কোনও ডোমেনে রুট শংসাপত্রের ব্যবহার সীমাবদ্ধ করা কি সম্ভব?


28

আমার গ্রাহক কোনও অ্যাপ্লিকেশন কাজ করার জন্য স্ব স্বাক্ষরিত শংসাপত্র ব্যবহার করে। কাজ করতে সক্ষম হতে, আমাকে শংসাপত্রটিতে স্বাক্ষর করতে ব্যবহার করা মূল শংসাপত্রটি ইনস্টল করতে হবে।

কোনও শংসাপত্রটি কনফিগার করা কি এটি কেবল একটি ডোমেনের দিকে বৈধতা দেওয়া সম্ভব?


এটি কেবল আমারই হতে পারে তবে আপনি আসলে যা জিজ্ঞাসা করছেন তা আমি অস্পষ্ট। আপনি কোন শেষ অবস্থাটি সম্পাদনের চেষ্টা করছেন? আপনি যদি ডোমেন নিয়ন্ত্রকদের বিশ্বাসে তাদের মূল শংসাপত্রটি আমদানি করেন তবে কেবলমাত্র সেই ডোমেনের অধীনে থাকা সিস্টেমগুলি এর বিরুদ্ধে বৈধতা অর্জন করতে সক্ষম হবে ...
গ্রেভি

দেখে মনে হচ্ছে আপনি স্ব-স্বাক্ষরিত শংসাপত্রগুলি এমন একটি রুট সিএ ব্যবহার করে বিভ্রান্ত করছেন যা প্রকাশ্যে বিশ্বাসযোগ্য নয় a স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে কনফিগার করা অ্যাপ্লিকেশনটি খুব খারাপ, শংসাপত্রের বৈধতা ত্রুটি উপেক্ষা করার জন্য অ্যাপ্লিকেশনটি কনফিগার করা দরকার need জনসাধারণের উপর নির্ভরযোগ্য নয় এমন একটি মূল সিএ ব্যবহার করা আসলে সাধারণ common
গ্রেগ Askew

আপনার একটি অভ্যন্তরীণ সিএ সার্ভার আছে?
ক্রিপ্ট 32

1
একটি সিএ নামের সীমাবদ্ধতা সহ কিছু নির্দিষ্ট ডোমেনে নিজেকে সীমাবদ্ধ করতে পারে তবে অন্যের সিএতে প্রতিবন্ধকতা সীমাবদ্ধতা প্রয়োগ করা আলাদা বিষয়।
ম্যাট নর্ডহফ

3
এখানে কোন পার্থক্য নেই. আপনি তৃতীয় পক্ষের সিএতেও নাম সীমাবদ্ধতা প্রয়োগ করতে পারেন। আপনি কেবলমাত্র আপনার ব্যক্তিগত সিএ ব্যবহার করে তৃতীয় পক্ষের রুট সিএ শংসাপত্রটি স্বাক্ষর করুন এবং উত্পন্ন ক্রস শংসাপত্র প্রকাশ করুন। এই ক্ষেত্রে, বিদেশী শৃঙ্খলা সীমিত ক্রস-শংসাপত্রের মাধ্যমে আপনার ব্যক্তিগত চেইনে শেষ হবে।
ক্রিপ্ট 32

উত্তর:


24

একটি চলতি নিয়ম হিসাবে:

না , গ্রাহকের সিএ শংসাপত্রের উপর বিশ্বাস স্থাপন করা সেই সিএ স্বাক্ষরিত প্রতিটি শংসাপত্রের উপর বিশ্বাস is

আমি এমন কোনও অ্যাপ্লিকেশন / লাইব্রেরি সম্পর্কে জানি না যার একটি সহজ বিকল্প রয়েছে যা আপনাকে শেষ ব্যবহারকারী হিসাবে এটি নির্বাচন করতে দেয় যে আপনি আপনার গ্রাহকদের বা অন্য কোনও সিএ শংসাপত্রকে কেবলমাত্র কয়েকটি নির্দিষ্ট (সাব) ডোমেইনের জন্য বিশ্বাস করবেন অর্থাৎ কেবল * জন্য। উদাহরণ.কম এবং * .example.org এবং কিছুই নয়।

মোজিলাকে বর্তমানে বিশ্বস্ত সরকার স্পনসর করা সিএ-এর একটি মুক্ত মনোযোগ পয়েন্ট হিসাবে অনুরূপ উদ্বেগ রয়েছে এবং উদাহরণস্বরূপ , গুগল সাইটগুলিতে অ্যাক্সেসের জন্য ক্রোমের অতিরিক্ত চেক তৈরি করা হয়েছে, এটিই ছিল দুর্বৃত্ত * .google.com শংসাপত্র এবং ডিজিনোটার সিএ-এর সমঝোতা জনসাধারণ্যে পরিণত হয়েছিল ।

আপনি সিএকে বিশ্বাস না করলেও, আপনি এখনও সেই সিএ স্বাক্ষরিত একটি নির্দিষ্ট সার্ভার শংসাপত্র আমদানি / বিশ্বাস করতে পারেন, যা এই শংসাপত্রের হোস্টনামগুলির জন্য এসএসএল সতর্কতাগুলি রোধ করবে। এটি ত্রুটি বা অভিযোগ ছাড়াই আপনার অ্যাপ্লিকেশনটিকে কাজ করা উচিত।

ব্যতিক্রমসমূহ:

এক্স.509v3 পিকেআই স্ট্যান্ডার্ডের একটি খুব নিম্নচিকিত বিকল্প হ'ল নাম সীমাবদ্ধতা এক্সটেনশন, যা কোনও সিএ শংসাপত্রকে হোয়াইট- এবং ডোমেন নামের ধরণগুলির ব্ল্যাকলিস্টের জন্য এতে শংসাপত্র দেওয়ার জন্য অনুমোদিত is

আপনি ভাগ্যবান হতে পারেন এবং আপনার গ্রাহকরা তাদের পিকেআই অবকাঠামো স্থাপন করার সময় এবং তাদের সিএ শংসাপত্রের মধ্যে সেই নামের সীমাবদ্ধতা অন্তর্ভুক্ত করার সময় নিজেকে সংযত করেছিলেন। তারপরে আপনি তাদের সিএ শংসাপত্রটি সরাসরি আমদানি করতে পারেন এবং জেনে রাখতে পারেন যে এটি কেবলমাত্র ডোমেন নামের একটি সীমিত পরিসরে বৈধতা দিতে পারে।


2
@ ক্রিপ্টোগুয়ে: একটি অভ্যন্তরীণ সিএ বাহ্যিক ডোমেনগুলির শংসাপত্রও জারি করতে পারে। আপনি একবার নিজের অভ্যন্তরীণ সিএতে বিশ্বাস করলে এমন কোনও বাধা নেই যে কেবলমাত্র আপনার নিজের (অ্যাক্টিভ ডিরেক্টরি বা ডিএনএস) ডোমেনের জন্য শংসাপত্র example.comবা *.ad.example.com বৈধ। আপনার অভ্যন্তরীণ সিএ *.example.bankমধ্যম আক্রমণের অনুমতি দেওয়ার জন্য এবং আপনার অনলাইন ব্যাংকিং শংসাপত্রগুলি স্নুপ করার জন্য শংসাপত্র জারি করতে পারে ।
এইচবিউইজন

1
ভাল "সবকিছু" পুরোপুরি নির্ভুল নয়। শংসাপত্র প্রত্যাহার তালিকার মতো জিনিস রয়েছে। কিন্তু এটি নীচের লাইনটি পরিবর্তন করে না।
বেন ভয়েগ্ট

1
দুঃখিত, আপনি আবার ভুল। আপনি তৃতীয় পক্ষের সিএকে নিজের ইচ্ছামত একটি নামের তালিকায় ইস্যু করা শংসাপত্রগুলির (সেই সিএ থেকে) সীমাবদ্ধ করতে পারেন। আপনার নিজস্ব অভ্যন্তরীণ সিএ সম্পর্কিত, আমি বিশ্বাস নিঃসন্দেহে ধরে নিই। আপনি যদি নিজের সিএতে বিশ্বাস না করেন তবে আপনার আইটিতে কিছু ভুল আছে। আমি বলতে চাই যে একটি ব্যক্তিগত সিএ থাকার মাধ্যমে, ওপি একটি তৃতীয় পক্ষের সিএ (তাদের নাম নাম সীমাবদ্ধ রেখে) আংশিক বিশ্বাস স্থাপন করতে পারে।
ক্রিপ্ট 32

