- Vad är ett TLS-certifikat?
- Hur fungerar TLS?
- Standard SSL-handskakning
- Vilka typer av SSL-certifikat finns det?
- Hur vet besökare att min webbplats har ett SSL-certifikat?
- Hur använder SSL/TLS både asymmetrisk och symmetrisk kryptering?
- Skillnaden mellan SSL- och TLS-certifikat
- Hur kontrollerar man ett SSL-certifikat i Chrome och Firefox?
- Hur hittar man sitt SSL-certifikat?
- Certifikathanteringsverktyg
- Hur avgör man om webbplatsen man besöker använder SSL-certifikat?
- Hur kontrollerar man om ett SSL-certifikat är giltigt?
- Hur ställer man in SSL-certifikat i Linux?
- Hur ställer man in SSL-certifikat i Windows?
- Hur förnyar man ett SSL-certifikat?
- Hur kan krypteringskonsulting hjälpa till?
- Slutsats
SSL står för Secure Sockets Layer; det är standardtekniken för att hålla en internetanslutning säker och skydda all känslig data som skickas mellan två system. De två systemen kan vara server-till-klient (till exempel en shoppingwebbplats och webbläsare) eller server-till-server (till exempel en applikation med personligt identifierbar information eller löneinformation).
Innehållsförteckning
Vad är ett TLS-certifikat?
TLS står för Transport Layer Security, vilket bara är en uppdaterad och säkrare version av SSL. TLS är ett kryptografiskt protokoll som upprättar en krypterad session mellan applikationer över internet.
TLS-certifikat innehåller vanligtvis följande information:
- Det aktuella domännamnet
- Ämnesorganisationen
- Namnet på den utfärdande CA:n
- Ytterligare eller alternativa ämnesdomännamn, inklusive underdomäner, om sådana finns
- Utgivningsdatum
- Utgångsdatum
- Den publika nyckeln (Den privata nyckeln hålls dock hemlig.)
- CA:s digitala signatur
Hur fungerar TLS?
TLS använder en kombination av symmetrisk och asymmetrisk kryptografi, eftersom detta ger en bra förhandling mellan prestanda och säkerhet vid säker dataöverföring.
Läs mer om TLS-handskakning:
Certifikathantering | Användning | Säkerhet | Krypteringsordlista (encryptionconsulting.com)
Standard SSL-handskakning
Kommunikationen via SSL börjar alltid med en SSL-handskakning. SSL-handskakningen gör det möjligt för webbläsaren att verifiera webbservern, hämta den publika nyckeln och upprätta en säker anslutning innan den faktiska dataöverföringen påbörjas.
Följande steg ingår i standard SSL-handskakningen:
-
Kund Hej
Servern kommunicerar med klienten via SSL. Detta inkluderar SSL-versionsnummer, krypteringsinställningar och sessionsspecifika data.
-
Server Hej
Servern svarar med ett "server hello"-meddelande. Detta inkluderar serverns SSL-versionsnummer, krypteringsinställningar, sessionsspecifika data, ett SSL-certifikat med en offentlig nyckel och annan information som klienten behöver för att kommunicera med servern via SSL.
-
Autentisering
Klienten verifierar serverns SSL-certifikat från CA (Certificate Authority) och autentiserar servern. Om autentiseringen misslyckas vägrar klienten SSL-anslutningen och genererar ett undantag. Om autentiseringen lyckas går de vidare till nästa steg.
-
dekryptering
Klienten skapar en sessionsnyckel, krypterar den med serverns publika nyckel och skickar den till servern. Om servern har begärt klientautentisering (främst i server-till-server-kommunikation) skickar klienten sitt eget certifikat till servern.
-
Kryptering med sessionsnyckel
Servern dekrypterar sessionsnyckeln med sin privata nyckel och skickar bekräftelsen till klienten krypterad med sessionsnyckeln.
Således, i slutet av SSL-handskakningen, har både klienten och servern en giltig sessionsnyckel som de kommer att använda för att kryptera eller dekryptera originaldata.
Vilka typer av SSL-certifikat finns det?
Det finns flera typer av SSL-certifikat tillgängliga idag baserat på valideringsnivå och antalet domäner de säkrar. SSL-certifikat baserade på valideringsnivå:
-
Domänvaliderat certifikat
Domänvaliderat (DV)-certifikat kräver den lägsta valideringsnivån eftersom huvudsyftet med DV-certifikat är att säkra kommunikationen mellan domänens webbserver och webbläsare. CA verifierar endast att ägaren har kontroll över domänen.
-
Organisationsvaliderade certifikat
Organisationsvaliderade (OV) certifikat kräver en validering på medelhög nivå där CA kontrollerar en organisations rättigheter att använda domänen och organisationens information. OV-certifikatet ökar organisationens och dess domäns förtroendenivå.
-
Utökade validerade certifikat
Extended Validated (EV)-certifikatet kräver en validering på hög nivå där CA utför rigorösa bakgrundskontroller av organisationen enligt riktlinjer. Detta inkluderar verifiering av enhetens juridiska, fysiska och operativa existens.
SSL-certifikat baserade på antalet domäner:
-
Certifikat för enskild domän
Enskilda domäncertifikat säkrar ett fullständigt kvalificerat domännamn eller underdomännamn.
-
Wildcard SSL-certifikat
Wildcard-certifikat täcker ett domännamn och ett obegränsat antal av dess underdomäner
-
SSL-certifikat för flera domäner
Multi-Domain SSL-certifikatet säkrar flera domäner med samma certifikat med hjälp av SAN-tillägget. Det är speciellt utformat för att säkra Microsoft Exchange- och Office Communication-miljöer.
Hur vet besökare att min webbplats har ett SSL-certifikat?
Nedan finns några visuella ledtrådar som kan indikera att en webbplats har ett SSL-certifikat:
- Hänglås till vänster om en URL
- Ett https-URL-prefix istället för http
- Ett förtroendesigill
- En grön adressfält (när ett EV SSL-certifikat är utfärdat)
Hur använder SSL/TLS både asymmetrisk och symmetrisk kryptering?
SSL använder symmetrisk kryptering för att kryptera data mellan webbläsaren och webbservern medan asymmetrisk kryptering används för att utbyta genererade symmetriska nycklar som validerar klientens och serverns identitet.
Skillnaden mellan SSL- och TLS-certifikat
Skillnaden mellan SSL- och TLS-certifikat är liten, de anmärkningsvärda skillnaderna inkluderar:
| För jämförelse | SSL | TLS |
|---|---|---|
| Förkortning | SSL står för "Secure Socket Layer". | TLS står för "Transportlagersäkerhet". |
| Cipher-sviter | SSL-protokollet erbjuder stöd för Fortezza-krypteringssviten | Krypteringssviter SSL-protokollet erbjuder stöd för Fortezza-krypteringssviten TLS-standardiseringsprocessen gör det mycket enklare att definiera nya krypteringssviter, såsom RC4, Triple DES, AES, IDEA, etc. |
| Version | Tre versioner av SSL har släppts: SSL 1.0, 2.0 och 3.0 | Fyra versioner av TLS har släppts: TLS 1.0, 1.1, 1.2 och 1.3 |
| Versionsstatus | Alla versioner av SSL har befunnits sårbara, och de har alla föråldrats. | TLS 1.0 och 1.1 har blivit "trasiga" och är föråldrade från och med mars 2020. TLS 1.2 är den mest spridda protokollversionen. |
| Säker kommunikation | SSL är ett kryptografiskt protokoll som använder explicita anslutningar för att upprätta säker kommunikation mellan webbservern och klienten. | TLS är också ett kryptografiskt protokoll som tillhandahåller säker kommunikation mellan webbservern och klienten via implicita anslutningar. Det är efterföljaren till SSL-protokollet. |
| Mästarhemlighet | SSL skapar en huvudhemlighet, meddelandesammanfattningen av pre-masterhemligheten används | TLS använder en pseudoslumpmässig funktion för att generera huvudhemligheten |
Hur kontrollerar man ett SSL-certifikat i Chrome och Firefox?
Alla webbplatsbesökare kan följa stegen nedan för att få certifikatinformation i Chrome:
- Klicka på hänglåsikonen i adressfältet för webbplatsen
- Klicka på Certifikat (Giltigt) i popup-fönstret
- Markera Giltigt från-datum för att bekräfta att SSL-certifikatet är aktuellt
Alla webbplatsbesökare kan följa stegen nedan för att få certifikatinformation i Firefox:
- Klicka på hänglåsikonen i adressfältet för webbplatsen
- För att kontrollera certifikatets detaljer, klicka på mer information
För mer information om certifikatet, klicka bara på "Visa certifikat".
Hur hittar man sitt SSL-certifikat?
Det finns två metoder för att hitta installerade SSL-certifikat på en webbplats du äger. I Windows Server-miljö lagras de installerade certifikaten i certifikatarkiv, det finns containrar som innehåller ett eller flera certifikat. Dessa containrar är:
- Personlig, som innehåller certifikat kopplade till privata nycklar som användaren har åtkomst till.
- Betrodd rot Certifieringsmyndigheter, vilket inkluderar alla certifikat i arkivet för tredjeparts rotcertifikatutfärdare, plus rotcertifikat från kundorganisationer och Microsoft
- Mellanliggande certifieringsutfärdare, vilket inkluderar certifikat utfärdade till underordnade certifikatutfärdare.
Du kan kontrollera certifikatlagren manuellt på din lokala dator:
- Steg 1: Öppna Microsoft Management Console (mmc)
Kör > skriv mcc > EnterEllerÖppna kommandotolken > skriv mcc > Enter
- Steg 2: Klicka på Arkiv i menyn > välj Lägg till/ta bort snap-in
- Steg 3: Från listan Tillgängliga snapin-moduler väljer du Certifikat och sedan Lägg till.
- Steg 4: Välj Datorkonto > klicka på Nästa.
- Steg 5: Välj Lokal dator > klicka på Slutför.
- Steg 6: I fönstret "Lägg till eller ta bort snapin-moduler" > klicka på OK.
- Steg 7: Så här visar du dina certifikat i MMC-snapin-modulen > välj ett certifikatarkiv i den vänstra rutan. De tillgängliga certifikaten visas i den mittersta rutan.
- Steg 8: Dubbelklicka på ett certifikat, så visas certifikatfönstret som visar de olika attributen för det valda certifikatet.
Certifikathanteringsverktyg
Detta är en annan metod för att visa installerade certifikat genom att starta Windows Certifikathanteringsverktyg.
- Steg 1: På din lokala dator > öppna kommandokonsolen > skriv certlm.msc (verktyget Certifikathantering för den lokala enheten visas)
- Steg 2: Under Certifikat – Lokal dator > expandera katalogen för den typ av certifikat du vill visa
Hur avgör man om webbplatsen man besöker använder SSL-certifikat?
Förutom att kontrollera ditt eget certifikat är det viktigt att kunna avgöra om webbplatsen du besöker använder SSL-certifikat. Nedan följer några punkter som du bör tänka på för att kontrollera om webbplatsen använder certifikat:
- Leta efter "https" i URL:en till webbplatsen du besöker. "S" anger att webbplatsen använder ett SSL-certifikat.
- Om du använder Firefox > klicka på hänglåset i adressfältet > i rullgardinsmenyn bör det visas säker anslutning. Den säkra anslutningen indikerar att korrekt konfigurerad SSL används.
Hur kontrollerar man om ett SSL-certifikat är giltigt?
Giltighetstiden för SSL-certifikat är vanligtvis mellan ett och tre år. Certifikatets giltighetstid beror helt på företagets policy, kostnadsöverväganden etc. Det finns flera verktyg tillgängliga för att kontrollera SSL-certifikatens giltighet. I den här artikeln kommer vi att se hur du kan kontrollera certifikatets giltighet själv.
-
Alternativ 1: Den här processen är tidskrävande
Kör > certlm.msc > öppna Certifikat Lokal dator
Gå igenom listan över certifikat som anges i butiken för att se till att endast de legitimerade är installerade.
-
Alternativ 2: Ladda ner Windows sysinternals-verktyget
Använd Windows Sysinternals-verktyget som heter sigcheck > Ladda ner
När det är nedladdat och installerat > kör kommandot sigcheck-tv
Sigcheck laddar ner listan över betrodda Microsoft-rotcertifikat och tillhandahåller endast utdata för giltiga certifikat.
Hur ställer man in SSL-certifikat i Linux?
Installera ett SSL-certifikat på Linux-servrar (Apache):
- Ladda upp certifikatet och nyckelfilerna med S/FTP.
- Logga in på servern via SSH (som root-användare).
- Ange root-lösenordet
- Flytta certifikatfilen och nyckelfilen till /etc/httpd/conf/ssl.crt.
4.1. [Det är viktigt att hålla filerna säkra genom att begränsa behörigheter. Med 'chmod 0400' begränsar du säkert behörigheter till nyckeln]
- För att redigera konfigurationen av virtuella värdar för domänen, gå till etc/httpd/conf.d/ssl.conf..
- Starta om Apache
- Testa SSL-certifikatet med olika webbläsare.
- Besök webbplatsen med den säkra https-URL:en för att kontrollera att SSL-certifikatet fungerar korrekt. Exempel: www.krypteringskonsultering.com/
Hur ställer man in SSL-certifikat i Windows?
Följande är stegen för att installera ett SSL-certifikat på Windows Server 2016:
- Spara SSL-certifikatets .cer-fil på servern (där CSSR skapades) (t.ex. mydomain.cer)
- Windows startmeny > skriv Manager för Internet Information Services (IIS). > Öppna
- Klicka på Anslutningar menyträd > hitta och Klicka på servernamn
- Server namn Hem sida > Handling Meny > Klicka fullständig certifikatbegäran
- I Komplett certifikatbegäran trollkarl > på Ange certifikatutfärdarens svar sida > Filnamn som innehåller certifikatutfärdarens svar > Klicka i rutan och välj .cer fil
- Skriv a Vänligt namn för certifikatet (det användarvänliga namnet används för att identifiera certifikatet genom att lägga till CA och utgångsdatum.
- Välj en certifikat butik för det nya certifikatet: I rullgardinsmenyn väljer du Webbhotell.
- Certifikat Installerad.
- För att nu tilldela certifikatet till en lämplig webbplats > gå till IIS-chef (Internet Information Services) > Anslutningsmeny > expandera namnet på servern där certifikatet installerades > expandera Områden > välj de webbplatser för att säkra SSL-certifikatet
9.1.1 På webbplatsens startsida > Åtgärder-menyn > Redigera webbplats.. klicka på bindningar länk
- Webbplatsbindning Fönster > klicka Lägg till
- I Lägg till webbplatsbindningar fönster gör du följande:
TypI rullgardinsmenyn > Välj https
IP-adress: Välj IP-adressen för webbplats eller välj Alla Inte tilldelad.
PortTypport 443Porten över vilken trafik är säker med SSL är port 443.
SSL-certifikatI rullgardinsmenyn väljer du ditt nya SSL-certifikat (t.ex. mindomän.com).
- SSL-certifikatet har nu installerats.
- Använd olika webbläsare och besök webbplatsen med den säkra https-URL:en för att kontrollera att SSL-certifikatet fungerar korrekt.
Hur förnyar man ett SSL-certifikat?
Att förnya ett certifikat är tekniskt sett att köpa ett nytt certifikat för
domänen och företaget. Enligt branschstandarder kommer certifikat med
ett utgångsdatum. När certifikatet går ut är det inte längre giltigt. Så,
När du "förnyar" ett certifikat måste certifikatutfärdaren utfärda ett nytt
för att ersätta det som löper ut, och det nya certifikatet måste installeras på
servern.
Det finns två procedurer för att förnya certifikatet:
- Förnya ett självsignerat certifikat
- Förnya ett certifikat från en CA
Förnya ett självsignerat certifikat
- På din Windows-server klickar du på Start-menyn > gå till Administrationsverktyg > klicka på Manager för Internet Information Services (IIS)..
- Klicka på servernamnet i kolumnen Anslutningar > Dubbelklicka på Servercertifikat.
