ভবিষ্যতে ব্যবহারের জন্য সংস্থাগুলি সাধারণত এসএসএল শংসাপত্রগুলি কোথায় সঞ্চয় করে?

আমরা সম্প্রতি আমাদের ডোমেনের জন্য একটি ওয়াইল্ডকার্ড এসএসএল সার্টি কিনেছি। আমরা সমস্ত শংসাপত্রগুলিকে একটি জাভা কীস্টোরে রূপান্তর করেছি, তবে এখন আমরা আমাদের নিজেরাই জিজ্ঞাসা করছি যে আমাদের পরবর্তী ব্যবহারের জন্য কোথায় সঞ্চয় করা উচিত।

লোকেরা কি এই ধরণের ফাইলগুলির জন্য বিটবকেটের মতো উত্স নিয়ন্ত্রণ ব্যবহার করে বা প্রতিবার প্রয়োজন হয় বা অন্য কোনও কিছু তৈরি করে?

আমরা ভাবছি ভবিষ্যতে ব্যবহারের জন্য এই শংসাপত্রগুলি সংরক্ষণের চারপাশে কোনও মানক সমাধান বা কোনও "সেরা অনুশীলন" রয়েছে কিনা।

একাধিক সমাধান রয়েছে:

একটি অ্যাভিনিউ হ'ল একটি হার্ডওয়্যার ভিত্তিক অ্যাপ্লায়েন্স, একটি হার্ডওয়্যার সুরক্ষা মডিউল বা একটি সফ্টওয়্যার ভিত্তিক সমতুল্য একটি নির্দিষ্ট কী ভল্ট ।

অন্যটি হ'ল পুরানো কীটি প্রত্যাহার করে নেওয়া এবং পরিস্থিতি দেখা দিলে একটি নতুন একটি ব্যক্তিগত / সর্বজনীন কী-জুড়ি তৈরি করা। যা কিছুটা মূল সুরক্ষা বজায় রাখা থেকে শংসাপত্র সরবরাহকারীর সাথে অ্যাকাউন্টটির ব্যবহারকারীর নাম / পাসওয়ার্ড এবং পুনঃ ইস্যু করার জন্য তাদের পদ্ধতিগুলি সুরক্ষিত করে sh সেখানে সুবিধাটি হ'ল বেশিরভাগ সংস্থার ইতিমধ্যে একটি সুবিধাযুক্ত অ্যাকাউন্ট পরিচালনার সমাধান রয়েছে যেমন 1 2

দীর্ঘকালীন স্টোরেজের জন্য রেটযুক্ত ডিজিটাল মিডিয়ায় কেবল স্টোর করার জন্য পাসওয়ার্ড সহ ব্যক্তিগত এবং জনসাধারণের কী-জুটির হার্ড-কপি মুদ্রণ করা থেকে অফ-লাইন স্টোরেজ করার একাধিক উপায় রয়েছে (তবে এটি পুনরুদ্ধার করতে মহিলা কুকুর হবে) ।

সত্যিই খারাপ স্থানগুলি হ'ল গিটহাব, আপনার টিম ওয়াইকি বা একটি নেটওয়ার্ক শেয়ার (এবং আপনি ধারণাটি পেয়ে যান)।

2015/4/29 আপডেট করুন: কীজইজটিও একটি আকর্ষণীয় পদ্ধতির বলে মনে হচ্ছে।

না, এসএসএল শংসাপত্রগুলি উত্স নিয়ন্ত্রণে চলে না, কমপক্ষে ব্যক্তিগত কী অংশটি নয়।

আপনি যেমন একটি পাসওয়ার্ড চান তাদের ব্যবহার করুন Treat আমাদের পাসওয়ার্ডগুলি কী-পাসে করে ঠিক তেমনভাবে সংরক্ষণ করা হয়। এটি আপনাকে ফাইল সংযুক্ত করার অনুমতি দেয় এবং এনক্রিপ্ট করা হয়।

আপনি যদি সোর্স নিয়ন্ত্রণে প্রাইভেট কীটি রেখে দেন তবে যার অ্যাক্সেস রয়েছে তারাই আপনার সার্ভারটির ছদ্মবেশ তৈরি করতে সক্ষম হবেন। যদি আপনার ওয়েবসারভার পিএফএস (নিখুঁত ফরোয়ার্ড সিক্রেসিটি) ব্যবহার না করে থাকে তবে তারপরে ওয়্যারশার্কের মতো সাধারণভাবে উপলভ্য ওপেন সোর্স সরঞ্জামগুলির সাহায্যে কোনও বন্দী এসএসএল ট্র্যাফিক ডিক্রিপ্ট করা সম্ভব।

আপনি ওপেনএসএসএল ব্যবহার করে পাসফ্রেজের সাহায্যে ডিইএস বা এইএস দ্বারা এটি এনক্রিপ্ট করে কীটি সুরক্ষা দিতে পারেন। লিনাক্স, ওএসএক্স এবং উইন্ডোজের জন্য ওপেনএসএসএল উপলব্ধ।

যখন কোনও পাসফ্রেজ অসুবিধাজনিত হয় তখন ওপেনএসএসএল পাসফ্রেজটিও সরিয়ে ফেলতে পারে (যেমন, কোনও ওয়েবসভারে যা স্বয়ংক্রিয়ভাবে শুরু হয় তবে পাসফ্রেসগুলির স্বয়ংক্রিয় প্রবেশকে সমর্থন করে না)।

AES এনক্রিপশন (DES এর চেয়ে বেশি সুরক্ষিত) ব্যবহার করে একটি পাসফ্রেজ যুক্ত করা: -

openssl rsa -aes256 -in private.key -out encrypted.private.key

একটি পাসফ্রেজ সরানো (আপনাকে পাসফ্রেজের জন্য অনুরোধ করা হবে): -

openssl rsa -in encrypted.private.key -out decrypted.private.key

কীউইউজ সম্পর্কে পড়ার পরে আর একটি বিকল্প হ্যাশিকর্পের ভল্ট। এটি কেবলমাত্র একটি পাসওয়ার্ড ম্যানেজার নয়, একটি সিক্রেটস স্টোর, আমি বিশ্বাস করি কী-উইজের সাথে কিছুটা মিল। এটি জিওতে লিখিত হয়েছে এবং ক্লায়েন্ট সার্ভার হিসাবেও কাজ করে এবং একগুচ্ছ ব্যাকএন্ড এবং প্রমাণীকরণের পদ্ধতিতে কাজ করে। ভল্টটি ওপেন-সোর্স, এন্টারপ্রাইজ বিকল্প হিসাবেও।

যেহেতু এসএসএল কী এবং শংসাপত্রগুলি কেবলমাত্র পাঠ্য ফাইল, তাই আপনি সেগুলি এনকোড করতে পারেন এবং এটি ভল্টের স্ট্রিং হিসাবে বা ভল্টে কেবল পাঠ্য হিসাবে সংরক্ষণ করতে পারেন। কোনও ওয়েবইউআই বা জিইউআই নেই, এর সমস্ত কমান্ড লাইন, বা স্ক্রিপ্ট চালিত আছে এবং বুটে যাওয়ার জন্য খুব ভাল, স্থিতিশীল ওয়েব এপিআই রয়েছে।

1. https://www.vaultproject.io/
2. https://github.com/hashicorp/vault

আমি ব্যক্তিগত কী এবং শংসাপত্র সংরক্ষণ করার জন্য একটি অফলাইন এইচএসএম (যেমন একটি হার্ডওয়্যার এনক্রিপশন টোকেন বা একটি সিএসি) সন্ধান করার পরামর্শ দেব। এটি কেবলমাত্র ব্যক্তিগত কীটিকে দুর্ঘটনাক্রমে সমঝোতা থেকে রক্ষা করে না, এটি কিছু বেসিক ক্রিপ্টোগ্রাফিক অফলোডও সরবরাহ করে।

আপনার যদি পরিচালনা করার জন্য আরও ক্রিপ্টোগ্রাফিক সম্পদ থাকে তবে আমি একটি এন্টারপ্রাইজ কী ও শংসাপত্র ম্যানেজমেন্ট সফ্টওয়্যার সন্ধানের পরামর্শ দেব যা নবায়নগুলি স্বয়ংক্রিয় করতে পারে, জীবনচক্রটি ট্র্যাক করতে পারে, শেষ পয়েন্টগুলিতে স্বয়ংক্রিয় ব্যবস্থা রাখতে পারে ইত্যাদি etc. একটি ডাটাবেসে সিএলওবি।