Обеспечение безопасности трафика с использованием инспекции TLS и частных сертификатов

Зачем использовать собственные сертификаты CA для инспекции TLS?

Отличный вопрос! Основная причина использования собственных сертификатов CA заключается во внутреннем соответствии, безопасности и управлении инспекцией вашего трафика. Это означает, что вы можете использовать вашу инфраструктуру сертификатов для расшифровки и инспекции трафика, проходящего через вашу среду. Напоминаем, что инспекция TLS является предварительной функцией для других возможностей Cato, таких как RBI, CASB и DLP.

Как работает инспекция TLS с частными сертификатами CA?

Существует два основных подхода к использованию инспекции TLS с вашими собственными сертификатами CA:

  • Загрузите собственный CA-сертификат с закрытым ключом CA

  • Запрос на подписание сертификата от Cato (сертификат, подписанный клиентом)

Опция использования сертификата, предоставленного Cato, для инспекции TLS всегда доступна. Вы можете читать далее об этой опции вставьте отпечаток сертификата 40 символов.

Важно отметить, что вы можете создать несколько сертификатов, но в любой момент времени можно активировать только один.

Помимо повышения общей безопасности среды клиента, после настройки пользовательский сертификат будет использован для инспекции TLS по следующим правилам:

  • Файервол

  • Антивирус

  • IPS

  • CASB/DLP

  • RBI

При включенной инспекции TLS одним из этих методов весь TLS-трафик будет расшифрован для инспекции, за исключением трафика, обходящегося с помощью правил.

Загрузка существующего CA-сертификата для инспекции TLS

certificate_management.png

Для опции использования существующего корпоративного сертификата CA для инспекции TLS сначала необходимо загрузить этот подписанный сертификат вместе с незашифрованным закрытым ключом.

После загрузки CA-сертификата вам будет представлено подробное отображение сертификата, включая название подписанного CA, цепочку сертификатов и дату истечения срока.

Если вам нужно загрузить новый сертификат для обновления срока действия, вы можете удалить текущие загруженные файлы и начать процесс заново с новым сертификатом и парой ключей. Приложение Управления Cato начнёт оповещать администраторов за 60 дней до истечения срока действия сертификата как в приложении, так и с помощью уведомления по электронной почте (и повторит это за 30 дней, 7 дней и в день истечения), чтобы избежать неудобств и проблем с безопасностью из-за истекшего сертификата.

У сертификатов, которые имеют менее 60 дней срока действия, будет отображаться значок оранжевого треугольника рядом с кнопкой "Активировать". При наведении курсора на него отобразится "Срок действия сертификата истекает через XX дней". После того как срок действия сертификата истечёт, рядом с кнопкой "Активировать" появится значок красного круга, при наведении курсора отобразится "Истек срок действия сертификата", и кнопка "Активировать" станет недоступной.

Примечание

Примечание: в данный момент Cato не может отменять сертификаты.

Чтобы загрузить существующий пользовательский сертификат:

  1. С меню навигации нажмите Безопасность > Управление сертификатами.

  2. Нажмите Новый, затем выберите Пользовательский сертификат

  3. В панели Пользовательский сертификат найдите и загрузите как пользовательский сертификат, так и закрытый ключ для него. После успешной загрузки обоих файлов нажмите Отправить.

    Custom_certificate_panel.png

    После нажатия Отправить сертификат и ключ проходят проверку для гарантии, что вся необходимая информация является правильной и готова к использованию. Загруженные сертификат и ключ будут проверены на соответствие:

    • Сертификат должен быть промежуточным или издательским сертификатом CA (сертификат должен быть способен подписывать другие сертификаты)

    • Цепочка сертификатов существует и включает корневой CA

    • Файл сертификата должен быть в формате PEM

    • Файл ключа не защищен паролем, и минимальная длина ключа шифрования составляет 2048 бит в формате RSA

    • Закрытый ключ должен соответствовать загруженному CA-сертификату

    Если какая-либо из этих проверок не проходит, будет отображено сообщение об ошибке.

Используя эту пару ключ-сертификат, Cato сгенерирует новую пару ключей, затем создаст пользовательский промежуточный сертификат. Новая пара ключей будет подписана с использованием импортированного приватного ключа, зашифрована и сохранена в хранилище ключей Cato. После генерации нового промежуточного сертификата загруженный незашифрованный ключ будет удалён из системы, и будет использоваться только вновь созданный промежуточный сертификат.

Генерация запроса на подпись сертификата

Эта опция позволит вам создать Запрос на подпись сертификата (CSR) из вашего арендатора Cato, а затем подписать его с помощью любого промежуточного сертификата, подписанного ЦС вашей организации. Эта опция, увеличивая уровень безопасности среды, упрощает администраторам создание необходимых сертификатов, так как CSR будет сгенерирован платформой, которая будет их использовать.

Примечание

Примечание: Хотя можно сгенерировать много CSR, активировать можно только один сертификат за раз для каждой аккаунта.

Чтобы сгенерировать пользовательский CSR для вашей учетной записи:

  1. В меню навигации нажмите Безопасность > Управление сертификатами TLS-инспекции.

  2. Нажмите Новый, затем выберите CSR - Запрос на подпись сертификата.

    Появится панель Создать запрос на подпись сертификата CSR.

  3. Заполните следующие обязательные поля:

    • Имя сертификата

    • Название организации

    • Общее имя

    Примечание: Хотя другие поля CSR не требуется заполнять, рекомендуется вводить всю информацию.

  4. Нажмите Создать запрос на подпись сертификата (CSR), чтобы сгенерировать CSR, который будет подписан вашим Центром сертификации.

    Create_CSR.png

    После создания CSR у вас будет возможность загрузить подписанный сертификат.

    Create_CSR_Upload.png

  5. Завершенный CSR автоматически скачается на локальную машину администратора, где вы сможете отправить файл CSR вашему Центру сертификации для подписания.

  6. Подписанный сертификат от Центра сертификации нужно будет загрузить в Приложение Управления Cato. Вернитесь в меню Управление сертификатами TLS-инспекции и нажмите Загрузить сертификат.

  7. Выберите подписанный сертификат с вашего устройства, чтобы загрузить его в среду Cato, что позволит использовать сертификат для правил инспекции TLS.

Примечание: Подписанный сертификат должен включать следующее:

  • Подписан одним из следующих RSA-алгоритмов:

    • Sha256WithRSAEncryption

    • Sha512WithRSAEncryption

  • Подписан с минимальным размером ключа 2048

  • Должен включать следующие атрибуты:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Атрибуты можно подтвердить с помощью следующей команды:

    openssl x509 -in signed_cert.crt -text -noout

    Примечание: В настоящее время отзыв сертификатов не поддерживается.

Мониторинг и аудит

События не генерируются для сертификатов, срок действия которых истек, однако записи в журнале аудита создаются, когда сертификаты создаются, загружаются или удаляются. Поиск используя "tls аккаунт" в Аккаунт > Журнал аудита > Поле поиска, и это покажет журнал аудита созданных и удаленных сертификатов:

image-20230423-104436.png

Как это выглядит, когда работает

Когда пользовательский сертификат работает, браузер показывает, что возвращенный сертификат такой же, как пользовательский сертификат, загруженный клиентом в 'Управление сертификатами' в Приложении Управления Cato. Затем можно сравнить общее имя и отпечаток сертификата возвращенного сертификата с активным сертификатом в Приложении Управления Cato.

image-20230423-104907.png

Ресурсы

Вот несколько полезных команд OpenSSL, которые могут помочь при работе с сертификатами:

  • Проверка длины закрытого ключа с использованием OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • Подтверждение Центра сертификации и закрытых ключей:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Где:

    • cert.crt это ваш сертификат

    • privkey.txt это ваш закрытый ключ

    Сравнить вывод обоих команд. Если они идентичны, значит закрытый ключ соответствует сертификату.

  • Подписание сертификата с использованием OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in тест\ request.csr -out signed_cert.crt -дни 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Где:

    • sha256 это алгоритм подписи. По умолчанию в Mac используется sha-1. Вы также можете использовать sha512.

    • myCA.pem это ваш CA

    • myCA.key это ваш закрытый ключ

    • request.csr это csr файл, который вы получили из cc2

    • signed_cert.crt это ваш новый подписанный сертификат

    • Файл signed_cert_attributes.conf имеет следующий пример содержимого:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,Издатель

      • keyUsage = keyCertSign,cRLSign

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев