ভবিষ্যতে ব্যবহারের জন্য সংস্থাগুলি সাধারণত এসএসএল শংসাপত্রগুলি কোথায় সঞ্চয় করে?


26

আমরা সম্প্রতি আমাদের ডোমেনের জন্য একটি ওয়াইল্ডকার্ড এসএসএল সার্টি কিনেছি। আমরা সমস্ত শংসাপত্রগুলিকে একটি জাভা কীস্টোরে রূপান্তর করেছি, তবে এখন আমরা আমাদের নিজেরাই জিজ্ঞাসা করছি যে আমাদের পরবর্তী ব্যবহারের জন্য কোথায় সঞ্চয় করা উচিত।

লোকেরা কি এই ধরণের ফাইলগুলির জন্য বিটবকেটের মতো উত্স নিয়ন্ত্রণ ব্যবহার করে বা প্রতিবার প্রয়োজন হয় বা অন্য কোনও কিছু তৈরি করে?

আমরা ভাবছি ভবিষ্যতে ব্যবহারের জন্য এই শংসাপত্রগুলি সংরক্ষণের চারপাশে কোনও মানক সমাধান বা কোনও "সেরা অনুশীলন" রয়েছে কিনা।


সেগুলি আপনার traditionalতিহ্যগত ব্যাকআপ সমাধানে এনক্রিপ্ট করা ব্যাক আপ করুন। কোনও বাহ্যিক সরবরাহকারীর সাথে এনক্রিপ্ট করা ব্যক্তিগত কীগুলি সংরক্ষণ করবেন না। আমি সাধারণত ইস্যুটি অন্তর্ভুক্ত করি এবং পার্থক্যের জন্য আমার সার্টিফিকেটে এবং কী ফাইলনেটে মেয়াদ শেষ হয়ে যায়।
অ্যান্ড্রু ডোমাসেক

উত্তর:


22

একাধিক সমাধান রয়েছে:

একটি অ্যাভিনিউ হ'ল একটি হার্ডওয়্যার ভিত্তিক অ্যাপ্লায়েন্স, একটি হার্ডওয়্যার সুরক্ষা মডিউল বা একটি সফ্টওয়্যার ভিত্তিক সমতুল্য একটি নির্দিষ্ট কী ভল্ট ।

অন্যটি হ'ল পুরানো কীটি প্রত্যাহার করে নেওয়া এবং পরিস্থিতি দেখা দিলে একটি নতুন একটি ব্যক্তিগত / সর্বজনীন কী-জুড়ি তৈরি করা। যা কিছুটা মূল সুরক্ষা বজায় রাখা থেকে শংসাপত্র সরবরাহকারীর সাথে অ্যাকাউন্টটির ব্যবহারকারীর নাম / পাসওয়ার্ড এবং পুনঃ ইস্যু করার জন্য তাদের পদ্ধতিগুলি সুরক্ষিত করে sh সেখানে সুবিধাটি হ'ল বেশিরভাগ সংস্থার ইতিমধ্যে একটি সুবিধাযুক্ত অ্যাকাউন্ট পরিচালনার সমাধান রয়েছে যেমন 1 2

দীর্ঘকালীন স্টোরেজের জন্য রেটযুক্ত ডিজিটাল মিডিয়ায় কেবল স্টোর করার জন্য পাসওয়ার্ড সহ ব্যক্তিগত এবং জনসাধারণের কী-জুটির হার্ড-কপি মুদ্রণ করা থেকে অফ-লাইন স্টোরেজ করার একাধিক উপায় রয়েছে (তবে এটি পুনরুদ্ধার করতে মহিলা কুকুর হবে) ।

সত্যিই খারাপ স্থানগুলি হ'ল গিটহাব, আপনার টিম ওয়াইকি বা একটি নেটওয়ার্ক শেয়ার (এবং আপনি ধারণাটি পেয়ে যান)।

2015/4/29 আপডেট করুন: কীজইজটিও একটি আকর্ষণীয় পদ্ধতির বলে মনে হচ্ছে।


আমি কৌতূহলী, এইচএসএম এর জন্য "সফ্টওয়্যার ভিত্তিক সমতুল্য" বলতে কী বোঝ?

আজকাল কিছু হার্ডওয়্যার অ্যাপ্লায়েন্স বিক্রেতারা তাদের সরঞ্জামগুলি ভার্চুয়াল অ্যাপ্লায়েন্স, একটি ভিএম আকারে বিক্রি করে। এছাড়াও কিছু নাম দেওয়ার জন্য ওরাকল কী ভল্ট এবং ওপেন সোর্স সফ্টএইচএসএম এর মতো সামগ্রী রয়েছে
এইচবিউইজন

সুতরাং মূলত এটি একটি স্ট্যান্ডার্ড কম্পিউটারকে এইচএসএম রূপান্তর করতে দেয় ...

1
"তবে সে পুনরুদ্ধার করার জন্য একটি মহিলা কুকুর হবে" -> এইটি আমার দিনটিকে তৈরি করেছে! জোকস একদিকে রাখুন, সংরক্ষণের আগে আপনার এটিকে এনক্রিপ্ট করা উচিত।
ইসমাইল মিগুয়েল

সংজ্ঞা অনুসারে আপনি আপনার সার্বজনীন কী সবার কাছে প্রকাশ করবেন। এটি এনক্রিপ্ট করার কোনও কারণ নেই। তবে এটির সাথে ঝাপসা হওয়ার কোনও কারণ নেই। সুরক্ষা মূলত ব্যক্তিগত কী এর জন্য যা সাধারণত এনক্রিপ্ট / পাসওয়ার্ড সুরক্ষিত হওয়া উচিত। আপনার এটির যতটা সম্ভব কপি থাকা লক্ষ্য করা উচিত।
এইচবিউইজন

21

না, এসএসএল শংসাপত্রগুলি উত্স নিয়ন্ত্রণে চলে না, কমপক্ষে ব্যক্তিগত কী অংশটি নয়।

আপনি যেমন একটি পাসওয়ার্ড চান তাদের ব্যবহার করুন Treat আমাদের পাসওয়ার্ডগুলি কী-পাসে করে ঠিক তেমনভাবে সংরক্ষণ করা হয়। এটি আপনাকে ফাইল সংযুক্ত করার অনুমতি দেয় এবং এনক্রিপ্ট করা হয়।


3

আপনি যদি সোর্স নিয়ন্ত্রণে প্রাইভেট কীটি রেখে দেন তবে যার অ্যাক্সেস রয়েছে তারাই আপনার সার্ভারটির ছদ্মবেশ তৈরি করতে সক্ষম হবেন। যদি আপনার ওয়েবসারভার পিএফএস (নিখুঁত ফরোয়ার্ড সিক্রেসিটি) ব্যবহার না করে থাকে তবে তারপরে ওয়্যারশার্কের মতো সাধারণভাবে উপলভ্য ওপেন সোর্স সরঞ্জামগুলির সাহায্যে কোনও বন্দী এসএসএল ট্র্যাফিক ডিক্রিপ্ট করা সম্ভব।

আপনি ওপেনএসএসএল ব্যবহার করে পাসফ্রেজের সাহায্যে ডিইএস বা এইএস দ্বারা এটি এনক্রিপ্ট করে কীটি সুরক্ষা দিতে পারেন। লিনাক্স, ওএসএক্স এবং উইন্ডোজের জন্য ওপেনএসএসএল উপলব্ধ।

যখন কোনও পাসফ্রেজ অসুবিধাজনিত হয় তখন ওপেনএসএসএল পাসফ্রেজটিও সরিয়ে ফেলতে পারে (যেমন, কোনও ওয়েবসভারে যা স্বয়ংক্রিয়ভাবে শুরু হয় তবে পাসফ্রেসগুলির স্বয়ংক্রিয় প্রবেশকে সমর্থন করে না)।

AES এনক্রিপশন (DES এর চেয়ে বেশি সুরক্ষিত) ব্যবহার করে একটি পাসফ্রেজ যুক্ত করা: -

openssl rsa -aes256 -in private.key -out encrypted.private.key

একটি পাসফ্রেজ সরানো (আপনাকে পাসফ্রেজের জন্য অনুরোধ করা হবে): -

openssl rsa -in encrypted.private.key -out decrypted.private.key

1
আপনি যদি সঠিকভাবে জিনিসগুলি করেন তবে এমনকি ব্যক্তিগত কীটিও প্রকাশ করা অতীতের ট্র্যাফিকের সমঝোতার দিকে পরিচালিত করা উচিত নয়, যদিও এটি ভবিষ্যতে ট্র্যাফিককে আরও সহজতর করার জন্য এমআইটিএমইনকে অবশ্যই তৈরি করবে
একটি সিভিএন

হাই @ মিশেল, তাত্ত্বিকভাবে, তবে দু: খজনকভাবে আমি অনেক আপাচি এবং আইআইএস ক্যাপচারগুলি ডিক্রিপ্ট করতে সক্ষম হয়েছি যাতে আমি কেবল ডিফল্টরূপে পিএফএস বন্ধ করে ধরে নিতে পারি। এমনকি অনেকগুলি আইপিএসইসি ভিপিএন এটি বন্ধ করে দিয়েছে।
চালিত

পিএফএস ডিফল্টভাবে এতটা বন্ধ হয় না কারণ এটি অনেকগুলি সাইফার স্যুট সমর্থন করে না। কিছু সময় এসএসএল ল্যাবস সার্ভার পরীক্ষা করে দেখুন; এটি নির্দেশ করে যে কোন সিফার স্যুটগুলি FS সমর্থন করে। অবশ্যই, সমস্ত নন-এফএস সিফার স্যুট অক্ষম করা শীতকালে অনেক ক্লায়েন্টকে ছাড়তে পারে কারণ তারা এফএস সিফার স্যুটগুলিকে সমর্থন করে না। তবে এফএস স্যুটকে অগ্রাধিকারমূলক চিকিত্সা দেওয়া উচিত, তবে (তবে আপনি কী করছেন এবং তাদের আপেক্ষিক শক্তি এবং দুর্বলতাগুলি যদি না জানেন তবে ম্যানুয়ালি সিফার স্যুট অর্ডার করার বিরুদ্ধে জোর পরামর্শ দিই)।
একটি সিভিএন

এসএসএল ল্যাবস @ মিশেল-এ প্রস্তাব দেওয়ার জন্য ধন্যবাদ। দুর্ভাগ্যক্রমে আমার সার্ভারগুলি ইন্টারনেটের মুখোমুখি নয় তবে সক্রিয় সাইফারগুলির সাথে আমার চারপাশে একটি খেলা ছিল এবং আপনি প্রস্তাব করেছেন যে পিএফএস কেবলমাত্র কিছু সাইফার দ্বারা সমর্থিত। পিএফএস সত্যই আমাকে প্যাকেটের ট্রেসগুলি ডিকোডিং প্রতিরোধ করে না। আমি আমার উত্তর অনুসারে আপডেট করব।
চালাকি

1

কীউইউজ সম্পর্কে পড়ার পরে আর একটি বিকল্প হ্যাশিকর্পের ভল্ট। এটি কেবলমাত্র একটি পাসওয়ার্ড ম্যানেজার নয়, একটি সিক্রেটস স্টোর, আমি বিশ্বাস করি কী-উইজের সাথে কিছুটা মিল। এটি জিওতে লিখিত হয়েছে এবং ক্লায়েন্ট সার্ভার হিসাবেও কাজ করে এবং একগুচ্ছ ব্যাকএন্ড এবং প্রমাণীকরণের পদ্ধতিতে কাজ করে। ভল্টটি ওপেন-সোর্স, এন্টারপ্রাইজ বিকল্প হিসাবেও।

যেহেতু এসএসএল কী এবং শংসাপত্রগুলি কেবলমাত্র পাঠ্য ফাইল, তাই আপনি সেগুলি এনকোড করতে পারেন এবং এটি ভল্টের স্ট্রিং হিসাবে বা ভল্টে কেবল পাঠ্য হিসাবে সংরক্ষণ করতে পারেন। কোনও ওয়েবইউআই বা জিইউআই নেই, এর সমস্ত কমান্ড লাইন, বা স্ক্রিপ্ট চালিত আছে এবং বুটে যাওয়ার জন্য খুব ভাল, স্থিতিশীল ওয়েব এপিআই রয়েছে।

  1. https://www.vaultproject.io/
  2. https://github.com/hashicorp/vault

0

আমি ব্যক্তিগত কী এবং শংসাপত্র সংরক্ষণ করার জন্য একটি অফলাইন এইচএসএম (যেমন একটি হার্ডওয়্যার এনক্রিপশন টোকেন বা একটি সিএসি) সন্ধান করার পরামর্শ দেব। এটি কেবলমাত্র ব্যক্তিগত কীটিকে দুর্ঘটনাক্রমে সমঝোতা থেকে রক্ষা করে না, এটি কিছু বেসিক ক্রিপ্টোগ্রাফিক অফলোডও সরবরাহ করে।

আপনার যদি পরিচালনা করার জন্য আরও ক্রিপ্টোগ্রাফিক সম্পদ থাকে তবে আমি একটি এন্টারপ্রাইজ কী ও শংসাপত্র ম্যানেজমেন্ট সফ্টওয়্যার সন্ধানের পরামর্শ দেব যা নবায়নগুলি স্বয়ংক্রিয় করতে পারে, জীবনচক্রটি ট্র্যাক করতে পারে, শেষ পয়েন্টগুলিতে স্বয়ংক্রিয় ব্যবস্থা রাখতে পারে ইত্যাদি etc. একটি ডাটাবেসে সিএলওবি।


ডাউনভোটস কেন? অভিযোগ না করা; এই উত্তরটিতে কী ভুল তা সম্পর্কে কৌতূহলী।
ম্যাট

কেন ভোট পড়েছে তা নিশ্চিত নয়। এইচএসএম বিশেষত নিরাপদ কী স্টোরেজ এবং উচ্চ গতির এনক্রিপশনের জন্য ডিজাইন করা হয়েছে। আমি কেবল ব্যয় বা আরও জটিল পরিচালনার সাথে সম্পর্কিত এটি অনুমান করতে পারি। সমস্ত বড় ব্যাংকগুলি চিপ এবং পিন লেনদেনের মতো স্টাফগুলিতে কী অপারেশনগুলির জন্য এইচএসএম ব্যবহার করে।
কৌশলটি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.