TLS निरीक्षण के साथ ट्रैफ़िक की सुरक्षा निजी प्रमाणपत्रों का उपयोग करते हुए

TLS निरीक्षण के लिए अपनी स्वयं की CA प्रमाणपत्र का उपयोग क्यों करें?

उत्कृष्ट प्रश्न! अपने स्वयं के CA प्रमाणपत्र का उपयोग करने का प्राथमिक उपयोग मामला आपके ट्रैफ़िक निरीक्षण पर आंतरिक अनुपालन, सुरक्षा और शासन के लिए है। इसका अर्थ यह है कि आप अपने प्रमाणपत्र आधारभूत संरचना का उपयोग अपने वातावरण के माध्यम से जाने वाले ट्रैफ़िक को डिक्रिप्ट और निरीक्षण करने के लिए कर सकते हैं। एक अनुस्मारक के रूप में, TLS निरीक्षण अन्य केटो विशेषताओं जैसे RBI, CASB, और DLP के लिए एक पूर्वापेक्षा विशेषता है।

निजी CA प्रमाणपत्र के साथ TLS निरीक्षण कैसे कार्य करता है?

अपने खुद के CA प्रमाणपत्र का उपयोग करते हुए TLS निरीक्षण के लिए दो मुख्य दृष्टिकोण हैं:

  • अपने CA निजी कुंजी के साथ अपने खुद के CA प्रमाणपत्र को अपलोड करें

  • Cato से प्रमाणपत्र हस्ताक्षर अनुरोध (ग्राहक हस्ताक्षरित प्रमाणपत्र)

TLS निरीक्षण के लिए Cato द्वारा प्रदान किए गए प्रमाणपत्र का उपयोग करने का विकल्प हमेशा उपलब्ध भी होता है। "उस विकल्प के बारे में और इंसर्ट थंबप्रिंट 40 अक्षरों का कोड पढ़ सकते हैं।"

यह ध्यान रखना महत्वपूर्ण है कि आप कई प्रमाणपत्र बना सकते हैं, लेकिन किसी भी समय केवल एक ही प्रमाणपत्र सक्रिय हो सकता है।

ग्राहक की पर्यावरण की समग्र सुरक्षा स्थिति को बढ़ाने के अलावा, एक बार कॉन्फ़िगर हो जाने पर अनुकूलित प्रमाणपत्र निम्नलिखित नियमों के लिए TLS निरीक्षण में उपयोग किया जाएगा:

  • फ़ायरवॉल

  • एंटी-मैलवेयर

  • आई.पी.एस..

  • सीएएसबी (CASB)/डेटा लीक प्रतिरोध

  • रिमोट ब्राउज़र आइसोलेशन

इन तरीकों में से एक के साथ TLS निरीक्षण सक्षम होने पर, सभी TLS ट्रैफ़िक निरीक्षण के लिए डिक्रिप्ट होगा, जब तक कि ट्रैफ़िक को नियमों का उपयोग करके बायपास नहीं किया गया हो।

मौजूदा CA प्रमाणपत्र को TLS निरीक्षण के लिए अपलोड करें

certificate_management.png

TLS निरीक्षण के लिए एक मौजूदा उद्यम CA प्रमाणपत्र का उपयोग करने के लिए विकल्प के लिए, पहले, आप उस हस्ताक्षरित प्रमाणपत्र को अपलोड करना चाहेंगे साथ में अप्रयुक्त निजी कुंजी।

जब CA प्रमाणपत्र अपलोड किया जाता है, तो आपको प्रमाणपत्र का एक विस्तृत दृश्य प्रस्तुत किया जाएगा, जिसमें हस्ताक्षरित CA का नाम, प्रमाणपत्र चेन और समाप्ति तिथि शामिल होगी।

यदि आपको प्रमाणपत्र की वैधता अवधि को अपडेट करने के लिए नया प्रमाणपत्र अपलोड करने की आवश्यकता है, तो आप वर्तमान में अपलोड की गई फाइलों को हटा सकते हैं और एक नई प्रमाणपत्र और कुंजी जोड़ी के साथ प्रक्रिया को दोबारा शुरू कर सकते हैं। Cato प्रबंधन अनुप्रयोग प्रशासकों को प्रमाणपत्र समाप्ति से 60 दिन पहले अलर्ट करना प्रारंभ कर देगा, चाहे सीटो प्रबंधन अनुप्रयोग पर हो या ईमेल नोटिफिकेशन के साथ (और समाप्ति से 30 दिन, 7 दिन, और दिन को दोहराएगा) ताकि किसी भी असुविधा और समाप्ति प्रमाणपत्र के साथ सुरक्षा खोने से बचा जा सके।

प्रमाणपत्र जिनकी वैधता 60 दिनों से कम होती है, उनके सक्रिय करें बटन के बगल में एक नारंगी त्रिभुज आइकन होगा। जब आप अपने कर्सर को इसके ऊपर ले जाएंगे, यह दिखाएगा "प्रमाणपत्र समाप्त होने की तिथि XX दिनों में"। एक बार जब प्रमाणपत्र समाप्त हो जाता है, सक्रिय करें बटन के बगल में एक लाल वृत्त आइकन होगा, और जब आप अपने कर्सर को आइकन पर ले जाएंगे, तो यह प्रदर्शित करेगा "प्रमाणपत्र समाप्त हो गया" और सक्रिय करें बटन ग्रे हो जाएगा।

नोट

नोट: Cato वर्तमान में प्रमाणपत्रों को रद्द करने में असमर्थ है।

मौजूदा कस्टम प्रमाणपत्र को अपलोड करने के लिए:

  1. नेविगेशन मेनू से, क्लिक करें सुरक्षा > टीएलएस निरीक्षण प्रमाणपत्र प्रबंधन

  2. नया पर क्लिक करें, और फिर कस्टम प्रमाणपत्र चुनें

  3. कस्टम प्रमाणपत्र पैनल में, ब्राउज़ करें और दोनों कस्टम प्रमाणपत्र और प्रमाणपत्र के लिए निजी कुंजी अपलोड करें। जब दोनों फाइलें सफलतापूर्वक अपलोड हो जाएं, तो जमा करें पर क्लिक करें।

    Custom_certificate_panel.png

    जब आप जमा करें पर क्लिक करें, तो प्रमाणपत्र और कुंजी को सत्यापित किया जाता है ताकि यह सुनिश्चित किया जा सके कि सभी आवश्यक जानकारी सही है और उपयोग के लिए तैयार है। अपलोड किया गया प्रमाणपत्र और कुंजी इसके लिए सत्यापित की जाएगी:

    • प्रमाणपत्र एक मध्यवर्ती या CA प्रकाशक प्रमाणपत्र होना चाहिए (प्रमाणपत्र अन्य प्रमाणपत्रों पर हस्ताक्षर करने में सक्षम होना चाहिए)

    • प्रमाणपत्र श्रृंखला मौजूद है और इसमें रूट CA शामिल है

    • प्रमाणपत्र फ़ाइल PEM प्रारूप में होनी चाहिए

    • कुंजी फ़ाइल पासवर्ड से सुरक्षित नहीं है और न्यूनतम एन्क्रिप्शन कुंजी लंबाई RSA प्रारूप में 2048 बिट्स है

    • निजी कुंजी अपलोड किए गए CA प्रमाणपत्र से मेल खाना चाहिए

    यदि इनमें से कोई भी सत्यापन विफल होता है, तो एक त्रुटि दिखाई जाएगी।

उस प्रमाणपत्र कुंजी जोड़ी का उपयोग करके, केटो एक नया कुंजी जोड़ी उत्पन्न करेगा, फिर कस्टम मध्यवर्ती प्रमाणपत्र। नई बनाई गई कुंजी जोड़ी को आयातित निजी कुंजी का उपयोग करके हस्ताक्षरित किया जाएगा और एन्क्रिप्टेड और Cato कुंजी स्टोर में संग्रहीत किया जाएगा। जब नया मध्यवर्ती प्रमाणपत्र उत्पन्न हो जाता है, अपलोड की गई अनएन्क्रिप्टेड कुंजी सिस्टम से हटा दी जाएगी और केवल नई बनाई गई मध्यवर्ती प्रमाणपत्र का उपयोग किया जाएगा।

प्रमाणपत्र हस्ताक्षर अनुरोध उत्पन्न करें

यह विकल्प आपके Cato टेनेंट से एक सर्टिफिकेट साइनिंग अनुरोध (CSR) उत्पन्न करने की अनुमति देगा, और फिर संगठन के CA द्वारा हस्ताक्षरित किसी भी मध्यवर्ती प्रमाणपत्र द्वारा इसे हस्ताक्षरित किया जाएगा। यह विकल्प, एक पर्यावरण की सुरक्षा मुद्रा को भी बढ़ाते हुए, प्रशासकों को आवश्यक प्रमाणपत्र बनाने में आसानी प्रदान करता है क्योंकि CSR उन प्लेटफ़ॉर्म द्वारा उत्पन्न किया जाएगा जो उन्हें उपयोग कर रहे होंगे।

नोट

नोट: जबकि कई CSR उत्पन्न किए जा सकते हैं, प्रति खाता एक समय में केवल एक प्रमाणपत्र सक्रिय हो सकता है।

अपने खाते के लिए एक कस्टम CSR उत्पन्न करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > टीएलएस निरीक्षण प्रमाणपत्र प्रबंधन पर क्लिक करें।

  2. नया पर क्लिक करें, और फिर CSR - प्रमाणपत्र हस्ताक्षर अनुरोध का चयन करें।

    CSR बनाने का पैनल दिखाई देता है।

  3. निम्नलिखित आवश्यक फील्ड्स भरें:

    • प्रमाणपत्र का नाम

    • संगठन का नाम

    • सामान्य नाम

    नोट: जबकि CSR के अन्य फील्ड्स वैकल्पिक हैं, अच्छा अभ्यास यह है कि सभी जानकारी भरें।

  4. CSR बनाएँ पर क्लिक करके CSR उत्पन्न करें जिसे आपके प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित किया जाएगा।

    Create_CSR.png

    CSR उत्पन्न करने के बाद, आपको हस्ताक्षरित प्रमाणपत्र अपलोड करने का विकल्प प्रस्तुत किया जाएगा।

    Create_CSR_Upload.png

  5. पूर्ण CSR स्वचालित रूप से प्रशासक की स्थानीय मशीन पर डाउनलोड किया जाएगा, जहाँ आप हस्ताक्षर के लिए CSR फ़ाइल को अपने प्रमाणपत्र प्राधिकरण को प्रस्तुत कर सकते हैं।

  6. CA से हस्ताक्षरित प्रमाणपत्र को Cato प्रबंधन अनुप्रयोग में अपलोड करने की आवश्यकता होगी। प्रमाणपत्र प्रबंधन मेनू पर लौटें और प्रमाणपत्र अपलोड करें पर क्लिक करें।

  7. अपने स्थानीय मशीन से हस्ताक्षरित प्रमाणपत्र का चयन करके Cato वातावरण में अपलोड करें, जो प्रमाणपत्र को TLS निरीक्षण नियमों के लिए उपयोग करने में सक्षम बनाएगा।

नोट: हस्ताक्षरित प्रमाणपत्र में निम्नलिखित शामिल होना चाहिए:

  • निम्नलिखित RSA एल्गोरिथ्म में से किसी एक द्वारा हस्ताक्षरित:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • 2048 की न्यूनतम कुंजी आकार के साथ हस्ताक्षरित

  • निम्नलिखित विशेषताओं को शामिल करना चाहिए:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    विशेषताओं की पुष्टि निम्नलिखित कमांड का उपयोग करके की जा सकती है:

    openssl x509 -in signed_cert.crt -text -noout

    नोट: इस समय प्रमाणपत्र रद्द करने का समर्थन नहीं किया जाता है।

निगरानी और ऑडिटिंग

समाप्त हो गए प्रमाणपत्रों के लिए किसी भी घटनाओं का उत्पादन नहीं होता है, हालांकि, प्रमाणपत्र बनाए जाने, अपलोड किए जाने या हटाए जाने पर लेखा परीक्षा लॉग प्रविष्टियाँ बनाई जाती हैं। Search using "tls account" under Account > Audit Trail > Search field, and it will show the audit trail of the Created and Deleted certificates:

image-20230423-104436.png

जब यह काम कर रहा होता है, तब यह कैसा दिखता है

जब एक कस्टम प्रमाणपत्र काम कर रहा होता है, ब्राउज़र दिखाता है कि लौटे हुए प्रमाणपत्र वही होते हैं जो ग्राहक द्वारा काटो प्रबंधन एप्लिकेशन में 'टीएलएस निरीक्षण प्रमाणपत्र प्रबंधन' में अपलोड किए गए थे। फिर आप लौटे हुए प्रमाणपत्र के सामान्य नाम और प्रमाणपत्र फिंगरप्रिंट की तुलना काटो प्रबंधन अनुप्रयोग में सक्रिय प्रमाणपत्र के साथ कर सकते हैं।

image-20230423-104907.png

संसाधन

यहाँ कुछ उपयोगी OpenSSL कमांड हैं जो प्रमाणपत्रों के साथ काम करते समय सहायक हो सकते हैं:

  • OpenSSL का उपयोग करके निजी कुंजी की लंबाई की जाँच:

    • openssl rsa -in myCA.key -text -noout

  • CA और निजी कुंजियों को सत्यापित करना:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    जहाँ:

    • cert.crt आपका प्रमाणपत्र है

    • privkey.txt आपकी निजी कुंजी है

    दोनों कमांड की आउटपुट की तुलना करें। अगर वे समान हैं तो निजी कुंजी प्रमाणपत्र से मेल खाती है।

  • OpenSSL का उपयोग करके प्रमाणपत्र पर हस्ताक्षर करना:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    जहाँ:

    • sha256 हस्ताक्षर एल्गोरिथम है। मैक में डिफ़ॉल्ट रूप से sha-1 होता है। आप sha512 का भी उपयोग कर सकते हैं।

    • myCA.pem आपका CA है

    • myCA.key आपकी निजी कुंजी है

    • request.csr वह csr फाइल है जो आपने cc2 से प्राप्त की है

    • signed_cert.crt आपका नया हस्ताक्षरित प्रमाणपत्र है

    • signed_cert_attributes.conf फ़ाइल में निम्नलिखित उदाहरण सामग्री है:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,प्रमाणपत्र जारीकर्ता

      • keyUsage = keyCertSign,cRLSign

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां