使用私有证书进行TLS流量检查的安全性

为什么使用您自己的CA证书进行TLS检查?

优秀的问题! 使用您自己的CA证书的主要用例是为了内部合规性、安全性和流量检查的治理。 这意味着您可以利用您的证书基础设施来解密和检查穿越您的环境的流量。 提醒一下,TLS检查是其他Cato功能(如RBI、CASB和DLP)的前提功能。

私有CA证书与TLS检查如何工作?

使用您自己的CA证书进行TLS检查有两种主要方法:

  • 上传您自己的CA证书和CA私钥

  • 来自Cato的证书签名请求(客户签名的证书)

使用Cato提供的证书进行TLS检查的选项也一直可用。 您可以在插入40个字符的证书指纹代码阅读更多关于该选项的信息。

需要注意的是,您可以创建多个证书,但在任何给定时间内只有一个证书可以处于活跃状态。

除了增强客户环境的整体安全态势之外,一旦配置,自定义证书将在以下规则中用于TLS检查:

  • 防火墙

  • 反恶意软件

  • IPS

  • CASB/DLP

  • RBI

启用TLS检查后,所有TLS流量都会被解密以进行检查,除非流量使用规则被绕过。

上传现有CA证书进行TLS检查

certificate_management.png

对于使用现有企业CA证书进行TLS检查的选项,首先,您将需要上传该签名的证书以及未加密的私钥。

上传CA证书后,您将看到证书的详细视图,包括签名CA的名称、证书链和到期日期。

如果您需要上传新的证书以更新证书的有效期,您可以删除当前上传的文件,然后使用新的证书和密钥对重新开始该过程。 Cato管理应用程序将在证书到期前60天启动警报,通知管理员,并通过电子邮件通知(并在30天、7天和到期当天重复),以避免因证书过期而造成任何不便和安全漏洞。

有效期不足60天的证书将在激活按钮旁边显示一个橙色三角形图标。 当您将光标悬停在其上时,它将显示"证书即将在XX天内过期"。 证书过期后,激活按钮旁边将显示一个红色圆圈图标,当您将光标悬停在图标上时,它将显示"证书已过期",激活按钮将变灰。

注意

注意: Cato目前无法撤销证书。

上传现有自定义证书:

  1. 从导航菜单中,单击 安全性 > 证书管理

  2. 单击 新建,然后选择 自定义证书

  3. 自定义证书面板中浏览并上传自定义证书和证书的私钥。 成功上传两个文件后,单击 提交

    Custom_certificate_panel.png

    单击提交后,证书和密钥将被验证,以确保所有必要信息正确无误并准备使用。 上传的证书和密钥将被验证:

    • 证书必须是中介或CA发布者证书(证书必须能够签署其他证书)

    • 证书链存在并包括根CA

    • 证书文件必须为PEM格式

    • 密钥文件不受密码保护,最小加密密钥长度为 RSA 格式的 2048 位

    • 私钥必须与上传的CA证书匹配

    如果任何这些验证失败,将会显示错误信息。

使用该证书密钥对,Cato将生成一个新的密钥对,然后生成自定义中介证书。 新创建的密钥对将使用导入的私钥进行签名,并在Cato密钥存储中加密和保存。 生成新的中介证书后,上传的未加密密钥将从系统中删除,只有新生成的中介证书将被使用。

生成证书签名请求

此选项允许您从您的Cato租户生成证书签名请求(CSR),然后由组织的CA签名的任何中介证书签名。 此选项虽然也增加了环境的安全态势,但使管理员更容易创建必要的证书,因为CSR将由将使用它们的平台生成。

注意

注意: 虽然可以生成许多CSR,但每个账户一次只能激活一个证书。

为您的帐户生成自定义CSR:

  1. 从导航菜单中,点击 安全性 > 证书管理

  2. 单击 新建,然后选择 CSR - 证书签名请求

    创建 CSR 面板出现。

  3. 填写以下必填字段:

    • 证书名称

    • 组织名称

    • 通用名称

    注意:虽然CSR的其他字段是可选的,但最好填写所有信息。

  4. 单击 创建 CSR以生成CSR并由您的证书颁发机构签名。

    Create_CSR.png

    生成CSR后,您将有一个选项可以上传签名的证书。

    Create_CSR_Upload.png

  5. 完成的CSR将自动下载到管理员的本地计算机,您可以将CSR文件提交给您的证书颁发机构进行签名。

  6. 来自CA的签名证书需要上传到Cato管理应用程序。 返回证书管理菜单并单击 上传证书

  7. 从您的本地计算机中选择签名证书,上传到Cato环境,这将启用证书用于TLS检查规则。

注意:签名证书必须包括以下内容:

  • 由以下RSA算法之一签名:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • 最小密钥大小为2048进行签名

  • 需要包括以下属性:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    可以使用以下命令确认属性:

    openssl x509 -in signed_cert.crt -text -noout

    注意:目前不支持证书吊销。

监控和审核

对于过期的证书不会生成任何事件,但是在生成、上传或删除证书时会创建审核日志条目。 在账户 > 审核追踪 > 搜索字段下使用"tls账户"进行搜索,将显示创建和删除证书的审计追踪:

image-20230423-104436.png

工作时的外观

当自定义证书工作时,浏览器显示返回的证书与客户上传到Cato管理应用程序中的证书管理的自定义证书一致。 然后您可以将返回的证书的通用名称和证书指纹与Cato管理应用程序中的活跃证书进行比较。

image-20230423-104907.png

资源

这里有一些有用的OpenSSL命令,可能在处理证书时有所帮助:

  • 使用OpenSSL检查私钥长度:

    • openssl rsa -in myCA.key -text -noout

  • 验证CA和私钥:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    位置:

    • cert.crt 是您的证书

    • privkey.txt 是您的私钥

    比较两个命令的输出。 如果它们相同,则私钥与证书匹配。

  • 使用OpenSSL签署证书:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    位置:

    • sha256 是签名算法。 在mac中默认是 sha-1 。 您也可以使用 sha512

    • myCA.pem 是您的CA

    • myCA.key 是您的私钥

    • request.csr 是您从cc2获得的csr文件

    • signed_cert.crt 是您的新签名证书

    • signed_cert_attributes.conf 文件有以下示例内容:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论