Protegendo Tráfego com Inspeção TLS Usando Certificados Privados

Por que Usar Seus Próprios Certificados CA para Inspeção TLS?

Excelente pergunta! O principal caso de uso para usar seus próprios certificados CA é a conformidade interna, segurança e governança sobre a inspeção de seu tráfego. Isso significa que você pode utilizar sua infraestrutura de certificado para descriptografar e inspecionar o tráfego que atravessa seu ambiente. Como lembrete, a inspeção TLS é um recurso pré-requisito para outros recursos Cato, como RBI, CASB e DLP.

Como Funciona a Inspeção TLS com Certificados CA Privados?

Existem duas abordagens principais para usar inspeção TLS com seus próprios certificados CA:

  • Carregar seu próprio certificado CA com a chave privada do CA

  • Solicitação de Assinatura de Certificado da Cato (certificado assinado pelo cliente)

A opção de usar o certificado fornecido pela Cato para inspeção TLS também está sempre disponível. Você pode ler mais sobre essa opção Insira o código de impressão digital de 40 caracteres.

É importante notar que você pode criar vários certificados, mas apenas um certificado pode estar ativo em qualquer momento.

Além de melhorar a postura geral de segurança do ambiente do cliente, uma vez configurado, o certificado personalizado será utilizado para inspeção TLS nas seguintes regras:

  • Firewall

  • Anti-malware

  • IPS

  • CASB/DLP

  • RBI

Com a inspeção TLS habilitada por um desses métodos, todo o tráfego TLS será descriptografado para inspeção, exceto para o tráfego que é ignorado usando regras.

Carregar um Certificado CA Existente para Inspeção TLS

certificate_management.png

Para a opção de usar um certificado CA empresarial existente para inspeção TLS, primeiro, você deverá carregar esse certificado assinado juntamente com a chave privada sem criptografia.

Quando o certificado CA é carregado, você verá uma visualização detalhada do certificado, incluindo o nome do CA assinado, cadeia de certificados e data de expiração.

Se você precisar carregar um novo certificado para atualizar o período de validade do certificado, pode remover os arquivos enviados atualmente e iniciar o processo novamente com um novo certificado e par de chaves. O Aplicativo de Gerenciamento Cato começará a alertar os administradores 60 dias antes do vencimento do certificado, tanto no Aplicativo de Gerenciamento Cato quanto com uma notificação por e-mail (e repetirá com 30 dias, 7 dias e no dia do vencimento) para evitar qualquer inconveniente e lapsos de segurança com um certificado expirado.

Certificados com menos de 60 dias de validade terão um ícone de triângulo laranja ao lado do botão Ativar. Quando você passar o cursor sobre ele, exibirá "O Certificado está prestes a expirar em XX dias". Uma vez que o certificado tenha expirado, haverá um ícone de círculo vermelho ao lado do botão Ativar, e exibirá "Certificado expirado" quando você passar o cursor sobre o ícone, e o botão Ativar ficará desativado.

Nota

Nota: Cato atualmente é incapaz de revogar certificados.

Para carregar um certificado personalizado existente:

  1. No menu de navegação, clique em Segurança > Gerenciamento de Certificados TLS.

  2. Clique em Novo, e então selecione Certificado Personalizado

  3. No painel Certificado Personalizado, procure e carregue tanto o certificado personalizado quanto a chave privada para o certificado. Após ambos os arquivos serem carregados com sucesso, clique em Enviar.

    Custom_certificate_panel.png

    Depois que você clicar em Enviar, o certificado e a chave são validados para garantir que todas as informações necessárias estejam corretas e prontas para uso. O certificado e a chave carregados serão validados para:

    • O certificado deve ser um certificado de publicador intermediário ou CA (o certificado deve ser capaz de assinar outros certificados)

    • A cadeia de certificados existe e inclui o CA raiz

    • O arquivo do certificado deve estar em formato PEM

    • O arquivo da chave não está protegido por senha e o comprimento mínimo da chave de criptografia é de 2048 bits no formato RSA

    • A chave privada deve corresponder ao certificado CA carregado

    Se qualquer uma dessas validações falhar, será exibido um erro.

