TLS 검사로 트래픽 보호하기: 사설 인증서 사용

TLS 검사를 위해 자신의 CA 인증서를 사용하는 이유?

우수한 질문입니다! 자신의 CA 인증서를 사용하는 주된 이유는 내부 준수, 보안 및 트래픽 검사의 거버넌스를 위한 것입니다. 이는 귀하의 인증서 인프라를 활용하여 환경을 통과하는 트래픽을 해독하고 검사할 수 있음을 의미합니다. 참고로, TLS 검사는 RBI, CASB, DLP와 같은 다른 카토 기능의 사전 요구 사항입니다.

사설 CA 인증서를 통한 TLS 검사는 어떻게 작동합니까?

자체 CA 인증서를 사용하여 TLS 검사를 사용하는 두 가지 주요 접근 방식이 있습니다:

  • 자체 CA 인증서와 사설 키 업로드

  • 카토로부터의 인증서 서명 요청(고객이 서명한 인증서)

TLS 검사를 위해 카토에서 제공되는 인증서를 사용하는 옵션도 항상 사용할 수 있습니다. 해당 옵션에 대한 자세한 내용을 읽으려면 서명자 인증서 지문 코드 40자를 입력하세요

여러 인증서를 생성할 수 있지만, 어느 때나 한 개의 인증서만 활성화될 수 있음을 주의하는 것이 중요합니다.

고객 환경의 전체적인 보안 자세를 강화하는 것 외에도, 구성 후 커스텀 인증서는 다음 규칙들에 대해 TLS 검사에 사용됩니다:

  • 방화벽

  • 안티멀웨어

  • IPS

  • CASB/DLP

  • RBI

이 방법들 중 하나로 TLS 검사가 활성화되면, 규칙으로 우회되는 트래픽을 제외한 모든 TLS 트래픽이 검사를 위해 해독됩니다.

TLS 검사를 위한 기존 CA 인증서 업로드

certificate_management.png

기존 기업 CA 인증서를 TLS 검사에 사용하는 옵션의 경우, 먼저 서명된 인증서와 암호화되지 않은 비공개 키를 업로드하시기 바랍니다.

CA 인증서를 업로드하면, 서명된 CA의 이름, 인증서 체인 및 만료일을 포함하여 인증서를 자세히 볼 수 있습니다.

인증서의 유효 기간을 업데이트하기 위해 새 인증서를 업로드해야 하는 경우, 현재 업로드된 파일을 삭제하고 새 인증서와 키 쌍으로 프로세스를 다시 시작할 수 있습니다. 카토 관리 애플리케이션은 만료일 60일 전에 관리자를 경고하기 시작하며, 만료된 인증서로 인한 불편과 보안 문제를 피하기 위해 카토 관리 애플리케이션과 이메일 알림을 통해 알림을 반복합니다(30일, 7일, 만료일).

유효 기간이 60일 미만인 인증서에는 활성화 버튼 옆에 주황색 삼각형 아이콘이 표시됩니다. 커서를 그 위에 올리면 "인증서가 XX일 후에 만료됩니다"라고 표시됩니다. 인증서가 만료되면 활성화 버튼 옆에 빨간색 원 아이콘이 표시되며, 아이콘 위에 커서를 올리면 "인증서 만료됨"이라고 표시되고 활성화 버튼은 비활성화됩니다.

참고

참고: 현재 카토는 인증서를 취소할 수 없습니다.

기존 사용자 정의 인증서를 업로드하려면:

  1. 네비게이션 메뉴에서 보안 > 인증서 관리를 클릭합니다.

  2. 새로 만들기를 클릭하고 사용자 정의 인증서를 선택합니다

  3. 사용자 정의 인증서 패널에서 사용자 정의 인증서와 개인 키를 찾아 업로드합니다. 두 파일 모두 성공적으로 업로드되면 제출을 클릭합니다.

    Custom_certificate_panel.png

    제출 버튼을 클릭한 후, 모든 필수 정보가 정확하고 사용 준비가 되어 있는지 확인하기 위해 인증서와 키가 검증됩니다. 업로드된 인증서와 키는 다음에 대해 검증됩니다:

    • (인증서는 중간 또는 CA 발행자 인증서여야 하며, 다른 인증서를 서명할 수 있어야 합니다

    • 인증서 체인은 존재하며 루트 CA를 포함합니다

    • 인증서 파일은 PEM 형식이어야 합니다

    • 키 파일은 비밀번호로 보호되지 않으며, 최소 암호화 키 길이는 RSA 형식에서 2048 비트입니다

    • 개인 키는 업로드된 CA 인증서와 일치해야 합니다

    이 검증 중 하나라도 실패하면 오류가 표시됩니다.

해당 인증서 키 쌍을 사용하여 Cato는 새로운 키 쌍을 생성하고, 사용자 정의 중간 인증서를 만듭니다. 새로 생성된 키 쌍은 수입된 개인 키를 사용하여 서명되고 암호화되어 Cato 키 저장소에 저장됩니다. 새 중간 인증서가 생성된 후 업로드된 비암호화된 키는 시스템에서 삭제되며, 새로 생성된 중간 인증서만 사용됩니다.

인증서 서명 요청 생성

이 옵션을 사용하면 Cato 임차인에서 인증서 서명 요청 (CSR)을 생성할 수 있으며, 이는 조직의 CA가 서명한 임의의 중간 인증서에 의해 서명됩니다. 이 옵션은 환경의 보안 상태를 높이는 동시에, CSR을 사용할 플랫폼에서 생성하므로 관리자가 필요한 인증서를 쉽게 생성할 수 있게 합니다.

참고

참고: 많은 CSR을 생성할 수 있지만, 계정당 한 번에 하나의 인증서만 활성화할 수 있습니다.

계정에 대한 사용자 정의 CSR을 생성하려면:

  1. 네비게이션 메뉴에서 보안 > 인증서 관리를 클릭합니다.

  2. 신규를 클릭한 다음, CSR - 인증서 서명 요청을 선택합니다.

    CSR 생성 패널이 나타납니다.

  3. 다음 필수 필드를 작성합니다:

    • 인증서 이름

    • 조직 이름

    • 일반 이름

    참고: CSR의 다른 필드는 선택 사항이지만, 모든 정보를 입력하는 것이 모범 사례입니다.

  4. CSR 생성을 클릭하여 인증 기관에서 서명할 CSR을 생성합니다.

    Create_CSR.png

    CSR을 생성한 후 서명된 인증서를 업로드할 수 있는 옵션이 제공됩니다.

    Create_CSR_Upload.png

  5. 완료된 CSR은 관리자의 로컬 기기에 자동으로 다운로드되어, CSR 파일을 인증 기관에 제출하여 서명할 수 있습니다.

  6. CA로부터 서명된 인증서는 Cato 관리 애플리케이션에 업로드해야 합니다. 인증서 관리 메뉴로 돌아가서 인증서 업로드를 클릭합니다.

  7. 로컬 기기에서 서명된 인증서를 선택하여 Cato 환경에 업로드합니다. 이를 통해 인증서가 TLS 검사 규칙에 사용될 수 있습니다.

참고: 서명된 인증서는 다음을 포함해야 합니다:

  • 다음 RSA 알고리즘 중 하나로 서명됨:

    • Sha256WithRSAEncryption

    • Sha512WithRSAEncryption

  • 최소 키 크기 2048로 서명됨

  • 다음 속성을 포함해야 합니다:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    다음 명령을 사용하여 속성을 확인할 수 있습니다:

    openssl x509 -in signed_cert.crt -text -noout

    참고: 현재는 인증서 폐기가 지원되지 않습니다.

모니터링 및 감사

만료된 인증서에 대한 이벤트는 생성되지 않지만, 인증서가 생성, 업로드 또는 삭제될 때 감사 로그 항목이 생성됩니다. 계정 > 감사 내역 > 검색 필드 아래에서 "tls 계정"으로 검색하면 생성됨 및 삭제됨 인증서의 감사 내역이 표시됩니다:

image-20230423-104436.png

작동 시 보이는 모습

사용자 정의 인증서가 작동할 때, 브라우저는 반환된 인증서가 Cato 관리 애플리케이션의 '인증서 관리'에 고객이 업로드한 사용자 정의 인증서와 동일하다는 것을 보여줍니다. 그런 다음 반환된 인증서의 일반 이름 및 인증서 지문을 Cato 관리 애플리케이션의 활성 인증서와 비교할 수 있습니다.

image-20230423-104907.png

자원

다음은 인증서 작업 시 도움이 될 수 있는 유용한 OpenSSL 명령입니다:

  • OpenSSL을 사용하여 개인 키 길이 확인:

    • openssl rsa -in myCA.key -text -noout

  • CA와 개인 키 검증:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    어디에서:

    • cert.crt는 귀하의 인증서입니다

    • privkey.txt는 귀하의 개인 키입니다

    두 명령의 출력을 비교하십시오. 그들이 동일하다면 개인 키가 인증서와 일치합니다.

  • OpenSSL을 사용하여 인증서 서명:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    어디에서:

    • sha256는 서명 알고리즘입니다. Mac에서는 기본이 sha-1 입니다. sha512도 사용할 수 있습니다.

    • myCA.pem는 귀하의 CA입니다

    • myCA.key는 귀하의 개인 키입니다

    • request.csr는 cc2에서 얻은 csr 파일입니다

    • signed_cert.crt는 귀하의 새로운 서명된 인증서입니다

    • signed_cert_attributes.conf 파일은 다음과 같은 예시 내용을 포함합니다:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개