- I Actions kolumnen till höger > klicka på Skapa självsignerat certifikat
- Ange någon vänligt namn och klicka sedan på OK.
- Det självsignerade certifikatet har skapats och är giltigt i 1 år och listas under Servercertifikat.
- Koppla nu det självsignerade certifikatet till webbplatsen. Gå till Anslutningar (vänster kolumn)> expandera platser mapp > klicka på webbplatsen som du vill binda certifikatet till > Klicka på Bindningar i den högra kolumnen under Actions.
- Klicka på Bindningar > På webbplatsen Bindningsfönster > klicka på Lägg till
- Ändra typen till https > välj det SSL-certifikat som du just installerade > Klicka på OK.
- Bindning för port 443 listas nu.
- Nu ska du lägga till ditt självsignerade certifikat i de betrodda rotcertifikatutfärdarna. Öppna Microsoft Management Console (MMC)skapa en snapin-modul för certifikat för det lokala datorkontot (se stegen i Hur hittar du ditt SSL-certifikat? avsnittet ovan)
- Under Certifikat > expandera Personligt > Klicka på mappen Certifikat > Högerklicka på det självsignerade certifikatet > Kopiera
- Underneath Betrodda rotcertifikatutfärdare mapp > klicka på mappen Certifikat > Högerklicka i det vita området under certifikaten och klicka på Klistra in.
Förnya ett certifikat från en CA
I det här exemplet visar vi hur du förnyar rotcertifikatet från din CA.
- Navigera till Microsoft Management Console (MMC) på din Windows-server > starta snapin-modulen för certifikatutfärdare > Högerklicka på certifikatutfärdarens namn > Alla uppgifter > Förnya CA-certifikat.
- Varningen Installera CA-certifikat dyker upp, vilket informerar oss om att Active Directory-certifikattjänster måste stoppas. Välj Ja.
- På Fönstret Förnya CA-certifikat, antingen välja att använda det befintliga CA-nyckelparet eller generera ett nytt nyckelpar för certifikatförnyelse. Standardalternativet är att återanvända det nuvarande offentliga och privata nyckelparet.
- För att kontrollera om certifikatet är förnyat, högerklicka på certifikatutfärdarens namn > Egenskaper > Allmänt
Hur kan krypteringskonsulting hjälpa till?
Krypteringskonsulttjänster erbjuder en specialiserad lösning för hantering av certifikatlivscykeln CertSecure-hanterareFrån identifiering och inventering till utfärdande, driftsättning, förnyelse, återkallelse och rapportering. CertSecure erbjuder en heltäckande lösning. Intelligent rapportgenerering, aviseringar, automatisering, automatisk driftsättning på servrar och certifikatregistrering ger lager av sofistikering, vilket gör den till en mångsidig och intelligent tillgång.
Slutsats
En webbplats behöver ett SSL/TLS-certifikat för att skydda användardata, verifiera äganderätten till webbplatsen, förhindra att angripare skapar en falsk version av webbplatsen och vinna användarnas förtroende. SSL/TLS-certifikat verifierar att en klient kommunicerar med rätt server som äger domänen. Detta hjälper till att förhindra domänförfalskning och andra typer av attacker.
- Vad är ett TLS-certifikat?
- Hur fungerar TLS?
- Standard SSL-handskakning
- Vilka typer av SSL-certifikat finns det?
- Hur vet besökare att min webbplats har ett SSL-certifikat?
- Hur använder SSL/TLS både asymmetrisk och symmetrisk kryptering?
- Skillnaden mellan SSL- och TLS-certifikat
- Hur kontrollerar man ett SSL-certifikat i Chrome och Firefox?
- Hur hittar man sitt SSL-certifikat?
- Certifikathanteringsverktyg
- Hur avgör man om webbplatsen man besöker använder SSL-certifikat?
- Hur kontrollerar man om ett SSL-certifikat är giltigt?
- Hur ställer man in SSL-certifikat i Linux?
- Hur ställer man in SSL-certifikat i Windows?
- Hur förnyar man ett SSL-certifikat?
- Hur kan krypteringskonsulting hjälpa till?
- Slutsats