उत्कृष्ट प्रश्न! अपना स्वयं का CA प्रमाणपत्र उपयोग करने का प्राथमिक उपयोग मामला आंतरिक अनुपालन, सुरक्षा और आपके ट्रैफ़िक निरीक्षण पर शासन के लिए है। इसका अर्थ यह है कि आप अपने प्रमाणपत्र बुनियादी ढांचे का उपयोग अपने वातावरण के अंतर्गत आने वाले ट्रैफ़िक को डिक्रिप्ट और निरीक्षण करने के लिए कर सकते हैं। स्मरण के रूप में, TLS निरीक्षण अन्य Cato सुविधाओं जैसे RBI, CASB और DLP के लिए एक पूर्वापेक्षित विशेषता है।
TLS निरीक्षण के लिए अपने CA प्रमाणपत्रों का उपयोग करने के दो मुख्य दृष्टिकोण हैं:
-
CA निजी कुंजी के साथ अपना CA प्रमाणपत्र अपलोड करें
-
Cato से प्रमाणपत्र हस्ताक्षर अनुरोध (ग्राहक द्वारा हस्ताक्षरित प्रमाणपत्र)
TLS निरीक्षण के लिए Cato प्रदत्त प्रमाणपत्र का उपयोग करने का विकल्प हमेशा उपलब्ध है। उस विकल्प के बारे में और इंसर्ट थंबप्रिंट 40 अक्षरों का कोड पढ़ सकते हैं।
महत्वपूर्ण यह है कि आप कई प्रमाणपत्र बना सकते हैं, लेकिन किसी भी समय केवल एक प्रमाणपत्र सक्रिय हो सकता है।
ग्राहक पर्यावरण की समग्र सुरक्षा स्थिति को बढ़ाने के अलावा, एक बार कॉन्फ़िगर करने के बाद, कस्टम प्रमाणपत्र निम्नलिखित नियमों पर TLS निरीक्षण के लिए उपयोग किया जाएगा:
-
फ़ायरवॉल
-
एंटी-मैलवेयर
-
IPS
-
CASB/DLP
-
RBI
इन विधियों में से एक के साथ TLS निरीक्षण सक्षम होने पर, सभी TLS ट्रैफ़िक का निरीक्षण के लिए डिक्रिप्ट किया जाएगा, सिवाय उस ट्रैफ़िक के जो नियमों का उपयोग करके बायपास किया जाता है।
मौजूदा एंटरप्राइज़ CA प्रमाणपत्र का उपयोग करके TLS निरीक्षण के विकल्प के लिए, पहले, आप उस हस्ताक्षरित प्रमाणपत्र को अपलोड करना चाहेंगे साथ ही अनएन्क्रिप्टेड निजी कुंजी।
जब CA प्रमाणपत्र अपलोड किया जाता है, तो आपको प्रमाणपत्र का विस्तृत दृश्य प्रस्तुत किया जाएगा, जिसमें हस्ताक्षरित CA का नाम, प्रमाणपत्र शृंखला, और समाप्ति तिथि शामिल है।
यदि आपको प्रमाणपत्र की वैधता अवधि को अपडेट करने के लिए एक नया प्रमाणपत्र अपलोड करना आवश्यक है, तो आप वर्तमान अपलोड की गई फ़ाइलों को हटा सकते हैं, और एक नया प्रमाणपत्र और कुंजी जोड़ी के साथ प्रक्रिया को दोबारा शुरू कर सकते हैं। Cato प्रबंधन अनुप्रयोग प्रमाणपत्र समाप्ति से 60 दिन पहले प्रशासकों को अलर्ट करना शुरू करेगा, ताकि किसी भी असुविधा और समाप्त प्रमाणपत्र के साथ सुरक्षा का लोप न हो।
प्रमाणपत्र जो 60 दिनों से कम के वैधता वाले होते हैं, में सक्रिय करने वाले बटन के बगल में एक नारंगी त्रिकोण आइकन होगा। जब आप उस पर अपने कर्सर को होवर करेंगे, तो यह "प्रमाणपत्र XX दिनों में समाप्त होने वाला है" प्रदर्शित करेगा। एक बार जब प्रमाणपत्र समाप्त हो जाता है, तो सक्रिय बटन के बगल में एक लाल वृत्त आइकन होगा, और जब आप आइकन पर अपने कर्सर को होवर करेंगे, तो यह "प्रमाणपत्र समाप्त हो गया" प्रदर्शित करेगा।
नोट
नोट: Cato वर्तमान में प्रमाणपत्रों को रद्द करने में सक्षम नहीं है।
अपने मौजूदा कस्टम प्रमाणपत्र को अपलोड करने के लिए:
-
नेविगेशन मेनू से, सुरक्षा > प्रमाणपत्र प्रबंधन पर क्लिक करें।
-
नया पर क्लिक करें, और फिर कस्टम प्रमाणपत्र चुनें
-
कस्टम प्रमाणपत्र पैनल में, ब्राउज़ करें और कस्टम प्रमाणपत्र और प्रमाणपत्र के लिए निजी कुंजी दोनों अपलोड करें। इन दोनों फ़ाइलों के सफलतापूर्वक अपलोड होने के बाद, जमा करें पर क्लिक करें।
जमा करें पर क्लिक करने के बाद, प्रमाणपत्र और कुंजी को सत्यापित किया जाएगा ताकि यह सुनिश्चित हो सके कि सभी आवश्यक जानकारी सही और उपयोग के लिए तैयार है। अपलोड किए गए प्रमाणपत्र और कुंजी के लिए:
-
प्रमाणपत्र एक मध्यवर्ती या CA प्रकाशक प्रमाणपत्र होना चाहिए (प्रमाणपत्र अन्य प्रमाणपत्रों पर हस्ताक्षर करने में सक्षम होना चाहिए)
-
प्रमाणपत्र शृंखला मौजूद है और मुख्य CA को शामिल करती है
-
प्रमाणपत्र फ़ाइल PEM प्रारूप में होना चाहिए
-
कुंजी फ़ाइल पासवर्ड संरक्षित नहीं है और न्यूनतम एन्क्रिप्शन कुंजी लंबाई RSA प्रारूप में 2048 बिट्स है
-
निजी कुंजी अपलोड किए गए CA प्रमाणपत्र से मेल खाना चाहिए
यदि इनमें से कोई भी सत्यापन विफल होता है, तो एक त्रुटि प्रदर्शित की जाएगी।
-
उस प्रमाणपत्र कुंजी जोड़ी का उपयोग करते हुए, Cato एक नई कुंजी जोड़ी और फिर कस्टम मध्यवर्ती प्रमाणपत्र उत्पन्न करेगा। नव निर्मित कुंजी जोड़ी आयातित निजी कुंजी का उपयोग करके हस्ताक्षरित की जाएगी और एन्क्रिप्ट करके Cato कुंजी स्टोर में संग्रहीत की जाएगी। एक बार जब नया मध्यवर्ती प्रमाणपत्र उत्पन्न हो जाता है, तो अपलोड की गई अनएन्क्रिप्टेड कुंजी सिस्टम से हटा दी जाएगी और केवल नव निर्मित मध्यवर्ती प्रमाणपत्र उपयोग किया जाएगा।
यह विकल्प आपको अपने Cato किरायेदार से प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) उत्पन्न करने की अनुमति देगा, और फिर संगठन के CA द्वारा हस्ताक्षरित किसी भी मध्यवर्ती प्रमाणपत्र से हस्ताक्षरित किया जाएगा। यह विकल्प, जबकि पर्यावरण की सुरक्षा स्थिति को बढ़ाता है, प्रशासकों को आवश्यक प्रमाणपत्रों को उत्पन्न करना आसान बनाता है क्योंकि CSR उस प्लेटफ़ॉर्म द्वारा उत्पन्न किया जाएगा जो उनका उपयोग करेगा।
नोट
नोट: कितने भी CSR उत्पन्न किए जा सकते हैं, लेकिन केवल एक प्रमाणपत्र एक समय में प्रति खाते सक्रिय किया जा सकता है।
अपने खाते के लिए कस्टम CSR उत्पन्न करने के लिए:
-
नेविगेशन मेनू से, सुरक्षा > प्रमाणपत्र प्रबंधन पर क्लिक करें।
-
नया पर क्लिक करें, और फिर CSR - प्रमाणपत्र हस्ताक्षर अनुरोध चुनें।
CSR बनाएँ पैनल प्रकट होता है।
-
निम्नलिखित आवश्यक फ़ील्ड्स भरें:
-
प्रमाणपत्र का नाम
-
संगठन का नाम
-
सामान्य नाम
नोट: जबकि CSR के अन्य फ़ील्ड्स वैकल्पिक हैं, सभी जानकारी को भरना सर्वोत्तम अभ्यास है।
-
-
CSR बनाएँ पर क्लिक करें ताकि आपके प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित करने के लिए CSR उत्पन्न हो सके।
CSR उत्पन्न करने के बाद, आपको हस्ताक्षरित प्रमाणपत्र अपलोड करने के लिए एक विकल्प प्रस्तुत किया जाएगा।
-
पूर्ण हुआ CSR स्वचालित रूप से प्रशासक की स्थानीय मशीन पर डाउनलोड किया जाएगा, जहाँ आप CSR फ़ाइल को अपने प्रमाणपत्र प्राधिकरण को हस्ताक्षर करने के लिए प्रस्तुत कर सकते हैं।
-
CA से हस्ताक्षरित प्रमाणपत्र को Cato प्रबंधन अनुप्रयोग में अपलोड करने की आवश्यकता होगी। प्रमाणपत्र प्रबंधन मेनू पर लौटें और प्रमाणपत्र अपलोड करें पर क्लिक करें।
-
अपने स्थानीय मशीन से Cato पर्यावरण में अपलोड करने के लिए हस्ताक्षरित प्रमाणपत्र का चयन करें, जो TLS निरीक्षण नियमों के लिए प्रमाणपत्र का उपयोग करने में सक्षम करेगा।
नोट: हस्ताक्षरित प्रमाणपत्र निम्नलिखित को शामिल करना चाहिए:
-
निम्नलिखित RSA एल्गोरिदम में से किसी से हस्ताक्षरित:
-
sha256WithRSAEncryption
-
sha512WithRSAEncryption
-
-
न्यूनतम कुंजी आकार 2048 के साथ हस्ताक्षरित
-
निम्नलिखित गुणों को शामिल करने की आवश्यकता है:
-
authorityKeyIdentifier=keyid,issuer
-
basicConstraints=CA:TRUE
-
keyUsage = keyCertSign,cRLSign
गुणों की पुष्टि निम्नलिखित कमांड का उपयोग करके की जा सकती है:
openssl x509 -in signed_cert.crt -text -noout
नोट: वर्तमान समय में प्रमाणपत्र रद्द करना समर्थित नहीं है।
-
समाप्त प्रमाणपत्रों के लिए कोई घटनाएँ उत्पन्न नहीं होती हैं, हालाँकि जब प्रमाणपत्र उत्पन्न, अपलोड, या हटाए जाते हैं तो लेखा परीक्षा लॉग प्रविष्टियाँ बनाई जाती हैं। खाता > लेखा परीक्षा ट्रेल > खोज फ़ील्ड के तहत "tls खाता" का उपयोग करके खोजें, और यह उत्पन्न और हटाए गए प्रमाणपत्रों का लेखा परीक्षा ट्रेल दिखाएगा:
जब एक कस्टम प्रमाणपत्र कार्य करता है, तो ब्राउज़र दिखाता है कि लौटाया गया प्रमाणपत्र वही है जो ग्राहक द्वारा Cato प्रबंधन अनुप्रयोग में 'प्रमाणपत्र प्रबंधन' में अपलोड किया गया था। आप फिर लौटे हुए प्रमाणपत्र के सामान्य नाम और प्रमाणपत्र फ़िंगरप्रिंट की तुलना सक्रिय प्रमाणपत्र के साथ Cato प्रबंधन अनुप्रयोग में कर सकते हैं।
यहाँ कुछ उपयोगी OpenSSL कमांड हैं जो प्रमाणपत्रों के साथ काम करते समय सहायक हो सकते हैं:
-
OpenSSL का उपयोग करके निजी कुंजी लंबाई की जाँच करना:
-
openssl rsa -in myCA.key -text -noout
-
-
CA और निजी कुंजियों को सत्यापन कर रहे हैं:
-
openssl x509 -noout -modulus -in cert.crt | openssl md5 -
openssl rsa -noout -modulus -in privkey.txt | openssl md5
जहाँ:
-
cert.crt आपका प्रमाणपत्र है
-
privkey.txt आपकी निजी कुंजी है
दोनों आदेशों से आउटपुट की तुलना करें। यदि वे समान हैं, तो निजी कुंजी प्रमाणपत्र से मेल खाती है।
-
-
OpenSSL का उपयोग करके प्रमाणपत्र पर हस्ताक्षर करना:
-
openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf
जहाँ:
-
sha256 हस्ताक्षर एल्गोरिदम है। मैक में डिफ़ॉल्ट sha-1 है। आप sha512 का भी उपयोग कर सकते हैं।
-
myCA.pem आपका CA है
-
myCA.key आपकी निजी कुंजी है
-
request.csr वह csr फ़ाइल है जो आपको cc2 से प्राप्त हुई थी
-
signed_cert.crt आपका नया हस्ताक्षरित प्रमाणपत्र है
-
signed_cert_attributes.conf फ़ाइल में निम्नलिखित उदाहरण सामग्री है:
-
basicConstraints=CA:TRUE -
authorityKeyIdentifier=keyid,issuer -
keyUsage = keyCertSign,cRLSign
-
-
0 टिप्पणियां
लेख टिप्पणियों के लिए उपलब्ध नहीं है.