Обеспечение безопасности трафика с помощью инспекции TLS с использованием приватных сертификатов

Почему стоит использовать собственные сертификаты CA для инспекции TLS?

Отличный вопрос! Основной случай использования собственных сертификатов CA - это внутреннее соответствие, безопасность и управление инспекцией вашего трафика. Это значит, что вы можете использовать вашу инфраструктуру сертификатов для дешифровки и проверки трафика, проходящего через вашу среду. Напоминаем, что инспекция TLS является обязательной функцией для других функций Cato, таких как RBI, CASB и DLP.

Как работает инспекция TLS с приватными сертификатами CA?

Существует два основных подхода к использованию инспекции TLS с собственными сертификатами CA:

  • Загрузите свой собственный CA-сертификат с приватным ключом CA

  • Запрос на подпись сертификата от Cato (сертификат, подписанный клиентом)

Вариант использования сертификата, предоставленного Cato для инспекции TLS, также всегда доступен. Вы можете читать далее об этой опции вставьте отпечаток сертификата 40 символов.

Важно отметить, что вы можете создавать несколько сертификатов, но только один сертификат может быть активен в любой момент времени.

Помимо повышения общей безопасности окружающей среды клиента, после настройки пользовательский сертификат будет использоваться для инспекции TLS по следующим правилам:

  • Файервол

  • Антивирус

  • IPS

  • CASB/DLP

  • RBI

Когда инспекция TLS включена одним из этих методов, весь TLS трафик будет расшифрован для инспекции, за исключением трафика, который обходится с помощью правил.

Загрузка существующего CA-сертификата для инспекции TLS

certificate_management.png

Для варианта использования существующего сертификата CA предприятия для инспекции TLS сначала загрузите этот подписанный сертификат вместе с незашифрованным приватным ключом.

Когда CA-сертификат загружен, вам будет представлен подробный вид сертификата, включая подписанное имя CA, цепочку сертификатов и дату истечения срока действия.

Если вам нужно загрузить новый сертификат, чтобы обновить срок действия сертификата, вы можете удалить текущие загруженные файлы и начать процесс заново с новым сертификатом и парой ключей. Приложение Управления Cato начнет предупреждать администраторов за 60 дней до истечения срока действия сертификата как в Приложении Управления Cato, так и с уведомлением по электронной почте (и повторять за 30 дней, 7 дней и в день истечения срока), чтобы избежать неудобств и провала безопасности с истекшим сертификатом.

Сертификаты, оставшиеся менее чем на 60 дней до окончания срока действия, будут иметь значок в виде оранжевого треугольника рядом с кнопкой Активировать. Когда вы наводите курсор на него, появится сообщение "Сертификат скоро истечет через XX дней". Как только срок действия сертификата истек, рядом с кнопкой Активировать появится значок красного круга, и при наведении курсора на значок появится сообщение "Срок действия сертификата истек", а кнопка Активировать будет недоступна.

Примечание

Примечание: В настоящее время Cato не может отозвать сертификаты.

Чтобы загрузить существующий пользовательский сертификат:

  1. Из меню навигации выберите Безопасность > Управление сертификатами.

  2. Нажмите Новый, а затем выберите Пользовательский сертификат

  3. В панели Пользовательский сертификат просмотрите и загрузите как пользовательский сертификат, так и приватный ключ для этого сертификата. После того как оба этих файла успешно загружены, нажмите Отправить.

    Custom_certificate_panel.png

    После того как вы нажмете Отправить, сертификат и ключ будут проверены, чтобы убедиться, что вся необходимая информация правильна и готова к использованию. Загруженный сертификат и ключ будут проверены для:

    • Сертификат должен быть промежуточным или издательским сертификатом CA (сертификат должен иметь возможность подписывать другие сертификаты)

    • Цепочка сертификатов существует и включает корневой CA

    • Файл сертификата должен быть в формате PEM

    • Файл ключа не защищен паролем, а минимальная длина ключа шифрования составляет 2048 бит в формате RSA

    • Приватный ключ должен совпадать с загруженным сертификатом CA

    Если какая-либо из этих проверок не выполняется, будет показана ошибка.

