme qui les utilisera.

Remarque

Remarque: Bien que de nombreux CSR puissent être générés, seul un certificat peut être activé à la fois par compte.

Pour générer un CSR personnalisé pour votre compte :

  1. Dans le menu de navigation, cliquez sur Sécurité > Gestion des certificats.

  2. Cliquez sur Nouveau, puis sélectionnez CSR - Demande de signature de certificat.

    Le panneau Créer CSR apparaît.

  3. Remplissez les champs obligatoires suivants :

    • Nom du certificat

    • Nom de l'organisation

    • Nom commun

    Remarque : Bien que les autres champs de la CSR soient facultatifs, il est conseillé de remplir toutes les informations.

  4. Cliquez sur Créer CSR pour générer la CSR à signer par votre autorité de certification.

    Create_CSR.png

    Après avoir généré la CSR, vous aurez l'option de téléverser le certificat signé.

    Create_CSR_Upload.png

  5. La CSR complétée sera automatiquement téléchargée sur la machine locale de l'administrateur, où vous pourrez soumettre le fichier CSR à votre autorité de certification pour signature.

  6. Le certificat signé par le CA devra être téléversé dans l'application de gestion Cato. Retournez au menu de gestion des certificats et cliquez sur Téléverser le certificat.

  7. Sélectionnez le certificat signé depuis votre machine locale pour le téléverser dans l'environnement Cato, ce qui permettra au certificat d'être utilisé pour les règles d'inspection TLS.

NOTE : Le certificat signé doit inclure ce qui suit :

  • Signé par l'un des algorithmes RSA suivants :

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • Signé avec une taille de clé minimale de 2048

  • Doit inclure les attributs suivants :

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Les attributs peuvent être confirmés en utilisant la commande suivante :

    openssl x509 -in signed_cert.crt -text -noout

    NOTE : La révocation de certificat n'est pas prise en charge pour le moment.

Surveillance et audit

Aucun événement n'est généré pour les certificats expirés ; cependant, des entrées de journal d'audit sont créées lorsque les certificats sont générés, téléversés ou supprimés. Recherchez en utilisant "compte tls" sous Compte > Piste d'audit > Champ de recherche, et cela montrera la piste d'audit des certificats créés et supprimés :

image-20230423-104436.png

À quoi cela ressemble-t-il lorsque ça fonctionne

Lorsqu'un certificat personnalisé fonctionne, le navigateur montre que le certificat retourné est le même que le certificat personnalisé qui a été téléversé par le client dans "Gestion des certificats" dans l'application de gestion Cato. Vous pouvez alors comparer le nom commun et l'empreinte numérique du certificat retourné avec le certificat actif dans l'application de gestion Cato.

image-20230423-104907.png

Ressources

Voici quelques commandes OpenSSL utiles qui peuvent aider lors de la manipulation des certificats :

  • Vérification de la longueur de la clé privée en utilisant OpenSSL :

    • openssl rsa -in myCA.key -text -noout

  • Validation des CA et clés privées :

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Où :

    • cert.crt est votre certificat

    • privkey.txt est votre clé privée

    Comparez la sortie des deux commandes. Si elles sont identiques, alors la clé privée correspond au certificat.

  • Signature du certificat en utilisant OpenSSL :

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Où :

    • sha256 est l'algorithme de signature. Par défaut sur mac est sha-1. Vous pouvez utiliser sha512 également.

    • myCA.pem est votre CA

    • myCA.key est votre clé privée

    • request.csr est le fichier csr que vous avez obtenu de cc2

    • signed_cert.crt est votre nouveau certificat signé

    • Le fichier signed_cert_attributes.conf a le contenu d'exemple suivant :

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire