Trường hợp các công ty thường lưu trữ chứng chỉ SSL để sử dụng trong tương lai?

Gần đây chúng tôi đã mua chứng chỉ SSL ký tự đại diện cho tên miền của chúng tôi. Chúng tôi đã chuyển đổi tất cả các certs thành kho khóa Java, nhưng bây giờ chúng tôi đang tự hỏi mình nên lưu trữ chúng ở đâu để sử dụng sau.

Mọi người có sử dụng kiểm soát nguồn như BitBucket cho các loại tệp này không hoặc chỉ tạo mỗi khi cần, hoặc một cái gì khác?

Chúng tôi tự hỏi liệu có một giải pháp tiêu chuẩn hoặc bất kỳ "thực tiễn tốt nhất" nào xung quanh việc lưu trữ các chứng chỉ này để sử dụng trong tương lai.

Có nhiều giải pháp:

Một đại lộ là một kho khóa cụ thể hoặc là một thiết bị dựa trên phần cứng, mô-đun bảo mật phần cứng hoặc tương đương dựa trên phần mềm.

Một cách khác là chỉ cần thu hồi khóa cũ và tạo một cặp khóa riêng / chung mới khi tình huống phát sinh. Điều đó phần nào chuyển vấn đề từ duy trì bảo mật chính sang bảo mật tên người dùng / mật khẩu của tài khoản với nhà cung cấp chứng chỉ và quy trình của họ để cấp lại. Ưu điểm là hầu hết các tổ chức đã có giải pháp quản lý tài khoản đặc quyền, ví dụ 1 2

Có nhiều cách lưu trữ ngoại tuyến, từ in một bản sao cứng của cặp khóa riêng và khóa chung bao gồm cả mật khẩu (nhưng đó sẽ là một con chó cái để khôi phục) đến việc lưu trữ chúng trên phương tiện kỹ thuật số được xếp hạng để lưu trữ trong thời gian dài .

Những nơi thực sự tồi tệ là GitHub, nhóm của bạn WiKi hoặc chia sẻ mạng (và bạn có ý tưởng).

Cập nhật 2015/4/29: Keywhiz dường như cũng là một cách tiếp cận thú vị.

Không, chứng chỉ SSL không đi trong kiểm soát nguồn, ít nhất không phải là phần khóa riêng.

Đối xử với họ như bạn sẽ làm một mật khẩu. Chúng tôi thực sự được lưu trữ chính xác giống như cách mật khẩu của chúng tôi thực hiện - trong KeePass. Nó cho phép bạn đính kèm tập tin, và được mã hóa.

Nếu bạn đặt khóa riêng trong kiểm soát nguồn, bất kỳ ai có quyền truy cập vào nó đều có thể mạo danh máy chủ của bạn. Nếu máy chủ web của bạn không sử dụng PFS (bảo mật hoàn hảo về phía trước) thì cũng có thể giải mã bất kỳ lưu lượng SSL nào bị bắt bằng các công cụ nguồn mở phổ biến như Wireshark.

Bạn có thể bảo vệ khóa bằng cách mã hóa DES hoặc AES bằng cụm mật khẩu bằng OpenSSL. OpenSSL có sẵn cho Linux, OSX và Windows.

OpenSSL cũng có thể xóa cụm mật khẩu khi cụm mật khẩu không thuận tiện (ví dụ: trên máy chủ web khởi động tự động nhưng không hỗ trợ nhập cụm mật khẩu tự động).

Thêm cụm mật khẩu sử dụng mã hóa AES (an toàn hơn DES): -

openssl rsa -aes256 -in private.key -out encrypted.private.key

Xóa cụm mật khẩu (bạn sẽ được nhắc nhập cụm mật khẩu): -

openssl rsa -in encrypted.private.key -out decrypted.private.key

Một lựa chọn khác, sau khi đọc về KeyWhiz, là HashiCorp's Vault. Nó không chỉ là một trình quản lý mật khẩu, mà còn là một cửa hàng Secrets, tôi tin rằng có phần giống với KeyWhiz. Nó được viết bằng GO, và máy khách cũng hoạt động như máy chủ và nối vào một loạt các phụ trợ và phương thức xác thực. Vault cũng là nguồn mở, với tùy chọn Enterprise là tốt.

Vì Khóa và Chứng chỉ SSL chỉ là tệp văn bản, bạn có thể mã hóa 64 mã và lưu nó dưới dạng chuỗi trong Vault hoặc thậm chí chỉ là văn bản trong Vault. Không có WebUI hoặc GUI, tất cả dòng lệnh hoặc tập lệnh được điều khiển và có API web ổn định, rất tốt để khởi động.

1. https://www.vaultproject.io/
2. https://github.com/hashicorp/vault

Tôi khuyên bạn nên xem xét một HSM ngoại tuyến (như mã thông báo mã hóa phần cứng hoặc CAC) để lưu trữ khóa riêng và chứng chỉ. Điều này không chỉ bảo vệ khóa riêng khỏi sự thỏa hiệp ngẫu nhiên, nó còn cung cấp một số giảm tải mật mã cơ bản.

Nếu bạn có nhiều tài sản mật mã để quản lý, tôi khuyên bạn nên xem xét phần mềm Quản lý chứng chỉ & khóa doanh nghiệp, có thể tự động gia hạn, theo dõi vòng đời, tự động cung cấp cho các điểm cuối, v.v. CLOB trong cơ sở dữ liệu.