Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Education Center
    2. Certifieringar

Vad är certifikathantering? SSL-, TLS-certifikathantering?

Postat avAryan Kumar 13 minuter
Automatiserad certifikatförnyelse
Innehållsförteckning

Digitala certifikat används över internet för att autentisera användare som utbyter data med varandra. Eftersom varje legitim webbplats använder ett certifikat är certifikathantering extremt viktig. Om ett certifikat skulle bli stulet och missbrukat kan en angripare utge sig för att vara en annan, mer legitim källa och infektera en användare med skadlig programvara via sin webbplats. Om ett certifikat går ut kan det leda till ett avbrott, vilket gör att en organisation går miste om potentiella kunder. Det här är bara några anledningar att lära sig mer om certifikathantering.

Vad är certifikathantering?

Certifikathantering är processen att övervaka, bearbeta och exekvera varje process i ett certifikats livscykel. Certifikathantering ansvarar för att utfärda, förnya och distribuera certifikat till slutpunkter (servrar, apparater, enheter etc.) så att nätverkstjänster är oavbrutna. Certifikathantering bör också automatisera uppgifter (utfärdande, förnyelse och så vidare) samt ge realtidsstatus för nätverkets infrastruktur.

Certifikathantering hjälper till att hantera nätverket och förhindra avbrott och driftstopp, samtidigt som det ger detaljerad övervakning av hela infrastrukturen. Bra certifikathanteringsplaner bör kunna hantera alla nätverk, även de med tusentals enheter. Om ett certifikat löper ut eller är felkonfigurerat kan katastrofala avbrott inträffa i hela nätverket.

Vad är ett digitalt certifikat?

Varje diskussion om certifikathantering skulle vara ofullständig utan att förklara vad ett digitalt certifikat är. Ett certifikat, även känt som ett SSL / TLS Ett certifikat är en digital identifierare för användare, enheter och andra slutpunkter inom ett nätverk. Certifikat är länkade med ett offentligt/privat nyckelpar och verifierar att den offentliga nyckeln, som matchar det giltiga certifikatet, kan litas på. Huvuduppgiften för ett certifikat är att säkerställa att data som skickas över en anslutning mellan en användare och en server hålls privat. Certifikaten gör detta genom att kryptera och dekryptera data när de skickas över anslutningen. Detta uppnås genom något som kallas en SSL/TLS-handskakning.

TLS handslag

En TLS-handskakning utförs enligt följande:

  1. Kund Hej

    Klient-helloet inträffar när klienten skickar en begäran till servern om att kommunicera. TLS-versionen, de chiffersviter som stöds och en sträng av slumpmässiga byte som kallas "klientslump" inkluderas i helloet.

  2. Server Hej

    I server hello bekräftar servern klientens hello. Den säkerställer sedan att den använder en TLS-version som är kompatibel med klientens TLS-version, väljer en kompatibel krypteringssvit bland de som erbjuds av klienten och skickar sitt certifikat, serverns slumpmässiga nyckel (liknande klientens slumpmässiga nyckel) och den publika nyckeln till klienten.

  3. Validering av certifikat

    Giltigheten av serverns certifikat kontrolleras först av klienten via certifikatmyndighetCertifikatutfärdaren, eller CA, är en mycket betrodd enhet som har ansvaret för att signera och generera digitala certifikat.

  4. Förhandssträng

    Klienten krypterar sedan en slumpmässig sträng av byte, kallad "Pre-Master String", med serverns publika nyckel och skickar den tillbaka till servern. Detta säkerställer att endast servern kan dekryptera nyckeln med sin egen privata nyckel, vilket fungerar som ytterligare en säkerhetsnivå.

  5. Skapande av sessionsnyckel

    Servern dekrypterar premaster-nyckeln, och sedan skapar både klienten och servern sessionsnycklar från klientens slumpmässiga värde, serverns slumpmässiga värde och premaster-strängen.

  6. Avslutade meddelanden

    Klienten och servern skickar sedan meddelanden till varandra som säger att de har skapat sina nycklar, och de jämför nycklarna med varandra. Om sessionsnycklarna matchar är TLS-handskakningen klar, och sessionsnycklarna används för att kryptera och dekryptera all data som skickas mellan servern och klienten.

