Jak stworzyć certyfikaty bezpieczeństwa
10 października 2019
FAQ – Produkty dla firmy (biznesowe) :
- Podstawowe reguły zapory sieciowej na serwerach Windows
- Zarządzanie kontami użytkowników Bitdefender GravityZone
- Jak korzystać z Power user w trybie tekstowym CLI
- Dlaczego zadanie Skan ryzyka jest wyszarzone
- Bitdefender Endpoint Security Tools FAQ
- Jak przejąć kontrolę nad polityką
- Jak przesłać próbkę do Bitdefender GravityZone Analizator Sandbox
- Jak odzyskać partycje zaszyfrowane przez dodatek FDE w Bitdefender GravityZone
- Jak odinstalować agenta BEST, gdy utraciłem hasło dezinstalacji
- Jak zainstalować BEST na Ubuntu za pomocą SSH
Ten artykuł wyjaśnia jak wytworzyć certyfikaty bezpieczeństwa wymagane przez GravityZone.
Wprowadzenie
Przeglądarki potrzebują certyfikatu Control Center Security, aby rozpoznać stronę Control Center jako zaufaną. Oprócz Control Center Security, wszystkie inne certyfikaty są potrzebne wyłącznie do zarządzania urządzeniami Apple iOS.
– Certyfikat Serwera Komunikacji
– Certyfikat Apple MDM Push
– Certyfikat iOS MDM Identity and Profile Signing
– Certyfikat iOS MDM Trust Chain
iOS zawiera wbudowane wsparcie dla rozwiązań Mobile Device Management (MDM). Firma Apple Inc. ma bardzo surowe wymagania dotyczące działania interfejsu MDM. Bezpieczeństwo oznacza uwierzytelnienie zarówno serwera, jak i klienta w momencie wydawania poleceń MDM na urządzenie; dlatego serwer MDM działa jako serwer HTTPS i urządzenie musi ufać certyfikatowi, który przedstawia serwer.
Certyfikat Root
Certyfikaty cyfrowe są weryfikowane przy użyciu łańcucha zaufania. Certyfikat główny (zwany dalej Rootem) to najwyższy certyfikat drzewa, którego klucz prywatny służy do „podpisywania” innych certyfikatów. Wszystkie certyfikaty znajdujące się bezpośrednio poniżej certyfikatu Root dziedziczą wiarygodność certyfikatu Root.
Istnieje kilka różnych podejść, aby urządzenia zaufały certyfikatowi SSL przedstawionemu przez serwer MDM. Zaprezentujemy trzy z nich, ale tylko dwa mają sens jako realistyczny i praktyczny scenariusz wdrożenia.
1. Uzyskaj certyfikat SSL ze źródła, któremu urządzenie już ufa.
Na przykład uzyskaj certyfikat dla określonego adresu IP lub nazwy hosta urządzenia od urzędu certyfikacji, takiego jak Verisign, Thawte lub inny główny dostawca. Urządzenie zaufa temu certyfikatowi i można ustanowić relację zarządzania.
To rozwiązanie nie jest praktyczne w przypadku większości wdrożeń Enterprise.
2. Firma ma samopodpisany certyfikat główny.
Certyfikat musi zostać zaimportowany przed rejestracją.
Na szczęście Apple przewidziało tę potrzebę i umożliwiło włączenie certyfikatów i konfiguracji MDM do tego samego ładunku. Rejestracja odbywa się w dwóch etapach:
a) Certyfikaty z ładunku zostaną zaimportowane, a Root będzie zaufany;
b) Nawiązane zostanie połączenie z serwerem MDM i urządzenie będzie zarządzane.
3. Firma posiada certyfikat pośredni uzyskany od głównej strony trzeciej.
Certyfikat jest wydawany przez pośredni urząd certyfikacji. Używa on łańcucha zaufania, który rozpoczyna się od Root (już zaufanego przez urządzenie).
Pośrednik musi być uwzględniony w profilu.
Certyfikaty dla produktu Bitdefender MDM
Oto krótki opis certyfikatów dla MDM:
1. Certyfikaty Serwera Komunikacji służą do zabezpieczania komunikacji między serwerem komunikacyjnym, a urządzeniami mobilnymi z systemem iOS.
Wymagania:
– Certyfikaty SSL mogą być podpisane zarówno przez Twoją firmę lub przez zewnętrzny Urząd Certyfikacji.
– Nazwa ogólna certyfikatu musi być dokładnie zgodna z nazwą domeny lub adresem IP używanym przez klientów mobilnych do łączenia się z Serwerem Komunikacji. Jest to skonfigurowane jako zewnętrzny adres MDM w interfejsie konfiguracyjnym konsoli urządzenia GravityZone.
– Klienci mobilni muszą ufać temu certyfikatowi. W tym celu należy również dodać iOS MDM Trust Chain.
2. Certyfikaty Apple MDM Push są wymagany przez Apple, aby wymusić bezpieczną komunikację pomiędzy Serwerem Komunikacji, a serwerami Apple Push Notifications service (APNs) podczas przesyłania powiadomień Push. Powiadomienia Push są używane do monitowania urządzeń o połączenie z serwerem komunikacyjnym, gdy dostępne są nowe zadania lub zmiany zasad.
Apple wystawia ten certyfikat bezpośrednio Twojej firmie, ale wymaga podpisania Twojego żądania podpisania przez Bitdefender. Control Center dostarcza kreator, aby pomóc Tobie otrzymać certyfikat Apple MDM Push.
3. Certyfikaty iOS MDM Identity and Profile Signing są używany przez Serwer Komunikacji do podpisywania certyfikatów tożsamości i profili konfiguracji wysyłanych do urządzeń mobilnych.
Wymagania:
– Musi to być certyfikat pośredni lub końcowy, podpisany przez Twoją firmę lub zewnętrzny urząd certyfikacji.
– Klienci mobilni muszą ufać temu certyfikatowi. W tym celu należy również dodać iOS MDM Trust Chain.
4. Certyfikaty iOS MDM Trust Chain są wymagane na urządzeniach mobilnych, aby zapewnić zaufanie dla certyfikatu Serwera Komunikacjii certyfikatu iOS MDM Identity and Profile Signing. Serwer Komunikacji wysyła te certyfikaty na urządzenia mobilne w czasie aktywacji.
iOS MDM Trust Chain musi zawierać wszystkie pośrednie certyfikaty od certyfikatu Root Twojej firmy lub do certyfikatu pośredniego wydanego przez zewnętrzny urząd certyfikacji. Łańcuch zaufania jest konkatenacją certyfikatów w formacie PEM i nie ma klucza prywatnego.
Procedura krok po kroku
c. createcom.sh
#!/bin/bash
openssl req -new -newkey rsa:2048 -keyout comkey.pem -out com.csr -subj ”CN=$1” -batch
openssl x509 -req -days 365 -in com.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha256 -out com.cer
d. createsvacom.sh
#!/bin/bash
openssl req -new -newkey rsa:2048 -keyout svacomkey.pem –out svacom.csr subj ”/CN$1/” –batch
openssl x509 -req -days 365 -in svacom.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha256 -out svacom.cer
e. createsgn.sh
#!/bin/bash
openssl req -out sgn.csr -new -newkey rsa:2048 -keyout sgnkey.pem -subj ”/C=XX/O=XX/CN=XX/” -batch
openssl x509 -req -days 365 -in sgn.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha256 -out sgn.cer -extfile noCA.cnf -extfile <(printf ”extendedKeyUsage = serverAuth \n subjestAltName=IP:$1”)
rm sgn.csr
Ważne:
– Dla subjectAltName również użyć DNS lub FQHN zamiast IP.
Przykład: subjectAltName=DNS:$1
– Zastąp Kraj C=XX, Organizację O=XX i Nazwę Ogólną CN=XX na pasujące Tobie.
Przykład: ”/C=PL/O=Bitdefender/CN=MDM Root/”
f. createchain.sh
#!/bin/bash
cat root.cer sgn.cer >chain.pem
g. noCA.cnf
basicConstraints=CA:false
B. Wygeneruj certyfikaty z wykorzystaniem poprzednio utworzonych skryptów.
W bash shell uruchom skrypty jako użytkownik root następująco:
1. Certyfikat Root
#chmod +x createroot.sh
#./createroot.sh
Zapamiętaj hasło chroniące klucz prywatny.
Pliki wynikowe: root.cer, rootkey.pem.
2. Certyfikat Control Center Security
#chmod +x createssl.sh
#./createssl.sh IP|FQHN
Podaj adres IP lub w pełni kwalifikowaną nazwę hosta w zależności od konfiguracji serwera.
Jak zawsze pamiętaj hasło.
Pliki wynikowe: certyfikat SSL – ssl.cer, klucz prywatny – sslkey.pem
3. Certyfikat Serwera Komunikacji
#chmod +x createcom.sh
#./createcom.sh IP|FQHN
Podaj adres IP lub w pełni kwalifikowaną nazwę hosta w zależności od konfiguracji serwera.
Jak zawsze pamiętaj hasło.
Pliki wynikowe: com.cer, comkey.pem
4. Punkt końcowy – Certyfikat Serwera Bezpieczeństwa
#chmod +x createsvacom.sh
#./createsvacom.sh IP|FQHN
Podaj adres IP lub w pełni kwalifikowaną nazwę hosta w zależności od konfiguracji serwera.
Jak zawsze pamiętaj hasło.
Pliki wynikowe: svacom.cer, svacomkey.pem.
5. Certyfikat Apple MDM Push
Apple wystawia ten certyfikat bezpośrednio Twojej firmie, ale wymaga podpisania Twojego żądania podpisania przez Bitdefender. Centrum sterowania zapewnia kreatora, który pomoże ci łatwo uzyskać certyfikat Apple MDM Push.
Ważne:
Aby uzyskać certyfikat, będziesz potrzebować Apple ID. Jeśli nie masz Apple ID, możesz stworzyć jeden tutaj. Przed przystąpieniem do uzyskiwania certyfikatu Apple MDM Push sprawdź poprawność swojego identyfikatora Apple ID i ustaw pytanie bezpieczeństwa.
6. Certyfikat iOS MDM Identity and Profile Signing
#chmod +x createsgn.sh
#./createsgn.sh IP|FQHN
Podaj hasło do katalogu głównego i pamiętaj hasło chroniące klucz prywatny tego certyfikatu.
Pliki wynikowe: sgn.cer, sgnkey.pem.
7. Certyfikat iOS MDM Trust Chain
#chmod +x createchain.sh
#./createchain.sh
Pliki wynikowe: chain.pem. Utworzony jest również plik nazwany root.serial, po prostu zignoruj go.
C. Prześlij odpowiednie pliki do Control Center.
Procedura przesyłania jest wyjaśniona w podrozdziale Certyfikaty w Podręczniku instalatora GravityZone.
Źródło: https://www.bitdefender.com/support/creating-security-certificates-1217.html
Autor
Obecnie
Najnowsze wpisy
