IETF អនុម័ត ACME ដែលជាស្តង់ដារសម្រាប់ធ្វើការជាមួយវិញ្ញាបនបត្រ SSL

IETF បានអនុម័ត ស្តង់ដារ។ បរិស្ថានគ្រប់គ្រងវិញ្ញាបនប័ត្រដោយស្វ័យប្រវត្តិ (ACME) ដែលនឹងជួយធ្វើស្វ័យប្រវត្តិកម្មការទទួលវិញ្ញាបនបត្រ SSL ។ តោះប្រាប់អ្នកពីរបៀបដែលវាដំណើរការ។

/flickr/ Cliff Johnson / CC BY-SA

ហេតុអ្វីបានជាស្តង់ដារចាំបាច់?

ជាមធ្យមក្នុងមួយការកំណត់ វិញ្ញាបនបត្រ SSL សម្រាប់ដែនមួយ អ្នកគ្រប់គ្រងអាចចំណាយពេលពីមួយទៅបីម៉ោង។ ប្រសិនបើអ្នកមានកំហុស អ្នកនឹងត្រូវរង់ចាំរហូតដល់ពាក្យសុំត្រូវបានបដិសេធ ទើបអាចដាក់ស្នើម្តងទៀតបាន។ ទាំងអស់នេះធ្វើឱ្យពិបាកក្នុងការដាក់ពង្រាយប្រព័ន្ធខ្នាតធំ។

នីតិវិធីផ្ទៀងផ្ទាត់ដែនសម្រាប់អាជ្ញាធរបញ្ជាក់នីមួយៗអាចខុសគ្នា។ កង្វះស្តង់ដារ ជួនកាលនាំឱ្យមានបញ្ហាសន្តិសុខ។ ល្បីល្បាញ កំពុងកើតឡើងនៅពេលដែល ដោយសារបញ្ហានៅក្នុងប្រព័ន្ធ CA មួយបានផ្ទៀងផ្ទាត់ដែនដែលបានប្រកាសទាំងអស់។ ក្នុងស្ថានភាពបែបនេះ វិញ្ញាបនបត្រ SSL អាចត្រូវបានចេញឱ្យទៅធនធានក្លែងបន្លំ។

IETF បានអនុម័តពិធីការ ACME (បញ្ជាក់ RFC8555) គួរតែធ្វើស្វ័យប្រវត្តិកម្ម និងធ្វើស្តង់ដារដំណើរការនៃការទទួលបានវិញ្ញាបនបត្រ។ ហើយការលុបបំបាត់កត្តាមនុស្សនឹងជួយបង្កើនភាពជឿជាក់ និងសុវត្ថិភាពនៃការផ្ទៀងផ្ទាត់ឈ្មោះដែន។

ស្តង់ដារគឺបើកចំហ ហើយនរណាម្នាក់អាចរួមចំណែកដល់ការអភិវឌ្ឍន៍របស់វា។ IN ឃ្លាំងនៅលើ GitHub ការណែនាំដែលពាក់ព័ន្ធត្រូវបានផ្សព្វផ្សាយ។

តើការងារនេះ

សំណើត្រូវបានផ្លាស់ប្តូរនៅក្នុង ACME តាមរយៈ HTTPS ដោយប្រើសារ JSON ។ ដើម្បីធ្វើការជាមួយពិធីការ អ្នកត្រូវដំឡើងម៉ាស៊ីនភ្ញៀវ ACME នៅលើថ្នាំងគោលដៅ វាបង្កើតគូសោតែមួយគត់នៅពេលអ្នកចូលប្រើ CA ជាលើកដំបូង។ ជាបន្តបន្ទាប់ ពួកវានឹងត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើសារទាំងអស់ពីម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេ។

សារដំបូងមានព័ត៌មានទំនាក់ទំនងអំពីម្ចាស់ដែន។ វាត្រូវបានចុះហត្ថលេខាដោយប្រើសោឯកជន ហើយផ្ញើទៅម៉ាស៊ីនមេ រួមជាមួយនឹងសោសាធារណៈ។ វាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃហត្ថលេខា ហើយប្រសិនបើអ្វីៗស្ថិតក្នុងលំដាប់ ចាប់ផ្តើមនីតិវិធីសម្រាប់ការចេញវិញ្ញាបនបត្រ SSL ។

ដើម្បីទទួលបានវិញ្ញាបនបត្រ អតិថិជនត្រូវតែបញ្ជាក់ទៅកាន់ម៉ាស៊ីនមេថាគាត់ជាម្ចាស់ដែន។ ដើម្បីធ្វើដូចនេះគាត់អនុវត្តសកម្មភាពជាក់លាក់ដែលមានសម្រាប់តែម្ចាស់ប៉ុណ្ណោះ។ ឧទាហរណ៍ អាជ្ញាធរវិញ្ញាបនបត្រអាចបង្កើតនិមិត្តសញ្ញាតែមួយគត់ ហើយសុំឱ្យអតិថិជនដាក់វានៅលើគេហទំព័រ។ បន្ទាប់មក CA ចេញសំណួរគេហទំព័រ ឬ DNS ដើម្បីទាញយកសោពីសញ្ញាសម្ងាត់នេះ។

ឧទាហរណ៍ ក្នុងករណី HTTP គន្លឹះពីសញ្ញាសម្ងាត់ត្រូវតែដាក់ក្នុងឯកសារដែលនឹងត្រូវបានបម្រើដោយម៉ាស៊ីនមេគេហទំព័រ។ កំឡុងពេលផ្ទៀងផ្ទាត់ DNS អាជ្ញាធរបញ្ជាក់នឹងស្វែងរកសោតែមួយគត់នៅក្នុងឯកសារអត្ថបទនៃកំណត់ត្រា DNS ។ ប្រសិនបើអ្វីៗដំណើរការល្អ នោះម៉ាស៊ីនមេបញ្ជាក់ថាម៉ាស៊ីនភ្ញៀវត្រូវបានផ្ទៀងផ្ទាត់ ហើយ CA ចេញវិញ្ញាបនបត្រ។

/flickr/ Blondinrikard Fröberg / CC BY

មតិ

តាម នេះបើយោងតាម IETF, ACME នឹងមានប្រយោជន៍សម្រាប់អ្នកគ្រប់គ្រងដែលត្រូវធ្វើការជាមួយឈ្មោះដែនច្រើន។ ស្តង់ដារនឹងជួយភ្ជាប់ពួកវានីមួយៗទៅនឹង SSLs ដែលត្រូវការ។

ក្នុងចំណោមគុណសម្បត្តិនៃស្តង់ដារអ្នកជំនាញក៏កត់សម្គាល់មួយចំនួនផងដែរ។ យន្តការសន្តិសុខ. ពួកគេត្រូវតែធានាថាវិញ្ញាបនបត្រ SSL ត្រូវបានចេញសម្រាប់តែម្ចាស់ដែនពិតប្រាកដប៉ុណ្ណោះ។ ជាពិសេស សំណុំនៃផ្នែកបន្ថែមត្រូវបានប្រើដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារ DNS DNSSECនិងដើម្បីការពារប្រឆាំងនឹង DoS ស្តង់ដារកំណត់ល្បឿននៃការប្រតិបត្តិនៃសំណើបុគ្គល - ឧទាហរណ៍ HTTP សម្រាប់វិធីសាស្ត្រ POST. អ្នកអភិវឌ្ឍន៍ ACME ខ្លួនឯង សូមផ្តល់អនុសាសន៍ ដើម្បីកែលម្អសុវត្ថិភាព សូមបន្ថែម entropy ទៅសំណួរ DNS និងប្រតិបត្តិពួកវាពីចំណុចជាច្រើននៅលើបណ្តាញ។

ដំណោះស្រាយស្រដៀងគ្នា

ពិធីការក៏ត្រូវបានប្រើដើម្បីទទួលបានវិញ្ញាបនបត្រផងដែរ។ SCEP и បច្ចេកវិទ្យា.

ទីមួយត្រូវបានបង្កើតឡើងនៅ Cisco Systems ។ គោលបំណងរបស់វាគឺដើម្បីសម្រួលនីតិវិធីសម្រាប់ការចេញវិញ្ញាបនបត្រឌីជីថល X.509 និងធ្វើឱ្យវាអាចធ្វើមាត្រដ្ឋានបានតាមដែលអាចធ្វើទៅបាន។ មុនពេល SCEP ដំណើរការនេះទាមទារឱ្យមានការចូលរួមយ៉ាងសកម្មពីអ្នកគ្រប់គ្រងប្រព័ន្ធ ហើយមិនបានធ្វើមាត្រដ្ឋានបានល្អទេ។ សព្វថ្ងៃនេះពិធីការនេះគឺជាផ្នែកមួយនៃទូទៅបំផុត។

សម្រាប់ EST វាអនុញ្ញាតឱ្យអតិថិជន PKI ទទួលបានវិញ្ញាបនបត្រលើបណ្តាញសុវត្ថិភាព។ វាប្រើ TLS សម្រាប់ការផ្ទេរសារ និងការចេញ SSL ក៏ដូចជាដើម្បីចង CSR ទៅកាន់អ្នកផ្ញើ។ លើសពីនេះទៀត EST គាំទ្រវិធីសាស្ត្រគ្រីបអេលីបទិក ដែលបង្កើតស្រទាប់សុវត្ថិភាពបន្ថែម។

តាម មតិអ្នកជំនាញដំណោះស្រាយដូចជា ACME នឹងត្រូវការរីករាលដាលបន្ថែមទៀត។ ពួកគេផ្តល់ជូននូវគំរូនៃការដំឡើង SSL ដែលងាយស្រួល និងមានសុវត្ថិភាព ហើយថែមទាំងបង្កើនល្បឿនដំណើរការផងដែរ។

ប្រកាសបន្ថែមពីប្លុកសាជីវកម្មរបស់យើង៖

• ជម្រើសរចនាសម្ព័ន្ធ IT របស់អង្គការ
• ការបម្រុងទុកឯកសារ៖ របៀបការពារខ្លួនអ្នកពីការបាត់បង់ទិន្នន័យ
• ការបណ្តុះបណ្តាលឈរសម្រាប់អ្នកគ្រប់គ្រង៖ របៀបដែលពពកអាចជួយបាន។
• ការវិវត្តន៍នៃស្ថាបត្យកម្មពពក 1cloud

ប្រភព: www.habr.com