최상 질문입니다! 자체 CA 인증서를 사용하는 주요 사례는 내부 준수, 보안 및 트래픽 검사에 대한 관리입니다. 이것은 인증서 인프라를 활용하여 환경을 통과하는 트래픽을 해독하고 검사할 수 있음을 의미합니다. TLS 검사는 기타 Cato 기능, 예를 들어 RBI, CASB, DLP와 같은 기능을 위한 필수 조건입니다.
자체 CA 인증서를 사용하는 TLS 검사에 대한 두 가지 주요 접근 방식이 있습니다.
-
CA 개인 키와 함께 자체 CA 인증서를 업로드하십시오.
-
Cato에서의 인증서 서명 요청(고객 서명 인증서)
TLS 검사를 위해 항상 Cato 제공 인증서를 사용하는 옵션도 이용 가능하다. 해당 옵션에 대한 자세한 내용을 읽으려면 여기를 클릭하십시오.
많은 인증서를 생성할 수 있지만, 주어진 시간에 활성 상태인 인증서는 하나뿐입니다.
고객 환경의 전체 보안 자세를 향상시키는 것 외에도, 구성 후 사용자 지정 인증서는 다음의 규칙에 대한 TLS 검사에 사용됩니다.
-
방화벽
-
안티멀웨어
-
IPS
-
CASB/DLP
-
RBI
이 방법들 중 하나로 TLS 검사가 활성화되면 우회되는 규칙을 사용하는 트래픽을 제외하고 모든 TLS 트래픽은 검사를 위해 해독된다.
기존 엔터프라이즈 CA 인증서를 TLS 검사에 사용하는 옵션의 경우, 서명된 인증서와 비암호화 개인 키를 업로드합니다.
CA 인증서가 업로드되면 인증서 체인 내 서명된 CA 이름과 만료 날짜를 포함하여 인증서의 상세 뷰를 표시합니다.
인증서의 유효 기간을 업데이트하기 위해 새로운 인증서를 업로드해야 하는 경우 현재 파일을 삭제하고 새로운 인증서 및 키 쌍으로 프로세스를 다시 시작할 수 있습니다. Cato 관리 애플리케이션은 인증서 만료 60일 전에 관리자에게 경고를 시작하고, 이메일 알림과 함께 Cato 관리 애플리케이션에서 30일, 7일, 만료일에 반복하여 만료된 인증서로 인한 보안 불편 및 손실을 방지합니다.
유효 기간이 60일 미만인 인증서는 활성화 버튼 옆에 주황색 삼각형 아이콘을 표시합니다. 커서를 그 위에 올리면 "인증서가 XX일 후 만료됩니다"라는 메시지가 표시됩니다. 인증서가 만료되면 빨간색 원 아이콘이 활성화 버튼 옆에 표시되며, 커서를 아이콘 위에 올리면 "인증서 만료됨"이라는 메시지가 표시되고 활성화 버튼이 회색으로 표시됩니다.
참고
참고: Cato는 현재 인증서를 취소할 수 없습니다.
기존 사용자 정의 인증서 업로드:
-
네비게이션 메뉴에서 보안 > 인증서 관리를 클릭합니다.
-
새로 만들기를 클릭하고 사용자 정의 인증서를 선택합니다.
-
사용자 정의 인증서 패널에서 사용자 정의 인증서와 인증서의 개인 키를 찾아서 업로드합니다. 두 파일이 성공적으로 업로드된 후 제출을 클릭합니다.
제출을 클릭한 후 인증서와 키가 검증되어 필요한 모든 정보가 정확하고 사용 준비가 되었는지 확인합니다. 업로드된 인증서와 키는 다음을 위해 검증됩니다:
-
인증서는 중간 또는 CA 게시자 인증서여야 합니다(인증서는 다른 인증서를 서명할 수 있어야 합니다)
-
인증서 체인은 존재하며 루트 CA를 포함합니다.
-
인증서 파일은 PEM 형식이어야 합니다.
-
키 파일은 비밀번호로 보호되지 않으며 최소 암호화 키 길이는 RSA 형식으로 2048비트입니다.
-
개인 키는 업로드된 CA 인증서와 일치해야 합니다.
이러한 검증 중 하나가 실패하면 오류가 표시됩니다.
-
해당 인증서 키 쌍을 사용하여 Cato는 새로운 키 쌍을 생성한 다음 사용자 정의 중간 인증서를 생성합니다. 새로 생성된 키 쌍은 가져온 개인 키를 사용하여 서명되어 암호화된 후 Cato 키 저장소에 저장됩니다. 새로운 중간 인증서가 생성된 후 업로드된 비암호화 키는 시스템에서 삭제되며 새로 생성된 중간 인증서만 사용됩니다.
이 옵션은 Cato 테넌트에서 인증서 서명 요청(CSR)을 생성할 수 있도록 하고, 조직의 CA로 서명된 중간 인증서를 통해 서명됩니다. 이 옵션은 환경의 보안 상태를 높이고, CSR이 사용할 플랫폼에 의해 생성되기 때문에 관리자가 필요한 인증서를 만들기 쉽게 합니다.
참고
참고: 많은 CSR을 생성할 수 있지만, 계정당 한 번에 하나의 인증서만 활성화할 수 있습니다.
계정에 대한 사용자 지정 CSR을 생성하려면:
-
네비게이션 메뉴에서 보안 > 인증서 관리를 클릭합니다.
-
새로 만들기를 클릭하고, CSR - 인증서 서명 요청을 선택합니다.
CSR 생성 패널이 나타납니다.
-
다음 필수 필드를 작성하십시오:
-
인증서 이름
-
조직 이름
-
일반 이름
참고: 다른 CSR 필드는 선택 사항이지만 모든 정보를 작성하는 것이 최선의 관례입니다.
-
-
CSR 생성 버튼을 클릭하여 인증서 기관에 의해 서명될 CSR을 생성합니다.
CSR을 생성한 후 서명된 인증서를 업로드할 수 있는 옵션이 제공됩니다.
-
완성된 CSR은 관리자의 로컬 머신으로 자동 다운로드됩니다. CSR 파일을 인증서 기관에 제출하여 서명받을 수 있습니다.
-
CA에서 서명된 인증서는 Cato 관리 애플리케이션에 업로드해야 합니다. 인증서 관리 메뉴로 돌아가서 인증서 업로드를 클릭합니다.
-
로컬 머신에서 서명된 인증서를 선택하여 Cato 환경에 업로드하면 TLS 검사 규칙을 위한 인증서 사용이 활성화됩니다.
참고: 서명된 인증서에는 다음을 포함해야 합니다:
-
다음 RSA 알고리즘 중 하나로 서명됨:
-
sha256WithRSAEncryption
-
sha512WithRSAEncryption
-
-
2048의 최소 키 크기로 서명됨
-
다음 속성을 포함해야 합니다:
-
authorityKeyIdentifier=keyid,issuer
-
basicConstraints=CA:TRUE
-
keyUsage = keyCertSign,cRLSign
다음 명령을 사용하여 속성을 확인할 수 있습니다:
openssl x509 -in signed_cert.crt -text -noout
참고: 인증서 취소는 현재 지원되지 않습니다.
-
만료된 인증서에 대한 이벤트는 생성되지 않지만, 인증서가 생성, 업로드, 제거될 때 감사 로그 항목이 생성됩니다. 계정 > 감사 기록 > 검색 필드에서 "tls account"를 검색하면 생성 및 삭제된 인증서의 감사 기록을 보여줍니다.
사용자 정의 인증서가 작동 중일 때 브라우저는 반환된 인증서가 고객이 Cato 관리 애플리케이션의 '인증서 관리'에 업로드한 사용자 정의 인증서와 동일함을 보여줍니다. 그런 다음 반환된 인증서의 일반 이름과 인증서 지문을 Cato 관리 애플리케이션의 활성 인증서와 비교할 수 있습니다.
여기에 인증서 작업 시 도움이 될 수 있는 몇 가지 유용한 OpenSSL 명령어가 있습니다:
-
OpenSSL을 사용하여 개인 키 길이 확인:
-
openssl rsa -in myCA.key -text -noout
-
-
CA 및 개인 키 확인:
-
openssl x509 -noout -modulus -in cert.crt | openssl md5 -
openssl rsa -noout -modulus -in privkey.txt | openssl md5
상황:
-
cert.crt는 인증서입니다.
-
privkey.txt는 개인 키입니다.
두 명령의 출력 결과를 비교하십시오. 이들이 동일하다면 개인 키가 인증서와 일치합니다.
-
-
OpenSSL로 인증서 서명:
-
openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf
상황:
-
sha256은 서명 알고리즘입니다. mac의 기본값은 sha-1입니다. sha512도 사용할 수 있습니다.
-
myCA.pem은 CA입니다.
-
myCA.key는 개인 키입니다.
-
request.csr은 cc2에서 얻은 csr 파일입니다.
-
signed_cert.crt는 새로운 서명 된 인증서입니다.
-
signed_cert_attributes.conf 파일에는 다음과 같은 예시 내용이 포함됩니다:
-
basicConstraints=CA:TRUE -
authorityKeyIdentifier=keyid,issuer -
keyUsage = keyCertSign,cRLSign
-
-
댓글 0개
이 문서에는 댓글을 달 수 없습니다.