När certifikat väl har skapats kan de användas för autentisering av servrar, klienter eller andra enheter. Certifikat anses giltiga under en viss tidsperiod och upphör att gälla efter den tidsramen. Certifikat följer en konstant livscykel som inkluderar faser som skapande, förnyelse, avstängning, utgång med mera. Om certifikat lämnas kvar för att upphöra att gälla kommer certifikatinnehavaren inte längre att vara betrodd, vilket resulterar i en förlust av tjänsten för webbplatsen eller enheten som används. För att få ett certifikat måste en användare eller webbplats först gå igenom en certifikatutfärdare eller signera ett själv.

Certifikatutfärdare

Certifikat kan genereras antingen via en betrodd certifikatutfärdare eller genom att själva signera ett certifikat. Certifikatutfärdare, eller CA:er, genererar certifikat för användare som ska användas för TLS/SSL-autentisering. För att säkerställa att en certifikatutfärdare kan litas på, förtroendekedja för CA:n kan följas tillbaka till käll-CA:n. En förtroendekedja är en kedja av certifikat publicerade av betrodda CA:er, som leder hela vägen tillbaka till rot-CA:n.

För att starta processen med att skaffa ett digitalt certifikat måste begäranden skicka en certifikatsigneringsbegäran (CSR) till CA:n. CSR:n måste ha den offentliga nyckeln för ett nyckelpar som skapats av begäranden, tillsammans med information för att bekräfta begäranden, såsom ett personnummer eller körkort. När begäranden har bekräftats signeras och returneras certifikatet av CA:n och kan användas för identifiering av begäranden.

Det andra alternativet för att få ett certifikat är att skapa ett själv med samma information och sedan självsignera det. Detta används mer sällan eftersom signerarens identitet inte kan verifieras med andra betrodda certifikatutfärdare, vilket gör det självsignerade certifikatet misstänkt. På grund av detta kommer många inte att acceptera ett självsignerat certifikat, så att använda en certifikatutfärdare för att skapa ett certifikat är den föreslagna metoden.

Certifikathantering

Förhindra certifikatavbrott, effektivisera IT-verksamheten och uppnå flexibilitet med vår certifikathanteringslösning.

Boka en demo

Certifikatets livscykel

Det finns flera distinkta steg i certifikatets livscykel, vilka visas nedan.

  • Discovery

    Identifiering är det första steget i certifikatlivscykeln. I identifieringsfasen skannas nätverket efter saknade, utgångna eller oanvändbara certifikat. Denna fas säkerställer också att alla certifikat som redan finns har driftsatts korrekt. Certifikat med sårbarheter och andra svagheter kan också upptäckas och åtgärdas eller ersättas. De olika certifikaten inventeras vanligtvis tillsammans i denna fas för att möjliggöra spårning av certifikatstatus eller gruppering av relaterade certifikattyper.

  • Skapande/Inköp

    I det här steget skapar CA själv certifikatet, eller så köper användaren ett certifikat från en betrodd CA. Nyckelparet för certifikatet skapas och den publika nyckeln, CSR och personligt identifierbar information skickas till CA för att certifikatet ska skapas. Om en organisation eller användare inte har eller inte vill skapa en kedja av betrodda CA:er köps ett certifikat istället för att skapas.

  • Installation

    Det här steget hanterar distribution och installation av certifikatet på dess rätta plats. Alla aspekter av certifikatets konfiguration kontrolleras i installationsfasen, inklusive nyckelpar, chiffersviter och den digitala signaturen. Certifikatet installeras sedan på lämplig slutpunkt som det skapades för, och autentiseringen av den slutpunkten påbörjas.

  • lagring

    Ett av de viktigaste stegen i certifikatlivscykeln är lagringsfasen. Certifikat måste vara tillgängliga, men inte återanvändbara av angripare, och därför måste de förvaras på en säker och centraliserad plats. Lagringsfasen kan också inventera certifikaten i grupper, om inventering inte gjordes i identifieringsfasen.

  • Övervakning

    Detta är den längsta fasen, där certifikaten övervakas under hela deras utgångsdatum. När utgångsdatumet har uppnåtts, eller ibland precis innan dess, kommer vissa certifikathanteringssystem automatiskt att förnya certifikaten. Om automatiska certifikathanteringssystem inte används måste en systemadministratör övervaka nätverkets certifikat och förnya, återkalla eller ersätta alla certifikat som når sitt utgångsdatum.

    Det finns fördelar med både manuell och automatisk övervakning, vilket kommer att diskuteras ingående i nästa avsnitt, men det finns två viktiga fördelar som överträffar resten. Den största fördelen med manuell övervakning är att om ett oväntat problem uppstår kan övervakaren reagera i realtid på problemet, medan ett automatiskt system inte vet vad det ska göra. Å andra sidan är den största fördelen med en automatisk övervakare att certifikatförnyelser, återkallelser etc. inte glöms bort, vilket kan inträffa om en människa övervakar certifikat i flera år.

  • Förnyelse

    Förnyelseprocessen för certifikat börjar när certifikatets giltighetstid har löpt ut. När användaren eller automatiserade system beslutar att förnya certifikatet skickas en CSR till den ursprungligen utfärdande CA:n för att få certifikatet förnyat. Processen sker på samma sätt som när certifikatet ursprungligen skapades, men mycket snabbare.

  • Återkallande

    Om den utfärdande certifikatutfärdaren har tagits ur bruk, ett certifikat missbrukas eller av en mängd andra anledningar kan ett certifikat återkallas. När certifikatet har återkallats placeras det på en lista över återkallelser av certifikat, eller CRL, om en CRL används. En CRL är en lista över certifikat som har återkallats av certifikatutfärdaren och som inte längre ska vara betrodda. Om en utfärdande certifikatutfärdares certifikat finns på en CRL kan den certifikatutfärdaren inte användas i en förtroendekedja för andra certifikatutfärdare eller certifikat. En nackdel med att använda CRL:er är att återkallade certifikat bara publiceras regelbundet, inte varje gång ett certifikat återkallas. Detta problem innebär att en användare kan förnya sitt certifikat hos sin utfärdande certifikatutfärdare, trots att deras certifikat för några timmar sedan återkallades på grund av olaglig användning.

  • Byte

    Om en CA:s certifikat återkallas eller om certifikatägaren vill gå över från betalda certifikat till sin egen Public Key Infrastructure (PNI), inträffar ersättningsfasen. Detta sker mer sällan, eftersom det är enklare att bara förnya ett certifikat med den ursprungligen utfärdande CA:n.

    Certifikatlivscykeln är inte huggen i sten. Olika organisationer kommer att ha olika steg, kombinera steg eller utelämna hela steg helt och hållet. Så länge certifikaten upptäcks, skapas, lagras, övervakas och förnyas, betraktas det som en certifikatlivscykel.

Manuell kontra automatiserad infrastruktur

En av de viktigaste delarna av ett företags datasäkerhetspolicy är den infrastruktur för certifikathantering som införts inom organisationen. En manuell infrastruktur innebär att en anställd skapar ett kalkylblad för att hålla reda på giltighetsperioder, policyer, återkallelser och konfigurationsdata för alla certifikat inom organisationen. Den här metoden fungerar med ett mindre företag med en infrastruktur som bara hanterar ett fåtal certifikat, men många större företag kan ha tusentals och åter tusentals certifikat, vilket gör manuella infrastrukturer för komplicerade. Det andra alternativet är att skapa en automatiserad infrastruktur för certifikatlivscykeln, vilket är den vanligaste metoden. Nedan finns en tabell som visar skillnaderna mellan manuella och automatiserade infrastrukturer för certifikathantering.

Manuell infrastruktur Automatiserad infrastruktur
Livscykelstadier

Hanteras via ett kalkylblad och en användare som håller koll på alla certifikat inom organisationen

Effektiviseras och hanteras automatiskt; Certifikat förnyas/ersätts/återkallas så snart som behövs

Driftskostnad

Kostar många arbetstimmar

Lägre kostnad och inga arbetstimmar behövs

Säkerhet

Måste ständigt hållas uppsikt över av den ansvariga medarbetaren för att säkerställa att certifikaten inte löper ut

Övervakas ständigt av programvaran som är konfigurerad i infrastrukturen, vilket möjliggör snabb förnyelse eller utbyte av certifikat

Genomförande

Enkel och snabb att implementera; Endast ett kalkylblad krävs

Programvaran måste implementeras korrekt, annars kommer certifikaten inte att övervakas korrekt.

Dessa skäl, och fler, är varför automatiserade system för hantering av certifikatlivscykeln används i Infrastrukturer för publika nycklar.

Vikten av certifikathantering

En av de viktigaste anledningarna till att ha ett starkt, automatiserat certifikathanteringssystem är om du har din egen Public Key Infrastructure (PKI). En PKI är en infrastruktur som skapats för att autentisera användare baserat på digitala certifikat. PKI:er kan även kryptera kommunikation. Den vanligaste PKI:n är TLS/SSL, som använder både symmetrisk och asymmetrisk kryptering för att säkra anslutningar mellan två användare. Kärnförtroendet för en PKI kommer från de certifikat som handlas mellan de två sidorna av anslutningen. De flesta PKI:er använder en tvåskiktsarkitektur, som inkluderar en rot-CA och en utfärdande CA.

En rot-CA är en certifikatutfärdare som hålls offline och skapar ett certifikat för den utfärdande CA:n online. Detta skapar en förtroendekedja med alla certifikat som utfärdas av den utfärdande CA:n, eftersom rot-CA:n hålls offline och därför är skyddad från skadliga avsikter. Utfärdande CA:er distribuerar certifikat för slutanvändare och enheter. Den mindre vanligt förekommande trenivåarkitekturen för en PKI inkluderar en mellanliggande CA mellan rot- och utfärdande CA:n, som fungerar som en mellanhand för rot- och utfärdande CA:n.

Anledningen till att automatiserad certifikathantering huvudsakligen används av PKI:er är att det är säkrare att skapa en PKI korrekt en gång och sedan låta de automatiserade tjänsterna hålla certifikaten uppdaterade. Detta minskar kostnaderna för företaget, de arbetstimmar som krävs för att hålla PKI:n igång och mänskliga fel. Eftersom så många organisationer skapar sina egna PKI är korrekt certifikathantering nyckeln till alla företags säkerhetsplan.

En annan anledning till att så stor vikt läggs vid certifikathantering är behovet av att varje enhet och användare som är ansluten till internet har ett digitalt certifikat. När en användare eller en enhet ansluter till en webbplats kontrolleras äktheten hos deras digitala certifikat, tillsammans med webbplatsens certifikat. Genom att ha en stark förtroendekedja och ett giltigt certifikat kan du ta dig vart som helst på internet.  

Ett certifikat är dock ogiltigt eller har utgångit om användaren eller enheten som certifikatet tillhör inte kan besöka de flesta webbplatser, eftersom en säker anslutning inte kan upprättas. Detsamma gäller för webbplatscertifikat. Om deras digitala certifikat är ogiltigt kommer eller kan användare inte använda webbplatsen av rädsla för att få skadlig kod eller virus på sin enhet.

Ytterligare en anledning att säkerställa stark certifikathantering är att förhindra att intrång inträffar i en organisation. Om ett certifikat skulle tillåtas i ett nätverk, trots att det har otillförlitliga certifikatutfärdare i sin förtroendekedja, kan ägaren av certifikatet stjäla känsliga uppgifter eller på annat sätt missbruka företagsdata för skadliga ändamål. Om certifikaten inte lagras korrekt kan en angripare stjäla certifikatet och utge sig för att vara en legitim användare, samtidigt som de stjäl, ändrar eller raderar känsliga uppgifter.

Certifikathantering

Förhindra certifikatavbrott, effektivisera IT-verksamheten och uppnå flexibilitet med vår certifikathanteringslösning.

Boka en demo

Andra användningsområden för certifikat

Det finns ett antal andra användningsområden för digitala certifikat, vilka listas nedan.

  • Intranätportaler
  • E-handel webbplatser
  • VPN
  • Försäljningssystem
  • Internet of Things-enheter
  • Apputveckling
  • Kodsignering
  • E-postsignering
  • SSH nyckelhantering
  • Financial Services
  • Kundtjänstwebbplatser
  • Molnautentisering

Certifikathantering med krypteringskonsulting

Krypteringskonsulttjänster erbjuder en specialiserad lösning för hantering av certifikatlivscykeln CertSecure-hanterareFrån identifiering och inventering till utfärdande, driftsättning, förnyelse, återkallelse och rapportering. CertSecure erbjuder en heltäckande lösning. Intelligent rapportgenerering, aviseringar, automatisering, automatisk driftsättning på servrar och certifikatregistrering ger lager av sofistikering, vilket gör den till en mångsidig och intelligent tillgång.

Utforska

Fler ämnen