Şirketler genellikle gelecekteki kullanım için SSL sertifikalarını nerede saklar?

Geçenlerde, etki alanımız için bir joker SSL sertifikası aldık. Tüm sertifikaları bir Java anahtar deposuna dönüştürdük, ancak şimdi kendimize bunları daha sonra kullanmak üzere nerede saklamamız gerektiğini soruyoruz.

İnsanlar bu tür dosyalar için BitBucket gibi kaynak kontrolü kullanıyor mu, yoksa her ihtiyaç duyulduğunda veya başka bir şey üretiyor mu?

Bu sertifikaları ileride kullanmak üzere saklamak için standart bir çözüm veya "en iyi uygulamalar" olup olmadığını merak ediyoruz.

Birden fazla çözüm var:

Bir cadde, donanım tabanlı bir cihaz, donanım güvenlik modülü veya yazılım tabanlı bir eşdeğeri olan belirli bir anahtar kasasıdır .

Bir diğeri ise, eski anahtarı iptal etmek ve durum ortaya çıktığında yeni bir özel / genel anahtar çifti oluşturmaktır. Bu biraz problemi, anahtar güvenliği sağlamaktan, hesabın kullanıcı adı / şifresini sertifika sağlayıcı ile güvence altına almaya ve yeniden düzenleme prosedürlerine kaydırır. Buradaki avantaj, çoğu kuruluşun zaten ayrıcalıklı bir hesap yönetimi çözümüne sahip olması, örneğin 1 2

Parola dahil olmak üzere özel ve genel anahtar çiftinin basılı bir kopyasını yazdırmaktan (ancak geri yüklenecek dişi bir köpek olacak) basılmasından uzun süre depolama için derecelendirilmiş dijital medyada saklanmasına kadar çok sayıda çevrimdışı depolama yolu vardır. .

Gerçekten kötü yerler GitHub, ekibiniz WiKi veya bir ağ paylaşımıdır (ve siz anlıyorsunuz).

Güncelleme 2015/4/29: Keywhiz de ilginç bir yaklaşım gibi görünüyor.

Hayır, SSL sertifikaları kaynak kontrolüne girmez, en azından özel anahtar kısım değil.

Onlara bir parola gibi davran. Aslında bizim şifrelerimizle aynı şekilde depolanır - KeePass'ta. Dosya eklemenize izin verir ve şifrelenir.

Özel anahtarı kaynak denetimine geçirirseniz, erişimi olan herkes sunucunuzu taklit edebilir. Web sunucunuz PFS (mükemmel ileri gizlilik) kullanmıyorsa, yakalanan SSL trafiğinin Wireshark gibi yaygın olarak kullanılan açık kaynak araçlarıyla şifresini çözmek de mümkündür.

Anahtarı, OpenSSL kullanarak bir parola ile şifreleyen DES veya AES ile koruyabilirsiniz. OpenSSL Linux, OSX ve Windows için kullanılabilir.

OpenSSL ayrıca bir parola uygun olmadığında parolayı kaldırabilir (örneğin, otomatik olarak başlayan ancak otomatik parolaların otomatik girişini desteklemeyen bir web sunucusunda).

AES şifrelemesini kullanarak bir parola ekleme (DES'ten daha güvenli): -

openssl rsa -aes256 -in private.key -out encrypted.private.key

Bir parolanın kaldırılması (sizden parola istenir): -

openssl rsa -in encrypted.private.key -out decrypted.private.key

KeyWhiz hakkında okuduktan sonra başka bir seçenek HashiCorp's Vault oldu. Bu sadece bir şifre yöneticisi değil, aynı zamanda bir Secrets mağazası, KeyWhiz'e benzer olduğuna inanıyorum. GO dilinde yazılmıştır ve istemci de sunucu olarak çalışır ve bir grup arka uç ve kimlik doğrulama yöntemlerine kanca oluşturur. Vault ayrıca Enterprise seçeneğiyle birlikte açık kaynaklıdır.

SSL Anahtarları ve Sertifikaları sadece metin dosyaları olduğu için, onları base64 şifreleyebilir ve Vault'da bir dize olarak, hatta sadece Vault'daki metni de kaydedebilirsiniz. Bir WebUI veya GUI yoktur, bunların tümü komut satırı veya komut dosyası tarafından yönlendirilir ve önyüklenmesi için çok iyi ve kararlı bir Web API'si vardır.

1. https://www.vaultproject.io/
2. https://github.com/hashicorp/vault

Özel anahtarı ve sertifikayı depolamak için çevrimdışı bir HSM'ye (donanım şifreleme belirteci veya CAC gibi) bakmanızı tavsiye ederim. Bu sadece özel anahtarı yanlışlıkla tehlikeye karşı korumakla kalmaz, aynı zamanda bazı temel şifreleme deşarjları sağlar.

Yönetilecek daha fazla şifreleme varlığınız varsa, yenilemeleri otomatik hale getirebilen, yaşam döngüsünü izleyen, son noktalara provizyonu otomatikleştiren bir Enterprise Key & Certificate Management yazılımına bakmanızı öneririm. Bir veritabanında CLOB.