कंपनियां आमतौर पर भविष्य के उपयोग के लिए एसएसएल प्रमाणपत्रों को कहां संग्रहीत करती हैं?

26

हमने हाल ही में अपने डोमेन के लिए वाइल्डकार्ड SSL सर्टिफिकेट खरीदा है। हमने सभी किट्स को एक जावा कीस्टोर में बदल दिया, लेकिन अब हम खुद से पूछ रहे हैं कि हमें इन्हें बाद में उपयोग के लिए कहां स्टोर करना चाहिए।

क्या लोग इन प्रकार की फाइलों के लिए BitBucket जैसे स्रोत नियंत्रण का उपयोग करते हैं या बस हर बार उत्पन्न होने वाली जरूरत है, या कुछ और?

हम सोच रहे हैं कि भविष्य में उपयोग के लिए इन प्रमाणपत्रों को संग्रहीत करने के आसपास कोई मानक समाधान या कोई "सर्वोत्तम अभ्यास" है या नहीं।

ssl-certificate  certificate  best-practices 
AmericanKryptonite
स्रोत
उन्हें वापस अपने पारंपरिक बैकअप समाधान के लिए एन्क्रिप्टेड। किसी भी बाहरी प्रदाता के साथ अनएन्क्रिप्टेड निजी कुंजी को संग्रहीत न करें। मैं आम तौर पर इस मुद्दे को शामिल करता हूं और भेदभाव के लिए अपने प्रमाण पत्र और कुंजी फ़ाइल नाम में समय सीमा समाप्त करता हूं।
एंड्रयू डॉमासेक

जवाबों:

22

कई समाधान हैं:

एक एवेन्यू एक विशिष्ट कुंजी वॉल्ट है जो हार्डवेयर आधारित उपकरण, हार्डवेयर सुरक्षा मॉड्यूल या सॉफ्टवेयर आधारित समकक्ष है।

एक और बस पुरानी कुंजी को रद्द करने और स्थिति उत्पन्न होने पर एक नया एक निजी / सार्वजनिक कुंजी-जोड़ी उत्पन्न करना है। यह प्रमाण पत्र प्रदाता के साथ खाते के उपयोगकर्ता नाम / पासवर्ड को सुरक्षित करने के लिए महत्वपूर्ण सुरक्षा बनाए रखने से समस्या को स्थानांतरित करता है और फिर से जारी करने के लिए उनकी प्रक्रियाएं। वहाँ लाभ यह है कि ज्यादातर संगठनों के पास पहले से ही एक विशेषाधिकार प्राप्त खाता प्रबंधन समाधान है जैसे 1 2

ऑफ-लाइन स्टोरेज के कई तरीके हैं, जिसमें पासवर्ड सहित निजी और सार्वजनिक कुंजी-जोड़ी की हार्ड-कॉपी प्रिंट करना (लेकिन यह एक महिला कुत्ता होगा जिसे पुनर्स्थापित करना होगा) बस उन्हें लंबे समय तक भंडारण के लिए डिजिटल मीडिया पर संग्रहीत करना है। ।

वास्तव में बुरे स्थान हैं GitHub, आपकी टीम WiKi या एक नेटवर्क साझा (और आपको विचार मिलता है)।

अपडेट २०१५/४/२ ९: कीविज़ एक दिलचस्प तरीका भी लगता है।

HBruijn
स्रोत
मैं उत्सुक हूं, HSM के लिए "सॉफ्टवेयर आधारित समकक्ष" से आपका क्या अभिप्राय है?
कुछ हार्डवेयर उपकरण विक्रेता आजकल अपने उपकरणों को आभासी उपकरण, एक वीएम के रूप में भी बेचते हैं। कुछ नाम रखने के लिए ओरेकल की वॉल्ट और द ओपन सोर्स सॉफ्टएचएसएम जैसे सामान भी हैं ।
HBruijn
तो मूल रूप से जो एक मानक कंप्यूटर को HSM में बदलने की अनुमति देता है ...
1
"लेकिन वह एक मादा कुत्ता होगा जिसे बहाल किया जाएगा" -> यह मेरा दिन बना! एक तरफ चुटकुले, आपको इसे सहेजने से पहले एन्क्रिप्ट करना चाहिए।
इस्माईल मिगुएल
परिभाषा के अनुसार आप सभी के लिए अपनी सार्वजनिक कुंजी को उजागर करेंगे। उसे एन्क्रिप्ट करने का कोई कारण नहीं है। लेकिन इसके साथ मैला होने का कोई कारण नहीं है। सुरक्षा मुख्य रूप से निजी कुंजी के लिए है, जिसे आम तौर पर एन्क्रिप्टेड / पासवर्ड संरक्षित किया जाना चाहिए। आप के रूप में संभव के रूप में कुछ प्रतियां है कि लक्ष्य होना चाहिए।
HBruijn
21

नहीं, SSL प्रमाणपत्र स्रोत नियंत्रण में नहीं जाते हैं, कम से कम निजी कुंजी भाग नहीं।

उनके साथ ऐसा व्यवहार करें जैसे आप एक पासवर्ड चाहेंगे। हमारा वास्तव में ठीक उसी तरह से संग्रहीत होता है जैसे हमारे पासवर्ड KeePass में करते हैं। यह आपको फ़ाइलें संलग्न करने की अनुमति देता है, और एन्क्रिप्ट किया गया है।

अनुदान
स्रोत
3

यदि आप निजी कुंजी को स्रोत नियंत्रण में रखते हैं, तो जिस किसी के पास पहुंच है, वह आपके सर्वर को प्रतिरूपण करने में सक्षम होगा। यदि आपका वेबसर्वर पीएफएस (परफेक्ट फ़ॉरवर्ड सीक्रेसी) का उपयोग नहीं कर रहा है, तो इसके लिए आमतौर पर उपलब्ध ओपन सोर्स टूल जैसे कि विंडसरक के साथ किसी भी कैप्चर किए गए एसएसएल ट्रैफ़िक को डिक्रिप्ट करना संभव है।

आप डेस या एईएस द्वारा कुंजी की रक्षा कर सकते हैं इसे ओपनएसएसएल का उपयोग करके पासफ़्रेज़ के साथ एन्क्रिप्ट कर सकते हैं। ओपनएसएसएल लिनक्स, ओएसएक्स और विंडोज के लिए उपलब्ध है।

OpenSSL पासफ़्रेज़ को तब भी हटा सकता है जब कोई पासफ़्रेज़ असुविधाजनक हो (जैसे कि वेबसर्वर पर जो स्वचालित रूप से शुरू होता है लेकिन पासफ़्रेज़ के स्वत: प्रवेश का समर्थन नहीं करता है)।

एईएस एन्क्रिप्शन का उपयोग कर एक पासफ़्रेज़ जोड़ना (डेस से अधिक सुरक्षित): -

openssl rsa -aes256 -in private.key -out encrypted.private.key

पासफ़्रेज़ निकालना (आपको पासफ़्रेज़ के लिए प्रेरित किया जाएगा): -

openssl rsa -in encrypted.private.key -out decrypted.private.key
मुश्किल
स्रोत
1
यदि आप चीजों को ठीक से कर रहे हैं, तो निजी कुंजी के संपर्क में भी पिछले ट्रैफ़िक का समझौता नहीं होना चाहिए, हालांकि यह निश्चित रूप से भविष्य के ट्रैफ़िक को आसान बनाने के लिए MITM'ing करेगा
बजे एक CVn
हाय @ मिचेल, सिद्धांत रूप में, लेकिन दुख की बात है कि मैं अपाचे और आईआईएस के बहुत सारे डिक्रिप्ट करने में सक्षम हूं, इसलिए मैं केवल मान सकता हूं कि पीएफएस डिफ़ॉल्ट रूप से बंद है। यहां तक ​​कि IPSEC VPN के बहुत सारे बंद हो गए हैं।
ट्रिकी
पीएफएस डिफ़ॉल्ट रूप से बहुत अधिक नहीं है क्योंकि यह कई सिफर सुइट्स द्वारा समर्थित नहीं है। कुछ समय के लिए SSL लैब्स सर्वर परीक्षण का प्रयास करें; यह इंगित करता है कि कौन से सिफर स्वीट्स एफएस का समर्थन करते हैं। बेशक, सभी गैर-एफएस सिफर स्वीट्स को अक्षम करने से कई ग्राहकों को ठंड में बाहर जाने की संभावना है क्योंकि वे एफएस सिफर गोरों का समर्थन नहीं करते हैं। एफएस सुइट्स देने से अधिमान्य उपचार को काम करना चाहिए, लेकिन (जब तक कि आप जानते हैं कि आप क्या कर रहे हैं और उनके सापेक्ष ताकत और कमजोरियां हैं) को मैन्युअल रूप से ऑर्डर करने के खिलाफ जोरदार सलाह देता हूं।
बजे एक CVn
SSL लैब्स @ मेइकल पर सिफारिश के लिए धन्यवाद। दुर्भाग्य से मेरे सर्वर इंटरनेट का सामना नहीं कर रहे हैं, लेकिन मेरे पास सक्षम सिफर के साथ एक नाटक था और जैसा कि आप सुझाव देते हैं कि पीएफएस केवल कुछ सिफर द्वारा समर्थित प्रतीत होता है। PFS वास्तव में मुझे पैकेट निशान को डिकोड करने से रोकता है। मैं उसी हिसाब से अपना जवाब अपडेट करूंगा।
मुश्किल
1

KeyWhiz के बारे में पढ़ने के बाद एक और विकल्प, HashiCorp की वॉल्ट था। यह न सिर्फ एक पासवर्ड मैनेजर है, बल्कि एक सीक्रेट स्टोर भी है, मेरा मानना ​​है कि यह KeyWhiz के समान है। GO में लिखा गया है, और क्लाइंट सर्वर के रूप में भी काम करता है, और बैकएंड्स, और प्रमाणीकरण विधियों के एक झुंड में हुक करता है। वॉल्ट भी ओपन-सोर्स है, एंटरप्राइज विकल्प के साथ।

चूँकि एसएसएल कीज़ और सर्टिफिकेट्स सिर्फ टेक्स्ट फाइल होते हैं, इसलिए आप उन्हें आधार बना सकते हैं, और उसे तिजोरी में स्ट्रिंग के रूप में सहेज सकते हैं, या वॉल्ट के टेक्स्ट को भी। कोई WebUI या GUI नहीं है, इसकी सभी कमांड लाइन, या स्क्रिप्ट संचालित है, और बूट करने के लिए एक बहुत अच्छा, स्थिर वेब एपीआई है।

  1. https://www.vaultproject.io/
  2. https://github.com/hashicorp/vault
Pred
स्रोत
0

मैं निजी कुंजी और प्रमाणपत्र को संग्रहीत करने के लिए एक ऑफ़लाइन HSM (जैसे हार्डवेयर एन्क्रिप्शन टोकन या CAC) देखने की सलाह दूंगा। यह न केवल निजी समझौते को आकस्मिक समझौते से बचाता है, बल्कि कुछ बुनियादी क्रिप्टोग्राफिक भार भी प्रदान करता है।

यदि आपके पास प्रबंधन करने के लिए अधिक क्रिप्टोग्राफ़िक संपत्ति है, तो मैं एक एंटरप्राइज़ कुंजी और प्रमाणपत्र प्रबंधन सॉफ़्टवेयर की तलाश करने की सलाह दूंगा, जो नवीकरण को स्वचालित कर सकता है, जीवनचक्र को ट्रैक कर सकता है, एंडपॉइंट के लिए प्रोविज़निंग को स्वचालित कर सकता है, आदि इनमें से अधिकांश संपत्ति एन्क्रिप्टेड-एट-रेस्ट के रूप में संग्रहीत करते हैं एक डेटाबेस में CLOB।

DTK
स्रोत
क्यों घटता है? शिकायत नहीं की जा रही; इस उत्तर में क्या गलत है के रूप में उत्सुक।
मैट
निश्चित नहीं है कि यह मतदान क्यों हुआ। एचएसएम के विशेष रूप से सुरक्षित कुंजी भंडारण और उच्च गति एन्क्रिप्शन के लिए डिज़ाइन किए गए हैं। मैं केवल इसके खर्च या अधिक जटिल प्रबंधन से संबंधित अनुमान लगा सकता हूं। सभी प्रमुख बैंक चिप और पिन लेनदेन जैसे सामानों में प्रमुख परिचालन के लिए HSM का उपयोग करते हैं।
मुश्किल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.