Usando esse par de chave de certificado, Cato gerará um novo par de chave, depois o certificado intermediário personalizado. O novo par de chave criado será assinado usando a chave privada importada e será criptografado e armazenado no repositório de chave da Cato. Após o novo certificado intermediário ser gerado, a chave não criptografada carregada será excluída do sistema e apenas o novo certificado intermediário gerado será utilizado.

Gerar uma Solicitação de Assinatura de Certificado

Esta opção permitirá que você gere uma Solicitação de Assinatura de Certificado (CSR) de seu locatário Cato, e depois assinada por qualquer certificado intermediário que seja assinado pelo CA da organização. Esta opção, além de melhorar a postura de segurança de um ambiente, facilita aos administradores a criação dos certificados necessários, pois o CSR será gerado pela plataforma que os utilizará.

Nota

Nota: Embora muitos CSRs possam ser gerados, apenas um certificado pode ser ativado por vez por conta.

Para gerar um CSR personalizado para sua conta:

  1. No menu de navegação, clique em Segurança > Gerenciamento de Certificados TLS.

  2. Clique em Novo e, em seguida, selecione CSR - Solicitação de Assinatura de Certificado.

    O painel Criar CSR aparece.

  3. Preencha os seguintes campos obrigatórios:

    • Nome do Certificado

    • Nome da Organização

    • Nome Comum

    Nota: Enquanto outros campos do CSR são opcionais, é uma boa prática preencher todas as informações.

  4. Clique em Criar CSR para gerar o CSR que será assinado pela sua autoridade certificadora.

    Create_CSR.png

    Após gerar o CSR, você terá a opção de enviar o certificado assinado.

    Create_CSR_Upload.png

  5. O CSR concluído será automaticamente baixado para a máquina local do administrador, onde você poderá enviar o arquivo CSR para sua autoridade certificadora para assinatura.

  6. O certificado assinado pela CA precisará ser enviado para o Aplicativo de Gerenciamento Cato. Retorne ao menu de Gerenciamento de Certificados e clique em Carregar Certificado.

  7. Selecione o certificado assinado de sua máquina local para carregar no ambiente Cato, o que permitirá que o certificado seja usado para regras de inspeção TLS.

NOTA: O certificado assinado deve incluir o seguinte:

  • Assinado por qualquer um dos seguintes algoritmos RSA:

    • Sha256WithRSAEncryption

    • Sha512WithRSAEncryption

  • Assinado com tamanho mínimo de chave de 2048

  • Precisa incluir os seguintes atributos:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Os atributos podem ser confirmados usando o seguinte comando:

    openssl x509 -in signed_cert.crt -text -noout

    NOTA: A revogação de certificados não é suportada neste momento.

Monitoramento e Auditoria

Não são gerados eventos para certificados expirados, no entanto, entradas de log de auditoria são criadas quando certificados são gerados, enviados ou excluídos. Pesquise usando "conta tls" em Conta > Trilha de Auditoria > Campo de pesquisa, e ele mostrará a trilha de auditoria dos certificados Criados e Excluídos:

image-20230423-104436.png

Como É Quando Funciona

Quando um Certificado Personalizado está funcionando, o navegador mostra que o certificado retornado é o mesmo que o certificado personalizado enviado pelo cliente para o 'Gerenciamento de Certificados' no Aplicativo de Gerenciamento Cato. Você pode então comparar o Nome Comum e a impressão digital do certificado retornado com o Certificado Ativo no Aplicativo de Gerenciamento Cato.

image-20230423-104907.png

Recursos

Aqui estão alguns comandos úteis do OpenSSL que podem ajudar ao trabalhar com certificados:

  • Verificando o Comprimento da Chave Privada usando OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • Validando o CA e as chaves privadas:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Onde:

    • cert.crt é o seu certificado

    • privkey.txt é a sua chave privada

    Compare a saída de ambos os comandos. Se forem idênticos, então a chave privada corresponde ao certificado.

  • Assinando o certificado usando OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Onde:

    • sha256 é o algoritmo de assinatura. No Mac o padrão é sha-1 . Você também pode usar sha512.

    • myCA.pem é o seu CA

    • myCA.key é a sua chave privada

    • request.csr é o arquivo csr que você obteve do cc2

    • signed_cert.crt é o seu novo certificado assinado

    • O arquivo signed_cert_attributes.conf tem o seguinte conteúdo de exemplo:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário