Certificate Authority, Enterprise,Standalone, Root,Subordinate
מאמרים קשורים:
הסבר על תקשורת מאובטחת SSL \ TLS הצפנה RSA ומנגנון החלפת מפתחות Diffie Hellman
הסבר על תעודות אבטחה SSL Certificate
הסבר על Public Key Infrastructure
יצירת תעודת אבטחה דיגטלית והתקנת התעודה ב Apache
Certificate Authority, Enterprise,Standalone והסבר על תעודות
מאמרים ישנים יותר
הסבר על תעודות אבטחה ויצירתם דרך Linux
Certificate Authority
שרת האחראי על ניהול וחלוקת תעודות , מתן Public Key להרשאות למשל במשלוח הודעות וזאת על ידי PKI (נרחיב בהמשך) הCA בעצם מנפיק תעודות מוצפנות אל הלקוח על מנת לאמת אותו מול גורם מסוים, לדוגמה ניתן להגדיר שכל פעם שמשתמש רוצה לגשת לאתר X הוא יצטרך תעודה מסוג Y ובכך בלי התעודה לא יוכל המשתמש להיכנס למערכת ולא רק, זה תקף גם באפליקציות מסוימות, מתן גישה למחשב.
PKI – Public Key Infrastructure
PKI הוא שיטת הצפנה אסימטרית זאת אומרת המפתח מצפין ומפענח על ידי כל שתי מפתחות שונים לעומת הצפנה סימטרית אשר שם מפתח אחד מצפין ואחד מפענח, זאת אומרת שהמפתח צריך להגיע ביחד עם הקובץ אל משתמש X בדרך מאובטחת, הצפנה אסימטרית היא הצפנה שצד אחד מצפין במפתח ציבורי וצד אחד מפענח במפתח פרטי.
בPKI אנו מכינים תשתית עם 2 מפתחות האחת ציבורית והאחת פרטית כמו ההסבר למעלה, ובכך את הציבורי מפרסמים “צמד המפתחות” הללו מגדירים שרק משתמש X יכול לפענח הודעה מוצפנת שהוצפנה על ידי מפתח שקיים אצל משתמש X לדוגמה ובכך יכול לבצע Digital Signature על מנת לאמת את זהותו , אסביר שוב משתמש Y מקבל את המפתח הפומבי של משתמש X בעזרתו, משתמש Y מצפין את ההועה ושולח למשתמש X , משתמש X מפענח את ההודעה על ידי המפתח הפרטי שברשותו.
Standalon CA
הוא שרת CA שלא מבצע התממשקות עם AD ולרוב ניצור אותו על מנת ליצור את ה PKI בלבד בנוסף כל תעודה המונפקת דרך ה Standalon CA חייב מנהל הרשת לאשר כל תעודה על מנת שתונפק למשתמש בנוסף מנהל המערכת יפרסם את התעודות דרך אתר אינטרנט של ה CA או דרך ה Store על מנת שהמשתמשים יקבלו תעודה
דבר נוסף הוא כאשר רוצים ליצור Standalon Offline CA, שרת זה אינו מחוייב להיות מחובר לאינטרנט ויכול תמיד להישאר במצב Offline עד למצב בו נצטרך אותו ביצירת PKI מצב ה- Offline מוסיף אבטחה ברמה הפיזית שכן כל עוד שרת זה מכובה לא ניתן לגשת אל ה Privete Key a שנמצא בו דרך האינטרנט אלה פיזית בלבד ולכן מצב זה טוב אם הCA שאתם צריכים יהיה מחובר לרשת העולמית אז עדיף שיהיה במצב Offline שכן לא ניתן לפרוץ אליו אם הוא כבוי והוא מספק רק את ה PKI פעם בכמה שנים או רק כשאשר זקוקים לו
המשתמשים יסמכו על הCA באופן ידנית זאת אומרת עליהם לקבל את “הרשות” או הסמכות באופן ידני על מנת לסמוך על התעודות שלה, כמו שקיים במחשב שלכם “הרשות” Verisign למרות שניתן להגדיר זאת על ידי Group Policy שימסכו על אותה סמכות CA
Enterprise CA
הוא שרת CA המחובר לActive Directory (כמובן שחייב להיות חלק מהדומיין) וחייב להיות מחובר לרשת ועדיף בארגונים פנימיים שכן הוא לא מחובר לרשת העולמית וכך לא חשוף לפריצות, אז הסיבה שאנו רוצים Enterprise CA היא היכולת להיות מחובר לAD ובכך ניתן להפיץ לקבוצות או לכלל המשתמשים תעודות על סמך הגדרות שאנו קובעים לעומת Standalone CA שבו חייב לאשר כל תעודה על מנת להנפיק למשתמש .
דמיינו מצב כזה ברשותכם אתר אינטרנט ואתם רוצים שרק המשתמשים בארגון יכולים לגשת אליו תוכלו להגדיר באתר את התעודה ואז לחלק לכל המשתמשים בארגון את התעודה בעת כניסתם למחשב ובכך לתת להם גישה או להגדיר שלחלק מהמשתמשים בארגון לא יהיה גישה לאתר מכיוון שלא יחולק להם התעודה הספציפית הזו.
המשתמשים יסמכו על הCA באופן אוטומטית הם יקבלו את”הרשות” או הסמכות באופן אוטומטי על מנת לסמוך על התעודות שלה
Offline Standalone
Root Standalone
אנו נקים Root Standalone על מנת להנפיק את התעודה, את אותה התעודה נעביר ל Subordinate Standalone ואז נוכל לכבות את ה Root Standalone ולהדליק אותו רק מתי שנצטרך ובכך “לאבטח פיזית” את השרת.
Subordinate Standalone
הוא מנפיק תעודות בשמו של ה Root CA שהוגדר לו מכיוון שה Root Standaloneנמצא במצב Offline הוא ינפיק תעודה באופן ידני על פי בקשת מנהל הרשת ולאחר מכן יכובה , וכך לא יהיה ניתן לגשת אל השרת Root CA .
לאחר מכן הSubordinate יחלק על פי בקשת המשתמשים תעודות על פי הפתח של ה Root CA
וכl מגיע הקשר של :
Offline Standalone and Enterprise Subordinate
אנו נקים Root Standalone בו את התעודה ונעביר את התעודה ל Enterprise CA ואז ניתן לכבות שוב את ה Root Standalone וכך ה Enterprise CA אשר מחובר לAD יכול להנפיק תעודות למשתמשים כאשר הRoot CA מכובה
