使用私有证书进行TLS检查以保护流量

为什么使用您自己的CA证书进行TLS检查?

优秀的问题! 使用您自己的CA证书的主要用例是为了对流量检查的内部合规性、安全性和治理。 这意味着您可以利用您的证书基础设施来解密和检查穿越您环境的流量。 提醒一下,TLS检查是其他Cato功能(如RBI、CASB和DLP)的前置功能。

私有CA证书的TLS检查如何工作?

使用您自己的CA证书进行TLS检查有两种主要方法:

  • 上传您自己的CA证书及其私钥

  • 从Cato发起的证书签名请求(客户签名的证书)

使用Cato提供的证书进行TLS检查的选项始终可用。 您可以在插入40个字符的证书指纹代码阅读更多关于该选项的信息。

重要的是要注意,您可以创建多个证书,但任何时候只有一个证书可以激活。

除了增强客户环境的整体安全性外,一旦配置,定制证书将用于以下规则的TLS检查:

  • 防火墙

  • 反恶意软件

  • IPS

  • CASB/DLP

  • RBI

启用了TLS检查的情况下,所有TLS流量将被解密以供检查,除非规则绕过的流量。

上传一个现有的CA证书在TLS检查

certificate_management.png

对于使用现有企业CA证书进行TLS检查的选项,首先,您需要上传这个签名证书及未加密的私钥。

上传CA证书后,您会看到证书的详细视图,包括签名CA的名称、证书链以及到期日期。

如果您需要上传新证书以更新证书的有效期,您可以删除当前上传的文件,然后使用新的证书和密钥对重新开始该过程。 Cato 管理应用程序将在证书到期前60天开始在Cato 管理应用程序上和通过电子邮件通知管理员(并在30天、7天和到期日重复)发出警报,以避免任何不便和已过期证书导致的安全问题。

有效期不足60天的证书将在激活按钮旁显示一个橙色三角形图标。 当您将光标悬停在上面时,将显示“证书将在XX天后过期”。 一旦证书过期,激活按钮旁将出现一个红色圆圈图标,当您将光标悬停在图标上时,将显示“证书已过期”,且激活按钮将变灰。

注意

注意: Cato目前无法撤销证书。

要上传现有的自定义证书:

  1. 在导航菜单中,点击安全性 > 证书管理

  2. 点击新建,然后选择自定义证书

  3. 自定义证书面板中,浏览并上传自定义证书和私钥。 在这两个文件上传成功后,点击提交

    Custom_certificate_panel.png

    在点击提交后,证书和密钥将被验证,以确保所有必要的信息正确无误并准备好使用。 上传的证书和密钥将被验证:

    • 该证书必须是中级或CA发布者证书(该证书必须能够签署其他证书)

    • 证书链存在且包含根CA

    • 证书文件必须是PEM格式

    • 密钥文件不受密码保护,最低加密密钥长度为2048位RSA格式

    • 私钥必须与上传的CA证书匹配

    如果这些验证步骤中的任何一个失败,将显示错误信息。

使用该证书密钥对,Cato将生成一个新的密钥对,然后生成自定义中间证书。 新创建的密钥对将使用导入的私钥签名,并加密后存储在Cato密钥库中。 在生成新的中间证书后,上传的未加密密钥将从系统中删除,并且只使用新生成的中间证书。

生成一个证书签名请求

此选项将允许您从您的Cato租户生成证书签名请求(CSR),然后由组织的CA签署的任何中间证书签署。 此选项在提高环境安全状态的同时,使管理员更容易创建所需的证书,因为CSR将通过将使用它的平台生成。

注意

注意: 尽管可以生成很多CSRs,但每个账户一次只能激活一个证书。

为您的账户生成自定义CSR:

  1. 在导航菜单中,点击安全性 > 证书管理

  2. 点击新建,然后选择CSR - 证书签名请求

    创建CSR面板出现。

  3. 填写以下必填字段:

    • 证书名称

    • 组织名称

    • 通用名称

    注意:虽然CSR的其他字段是可选的,但最好的做法是填写所有信息。

  4. 点击创建CSR来生成CSR,由您的证书颁发机构签署。

    Create_CSR.png

    生成CSR后,您将有一个选项来上传签名证书。

    Create_CSR_Upload.png

  5. 完成的CSR将自动下载到管理员的本地机器,您可以将CSR文件提交到您的证书颁发机构进行签名。

  6. 需要将 CA 签署的证书上传到 Cato 管理应用程序。 返回到证书管理菜单,单击上传证书

  7. 从您的本地机器选择签署的证书上传到 Cato 环境,这将使证书用于 TLS 检查规则。

注意: 签署的证书必须包括以下内容:

  • 由以下 RSA 算法之一签署:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • 签署的最小密钥大小为 2048

  • 需要包括以下属性:

    • authorityKeyIdentifier=密钥ID,发行人

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    可以使用以下命令确认属性:

    openssl x509 -in signed_cert.crt -text -noout

    注意: 目前不支持证书撤销。

监控和审计

对于已过期的证书不生成事件,然而,当证书生成、上传或删除时,会创建审计日志条目。 在账户 > 审计追踪 > 搜索字段下使用 "tls 账户" 搜索,并将显示创建和删除的证书的审计追踪:

image-20230423-104436.png

它在工作时的外观

当自定义证书正常工作时,浏览器显示返回的证书与客户上传到 Cato 管理应用程序中"证书管理"的自定义证书相同。 接下来可以将返回证书的通用名称和证书指纹与 Cato 管理应用程序中的活跃证书进行比较。

image-20230423-104907.png

资源

以下是一些在处理证书时可能有帮助的 OpenSSL 命令:

  • 使用 OpenSSL 检查私钥长度:

    • openssl rsa -in myCA.key -text -noout

  • 验证 CA 和私钥:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    在哪里:

    • cert.crt 是您的证书

    • privkey.txt 是您的私钥

    比较两个命令的输出。 如果它们相同,则私钥与证书匹配。

  • 使用 OpenSSL 签署证书:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    在哪里:

    • sha256 是签名算法。 在 mac 默认是 sha-1 。 您也可以使用 sha512

    • myCA.pem 是您的 CA

    • myCA.key 是您的私钥

    • request.csr 是您从 cc2 获得的 csr 文件

    • signed_cert.crt 是您的新签署证书

    • signed_cert_attributes.conf 文件具有以下示例内容:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=密钥ID,发行者

      • keyUsage = keyCertSign,cRLSign

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论