素晴らしい質問です! 独自のCA証明書を使用する主なケースは、トラフィックインスペクションを介した内部コンプライアンス、セキュリティ、ガバナンスです。 つまり、証明書インフラストラクチャを使用して環境を通過するトラフィックを復号化して検査できます。 参考までに、TLSインスペクションはRBI、CASB、DLPなどの他のCato機能の前提条件機能です。
独自のCA証明書を使用したTLSインスペクションには2つの主要なアプローチがあります:
-
CAプライベートキーと共に独自のCA証明書をアップロード
-
Catoからの証明書署名要求(顧客が署名した証明書)
TLSインスペクションのためにCatoが提供する証明書を使用するオプションも常に利用可能です。 そのオプションについての詳細をサイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。で読むことができます。
重要なのは、複数の証明書を作成することができますが、任意の時間に1つの証明書しかアクティブにすることができません。
顧客環境の全体的なセキュリティ態勢を強化することに加えて、一度設定されるとカスタム証明書は次のルールに対してTLSインスペクションに使用されます:
-
ファイアウォール
-
アンチマルウェア
-
IPS
-
CASB/DLP
-
RBI
これらの方法の1つでTLSインスペクションが有効になると、ルールを使用してバイパスされるトラフィック以外の全てのTLSトラフィックが検査のために復号化されます。
TLSインスペクションに既存のエンタープライズCA証明書を使用するオプションの場合、まず、署名された証明書と暗号化されていない秘密鍵を共にアップロードする必要があります。
CA証明書がアップロードされると、署名されたCAの名前、証明書チェーン、有効期限を含む証明書の詳細ビューが表示されます。
証明書の有効期限を更新するために新しい証明書をアップロードする必要がある場合、現在アップロードされているファイルを削除し、新しい証明書とキーのペアを使用してプロセスを再開できます。 期限切れの証明書による不便やセキュリティの欠落を避けるため、Cato管理画面は有効期限60日前から管理者にアラートを開始し、30日、7日、および有効期限の日にメール通知と共にそれを繰り返します。
有効期間が60日未満の証明書には、有効化ボタンの横にオレンジの三角アイコンが表示されます。 カーソルをその上に置くと、「証明書の有効期限がXX日後に切れます」と表示されます。 証明書の有効期限が切れると、有効化ボタンの横に赤い丸のアイコンが表示され、アイコンにカーソルを合わせると「証明書が期限切れ」と表示され、有効化ボタンはグレー表示になります。
注意
注意: Catoは現在、証明書を取り消すことができません。
既存のカスタム証明書をアップロードするには:
-
ナビゲーションメニューから、セキュリティ > 証明書管理 をクリックします。
-
新規をクリックし、その後カスタム証明書を選択します
-
カスタム証明書 パネルで、カスタム証明書および証明書のプライベートキーを参照してアップロードします。 両方のファイルが正常にアップロードされたら、実行をクリックします。
実行をクリックすると、証明書とキーが検証され、必要な情報が正しく利用可能であることを確認します。 アップロードされた証明書とキーは次の点で検証されます:
-
証明書は中間またはCA発行者証明書である必要があります(証明書は他の証明書に署名できる必要があります)
-
証明書チェーンが存在し、ルートCAを含むこと
-
証明書ファイルはPEM形式でなければなりません
-
キー ファイルはパスワードで保護されておらず、最小暗号化キー長はRSA形式で2048ビットです
-
プライベートキーはアップロードされたCA証明書と一致する必要があります
これらの検証のいずれかが失敗した場合、エラーが表示されます。
-
その証明書キー ペアを使用して、Catoは新しいキー ペアを生成し、カスタム中間証明書を作成します。 新しく作成されたキー ペアは、インポートされたプライベートキーを使用して署名され、暗号化されてCatoキー ストアに保存されます。 新しい中間証明書が生成された後、アップロードされた暗号化されていないキーがシステムから削除され、新しく生成された中間証明書のみが使用されます。
このオプションにより、Catoテナントから証明書署名要求(CSR)を生成し、組織のCAが署名した中間証明書によって署名することができます。 このオプションは、環境のセキュリティを向上させると同時に、管理者が必要な証明書を作成しやすくします。CSRは使用するプラットフォームによって生成されます。
注意
注意: 多くのCSRを生成できますが、アカウントごとに1度に有効化できる証明書は1つのみです。
アカウントのカスタムCSRを生成するには:
-
ナビゲーションメニューから、セキュリティ > 証明書管理 をクリックします。
-
新規 をクリックし、次に CSR - 証明書署名要求 を選択します。
CSR作成パネルが表示されます。
-
次の必須フィールドに入力してください:
-
証明書名
-
組織名
-
共通名
注意: CSRの他のフィールドは任意ですが、すべての情報を入力することがベストプラクティスです。
-
-
CSRを作成 をクリックして、証明書機関によって署名されるCSRを生成します。
CSRを生成した後、署名された証明書をアップロードするオプションが表示されます。
-
完成したCSRは管理者のローカルマシンに自動的にダウンロードされ、署名のために証明書機関にCSRファイルを提出できます。
-
CAからの署名済み証明書は、Cato管理画面にアップロードする必要があります。 証明書管理メニューに戻り、証明書のアップロードをクリックします。
-
ローカルマシンから署名済みの証明書を選択してCato環境にアップロードし、TLSインスペクションルールで証明書を使用できるようにします。
注意:署名された証明書には次の事項を含める必要があります:
-
次のRSAアルゴリズムのいずれかで署名済み:
-
Sha256WithRSAEncryption
-
Sha512WithRSAEncryption
-
-
最小キーサイズ2048で署名済み
-
次の属性を含める必要があります:
-
authorityKeyIdentifier=keyid,issuer
-
basicConstraints=CA:TRUE
-
keyUsage = keyCertSign,cRLSign
属性は次のコマンドを使用して確認できます:
openssl x509 -in signed_cert.crt -text -noout
注意: 証明書の取り消しは現時点ではサポートされていません。
-
期限切れの証明書にはイベントが生成されませんが、証明書が生成、アップロード、または削除されると監査ログエントリが作成されます。 アカウント > 監査証跡 > 検索フィールドで "tls アカウント" を使用して検索すると、作成および削除された証明書の監査証跡が表示されます:
カスタム証明書が動作していると、ブラウザーは返された証明書が顧客がCato管理画面の証明書管理にアップロードしたカスタム証明書と同じであることを示します。 次に、返された証明書の共通名と証明書のフィンガープリントをCato管理画面のアクティブな証明書と比較できます。
証明書を扱う際に役立つオープンSSLコマンドをいくつか紹介します:
-
OpenSSLを使用して秘密鍵の長さを確認:
-
openssl rsa -含む myCA.key -text -noout
-
-
CAおよび秘密鍵の検証:
-
openssl x509 -noout -modulus -含む cert.crt | openssl MD5 -
openssl rsa -noout -modulus -含む privkey.txt | openssl MD5
ため:
-
cert.crt はあなたの証明書です
-
privkey.txt はあなたの秘密鍵です
両方のコマンドの出力を比較してください。 出力が同じ場合、秘密鍵は証明書と一致しています。
-
-
OpenSSLを使用した証明書の署名:
-
openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf
ため:
-
sha256 は署名アルゴリズムです。 Macのデフォルトはsha-1です。 sha512 も使用できます。
-
myCA.pem はあなたのCAです
-
myCA.key はあなたの秘密鍵です
-
request.csr はcc2から取得したcsrファイルです
-
signed_cert.crt はあなたの新しい署名証明書です
-
signed_cert_attributes.conf ファイルには次のような例の内容があります:
-
basicConstraints=CA:TRUE -
authorityKeyIdentifier=keyid,発行者 -
keyUsage = keyCertSign,cRLSign
-
-
0件のコメント
記事コメントは受け付けていません。