Используя эту пару ключей сертификата, Cato сгенерирует новую пару ключей, затем пользовательский промежуточный сертификат. Созданная пара ключей будет подписана с использованием импортированного приватного ключа, будет зашифрована и сохранена в хранилище ключей Cato. После генерации нового промежуточного сертификата загруженный незашифрованный ключ будет удален из системы, и будет использоваться только вновь сгенерированный промежуточный сертификат.

Создание запроса на подпись сертификата

Этот вариант позволит вам сгенерировать Запрос на Подпись Сертификата (CSR) из вашего арендатора Cato, а затем подписать его любым промежуточным сертификатом, который подписан CA вашей организации. Этот вариант, помимо повышения уровня безопасности среды, упрощает администраторам создание необходимых сертификатов, поскольку CSR будет сгенерирован платформой, которая будет их использовать.

Примечание

Примечание: Хотя можно сгенерировать множество CSR, только один сертификат может быть активирован в одно время в каждой учетной записи.

Чтобы создать пользовательский CSR для вашей учетной записи:

  1. Из меню навигации выберите Безопасность > Управление сертификатами.

  2. Нажмите Новый, а затем выберите CSR - Запрос на подпись сертификата.

    Появится панель Создать CSR.

  3. Заполните следующие обязательные поля:

    • Имя сертификата

    • Название организации

    • Общее имя

    Примечание: Хотя другие поля CSR являются необязательными, рекомендуется заполнить всю информацию в полном объеме.

  4. Нажмите Создать CSR, чтобы сгенерировать CSR, который будет подписан вашим центром сертификации.

    Create_CSR.png

    После генерации CSR у вас будет возможность загрузить подписанный сертификат.

    Create_CSR_Upload.png

  5. Завершенный CSR будет автоматически загружен на локальный компьютер администратора, где вы можете отправить файл CSR в ваш центр сертификации для подписи.

  6. Подписанный сертификат от CA необходимо будет загрузить в Приложение Управления Cato. Вернитесь в меню Управления Сертификатами и нажмите Загрузить Сертификат.

  7. Выберите подписанный сертификат на вашем локальном компьютере, чтобы загрузить его в среду Cato, это позволит использовать сертификат для правил инспекции TLS.

ПРИМЕЧАНИЕ: Подписанный сертификат должен содержать следующее:

  • Подписано с использованием одного из следующих алгоритмов RSA:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • Подписано с минимальным размером ключа 2048

  • Необходимо включать следующие атрибуты:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Атрибуты можно подтвердить с помощью следующей команды:

    openssl x509 -in signed_cert.crt -text -noout

    ПРИМЕЧАНИЕ: В настоящее время отзыв сертификатов не поддерживается.

Мониторинг и аудит

События не создаются для истекших сертификатов, однако записи в журнале аудита создаются, когда сертификаты создаются, загружаются или удаляются. Используйте поиск по "tls account" в Учетная запись > Журнал аудита > Поле поиска, чтобы отобразить журнал аудита созданных и удаленных сертификатов:

image-20230423-104436.png

Как это выглядит, когда работает

Когда пользовательский сертификат работает, браузер показывает, что возвращенный сертификат тот же самый, что и пользовательский сертификат, загруженный клиентом в Управление сертификатами в Приложении Управления Cato. Вы можете сравнить общее имя и отпечаток сертификата возвращенного сертификата с активным сертификатом в Приложении Управления Cato.

image-20230423-104907.png

Ресурсы

Вот несколько полезных команд OpenSSL, которые могут помочь при работе с сертификатами:

  • Проверка длины приватного ключа с помощью OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • Проверка CA и приватных ключей:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Где:

    • cert.crt это ваш сертификат

    • privkey.txt это ваш приватный ключ

    Сравните вывод обеих команд. Если они идентичны, то приватный ключ соответствует сертификату.

  • Подпись сертификата с использованием OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Где:

    • sha256 это алгоритм подписи. На Mac по умолчанию это sha-1. Вы также можете использовать sha512.

    • myCA.pem это ваш CA

    • myCA.key это ваш приватный ключ

    • request.csr это файл csr, который вы получили от cc2

    • signed_cert.crt это ваш новый подписанный сертификат

    • Файл signed_cert_attributes.conf содержит следующий пример содержания:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев