Home אבטחת מידעInformation Security הסבר על תעודות אבטחה ויצירתם דרך Linux

הסבר על תעודות אבטחה ויצירתם דרך Linux

by Tal Ben Shushan 23/10/2014 0 comment
הסבר על תעודות אבטחה ויצירתם דרך Linux
נהנתם מהמאמר ? שתפו אותו!

מאמרים קשורים:

הסבר על תקשורת מאובטחת SSL \ TLS הצפנה RSA ומנגנון החלפת מפתחות Diffie Hellman
הסבר על תעודות אבטחה SSL Certificate
הסבר על Public Key Infrastructure
יצירת תעודת אבטחה דיגטלית והתקנת התעודה ב Apache
Certificate Authority, Enterprise,Standalone והסבר על תעודות
מאמרים ישנים יותר
הסבר על תעודות אבטחה ויצירתם דרך Linux


הסבר על תעודות אבטחה ויצירתם דרך Linux

מדריך זה ממשיך את המאמר Certificate Authority, Enterprise,Standalone, Root,Subordinate במאמר זה מוסבר מהו PKI וכיצד תעודת אבטחה עובדת

במדריך זה אסביר על יצירת מפתח (Key) שממנו ניצור תעודות אך זה עובד במציאות,

הסבר על תעודות אבטחה, אני יתן הסבר קצרצר עם סכמה..

תעודת אבטחה נוצרה בשביל כמה דברים אבל אחד הנושאים הם Verify של אתר, כוונתו של המשורר פשוטה!

ניקח scenario אני עכשיו יצרתי את האתר של הבנק ואני רוצה להוכיח שאני האתר המקורי של הבנק מה אני יעשה?

הפתרון הוא כזה במחשב שלכם נמצאים CA’s שהכניסה מיקרוסופט אל מחשבכם עוד בהתקנת מערכת ההפעלה, תעודות אלו נמצאות ב Trusted Root Certification Authorities  וכך אותם “ראשי תעודות” בודקים האם אתר הבנק שנכנסתם אליו הוא האתר המקורי?

נתחיל ב2 דוגמאות

דוגמא ראשונה:

Diagram

Diagram

אני צריך לפנות לאחת מהחברות המאושרות להנפיק תעודות אבטחה, דוגמת Digicert אשר הנפיקה לפייסבוק או לVeriSign שהנפיקו תעודה לבנק הפועלים וכו’

לאחר מכן התעודה מונפקת אל כתובת האתר, www.TheBank.com אני משייך את התעודה אל האתר הדומיין וכך “מוצמדת התעודה אל הדומיין” לאחר מכן המשתמש נכנס ממחשב אל אתר TheBank במחשב יושבת התעודה שאחראית לבדוק את התעודות אשר אותה חברה מנפיקה

עכשיו לעולם האמיתי ניקח את אתר פייסבוק לדוגמא,

נלחץ על התעודה הקיימת בו,

faceboo1

ניתן לראות שהתעודה הונפקה על ידי Digicert כעת נעבור לתעודה הנמצאת ב Trusted Root Certification Authorities Store

digicert

ניתן לראות ברשימה הדיי ארוכה יש את התעודה הזו, נלחץ עלייה פעמיים ונבדוק מה היא עושה

digido

ניתן לקרוא כבר מההתחלה שהתעודה בודקת את הזיהוי של המחשב המרוחק (שרת), בודקת שתוכנה שחתומה באמת חתומה על ידם ומאושרת על ידם… וכו’

מקווה שהבנתים את הרעיון

כעת ניצור תעודה ב Backbox

נפתח את ה Terminal ורשום

openssl genrsa -des3 -out TalCA.key 4096

BackBox

BackBox

פקודה זו תיצור את המפתח, מהמפתח נמשיך ליצור את התעודה, הרי אך נראה לכם חברת Digicert יוצרים את התעודה שלהם?

יש להם את המפתח לתעודה וככה הם יוצרים תעודות (כך שאם יום אחד יצליחו לפרוץ את הקידוד עצמו RSA, יוכלו האקרים לזייף תעודות כאלו ללא בעיה) שוב זה כרגע לא קיים…

נמשיך, לאחר הפקודה הוא יבקש ממכם לרשום ססמא, הססמא הזו היא הססמא למפתח ובלעדיה לא תוכלו ליצור מפתחות שמרו אותה

כעת ניצור את התעודה

openssl req -new -x509 -days 365 -key TalCA.key -out TalCA.crt

כך רשמתי , מהמפתח צור את התעודה (בכחול)

לאחר שתלחצו Enter נתחיל להזין את פרטי התעודה

BackBox

BackBox

פרטים נוספים

BackBox

BackBox

כתובת האתר כעת והאמייל אותו גם אפשר לזהות

BackBox

BackBox

בסיום התעודה תיווצר ואם נלחץ עליה נוכל לראות את הפרטים:

למי זה שייך על פי מי זה מאומת מה הפרטים של התעודה וכו’

BackBox

BackBox

וכעת אם אני הארגון שהנפיק וגם רוצה להשתמש בתעודה (כאן אציג באופן מקומי, קיימים דרכים להפיץ תעודות)

אני נכנס ל Firefox ומבצע import לתעודה

BackBox

BackBox

ובוחר

BackBox

BackBox

פה אני בוחר למה היא תשומש (תקראו מה רשום.. ככה תזכרו)

BackBox

BackBox

ובסיום ,

BackBox

BackBox

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

מאמרים קשורים

Leave a Comment