3
আপনার সম্পাদিত পোস্টে: তৃতীয় পক্ষের সিএতে নাম সীমাবদ্ধতা এক্সটেনশন না থাকলেও ক্রস-শংসাপত্রের মাধ্যমে আপনার নিজের অভ্যন্তরীণ সিএ সার্ভার ব্যবহার করে সেগুলি প্রয়োগ করা সম্ভব। এই ক্ষেত্রে, শংসাপত্র শৃঙ্খলা নিম্নরূপ হবে: লিফ্ট এসএসএল শংসাপত্র -> ক্রস শংসাপত্র -> আপনার সিএ শংসাপত্র -> আপনার অভ্যন্তরীণ মূল শংসাপত্র। কৌশলটি হ'ল আপনি নিজের অভ্যন্তরীণ সিএ ব্যবহার করে তৃতীয় পক্ষের সিএতে স্বাক্ষর করছেন। এবং ক্রস-শংসাপত্রের সমস্ত প্রয়োজনীয় প্রতিবন্ধকতা থাকবে।
ক্রিপ্ট 32

1
ক্রিপ্টোগুই বলেছেন যে এটি সম্ভব, তবে বাস্তবায়নের বিশদ খুঁজে পাওয়া চ্যালেঞ্জক। এটি কীভাবে সম্পাদন করা যায় তার বর্ণনা দেওয়ার উত্তর সম্পর্কে কীভাবে? এবং সম্ভবত কোন প্ল্যাটফর্মের নাম কন্ট্রন্টগুলি সমর্থন করে তার একটি আলোচনা।
জর্ফাস

17

@ ক্রাইপ্টোগুইয়ের এখানে একটি দুর্দান্ত উত্তর ছিল, তবে আমি এটিতে প্রসারিত করতে চেয়েছিলাম।

প্যারাফ্রেজ করতে:

আপনি তৃতীয় পক্ষের সিএকে নিজের ইচ্ছামত একটি নামের তালিকায় ইস্যু করা শংসাপত্রগুলির (সেই সিএ থেকে) সীমাবদ্ধ করতে পারেন। এমনকি তৃতীয় পক্ষের সিএতে নাম সীমাবদ্ধতা এক্সটেনশন না থাকলেও ক্রস-শংসাপত্রের মাধ্যমে আপনার নিজের অভ্যন্তরীণ সিএ সার্ভার ব্যবহার করে সেগুলি প্রয়োগ করা সম্ভব। কৌশলটি হ'ল আপনি নিজের অভ্যন্তরীণ সিএ ব্যবহার করে তৃতীয় পক্ষের সিএতে স্বাক্ষর করছেন।

লিফের এসএসএল শংসাপত্র -> ক্রস শংসাপত্র -> আপনার সিএ শংসাপত্র -> আপনার অভ্যন্তরীণ মূল শংসাপত্র।

এবং আপনি সেই কাজটি কীভাবে করবেন তা এখানে (ওপেনএসএসএল কমান্ড লাইন সিএ ব্যবহার করে)

একটি সাধারণ সিএ তৈরি করুন

openssl req -new -x509 -days 3650 -newkey rsa:2048 -sha256 -out root-ca.crt -keyout root-ca.key -subj "/CN=My Root CA"

আপনি একটি মধ্যবর্তী সিএ তৈরি এড়িয়ে যেতে পারেন

নামের সীমাবদ্ধতা সহ একটি মধ্যবর্তী সিএ অনুরোধ তৈরি করুন।

openssl req -new -days 3650 -newkey rsa:2048 -out domain-ca.req -sha256 -keyout domain-ca.key -config ossl_domain_com.cfg

এই সঙ্গে ossl_domain_com.cfgফাইল:

[ req ]
prompt=no
distinguished_name=req_distinguished_name
req_extensions=domain_ca

[ req_distinguished_name ]
CN=somedomain.com trust CA

[ domain_ca ]
basicConstraints=critical,CA:true,pathlen:1
nameConstraints=critical,permitted;DNS:.somedomain.com

তারপরে, আপনার সিএ সহ ইন্টারমিডিয়েট ডোমেন সিএ সাইন করুন।

openssl x509 -req -in domain-ca.req -CA root-ca.crt -CAkey root-ca.key -sha256 -set_serial 1 -out domain-ca.crt -extensions domain_ca -extfile ossl_domain_com.cfg

আপনি যদি মাঝারিটি তৈরিটি এড়িয়ে যান তবে স্বাক্ষর করতে আপনার রুট সিএ ব্যবহার করুন

এখন আপনার কর্তৃত্বের অধীনে আসল ডোমেনের সিএ পুনরায় স্বাক্ষর করুন, তাদের শংসাপত্র ব্যবহার করে। আপনি সিএ এক্সটেনশনগুলি এখানে যুক্ত করতে পারেন।

openssl x509 -in third_party_ca.crt -CA domain-ca.crt -CAkey domain-ca.key -set_serial 47 -sha256 -extensions domain_ca -extfile ossl_domain_com.cfg -out domain-cross-ca.crt

-x509-to-reqএকটি অনুরোধ তৈরি করতে আপনার আর্গুমেন্টটি ব্যবহার করতে হতে পারে , যা আপনি উপরের মধ্যবর্তী হিসাবে ঠিক একইভাবে সাইন ইন করবেন।

এখন, আপনার ব্রাউজারের বিশ্বাস ডাটাবেসে আপনার মূল সিএ, মধ্যবর্তী সিএ এবং ডোমেন-ক্রস-সিএ যুক্ত করুন।


2
MacOS নামকন্ট্রেন্টগুলি সমর্থন করে না। নামের উপর যে কেউ কাজ করছেন তার জন্য কেবল এফআইওয়াই অভ্যন্তরীণ সিএ বাধা দেয় সিকিউরিটি.স্ট্যাকেক্সেঞ্জাওয়েজ
সেকশনস

প্রশ্ন: এই সমাধানের অবস্থা কী? আজকাল (2018) এটি কোন সিস্টেমে কাজ করে? // আমি এটি প্রতিবার চেয়েছি যখনই আমি বাধ্য হয়ে অন্য একটি সংস্থা স্ব স্বাক্ষরিত সার্টিটি ইনস্টল করতে চাই; এবং প্রতিবার আমি হংকং পোস্ট অফিস বা সিম্যানটেক সম্পর্কে ভাবি। // আমি মনে করি যে আমি এতক্ষণ বর্ণিত সংকীর্ণতা প্রয়োগ করি না যতক্ষণ না তারা দুর্ঘটনাক্রমে একটি প্রশস্তকরণ বাস্তবায়ন না করে care
ক্রেজি গ্লিউ

@ ক্রজিগ্লিউ আমার কাছে এই ব্যাচ ফাইলটি আমি ব্যবহার করি এবং এখনও আমি এটি নিয়মিত ব্যবহার করি। মাঝেমধ্যে মধ্যবর্তী শংসাপত্রগুলি তাদের মেয়াদ শেষ হতে বা ঘোরার সাথে সাথেই আমাকে পুনরায় প্রকাশ করতে হয়, সুতরাং এটি একটু বেশি ম্যানুয়াল, তবে এটি কোনও সমস্যা হয়নি। আমি মাঝেমধ্যে কর্তৃপক্ষ-পরিচালিত সাইটগুলি জুড়ে চলি যা কোনও ভিন্ন অন্তর্বর্তী কর্তৃপক্ষের ব্যবহারের কারণে বা তাদের যুক্ত করা অতিরিক্ত ডোমেন নামের কারণে আমার ব্রাউজারটি বিশ্বাস করতে ব্যর্থ হয়, যা আমার বিশ্বাস করে না।
davenpcj

2
আমি সবেমাত্র এটি সফলভাবে ব্যবহার করেছি, ধন্যবাদ। এটি মধ্যবর্তী শংসাপত্র ছাড়াই দুর্দান্ত কাজ করে, একটি ব্যবহারের কোনও সুবিধা আছে কি? এছাড়াও, basicConstraintsকনফিগারেশন ফাইলের লাইনটি শংসাপত্রের মধ্যে দু'বার সীমাবদ্ধতা বাড়ানোর কারণ বলে মনে করে, যার ফলে ফায়ারফক্স একটি ক্রিপ্টিক ত্রুটি বার্তা সহ শংসাপত্রটি প্রত্যাখ্যান করে। আমি মনে করি এটি নিরাপদে সরানো যেতে পারে।
rtlprnft

আমি গত পদে পদে কোনো ত্রুটির সম্মুখীন হয়েছেন: error with certificate to be certified - should be self signed। এর অর্থ কী এবং কীভাবে সমাধান করা যায়? পেস্টবিন.উবুন্টু.
com
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.