IETF ಅನುಮೋದಿಸಿದೆ ಸ್ವಯಂಚಾಲಿತ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣೆ ಪರಿಸರ (ACME), ಇದು SSL ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವೀಕೃತಿಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಅದು ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಎಂದು ಹೇಳೋಣ.
/ಫ್ಲಿಕ್ಕರ್/ /
ಮಾನದಂಡ ಏಕೆ ಬೇಕಿತ್ತು?
ಪ್ರತಿ ಸೆಟ್ಟಿಂಗ್ಗೆ ಸರಾಸರಿ ಡೊಮೇನ್ಗಾಗಿ, ನಿರ್ವಾಹಕರು ಒಂದರಿಂದ ಮೂರು ಗಂಟೆಗಳವರೆಗೆ ಕಳೆಯಬಹುದು. ನೀವು ತಪ್ಪು ಮಾಡಿದರೆ, ಅರ್ಜಿಯನ್ನು ತಿರಸ್ಕರಿಸುವವರೆಗೆ ನೀವು ಕಾಯಬೇಕಾಗುತ್ತದೆ, ನಂತರ ಮಾತ್ರ ಅದನ್ನು ಮತ್ತೆ ಸಲ್ಲಿಸಬಹುದು. ಇದೆಲ್ಲವೂ ದೊಡ್ಡ ಪ್ರಮಾಣದ ವ್ಯವಸ್ಥೆಗಳನ್ನು ನಿಯೋಜಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ.
ಪ್ರತಿ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದ ಡೊಮೇನ್ ಮೌಲ್ಯೀಕರಣ ಪ್ರಕ್ರಿಯೆಯು ಭಿನ್ನವಾಗಿರಬಹುದು. ಪ್ರಮಾಣೀಕರಣದ ಕೊರತೆಯು ಕೆಲವೊಮ್ಮೆ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಖ್ಯಾತ ಸಿಸ್ಟಂನಲ್ಲಿನ ದೋಷದಿಂದಾಗಿ, ಒಂದು CA ಎಲ್ಲಾ ಡಿಕ್ಲೇರ್ಡ್ ಡೊಮೇನ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಿದಾಗ. ಅಂತಹ ಸಂದರ್ಭಗಳಲ್ಲಿ, SSL ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮೋಸದ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ನೀಡಬಹುದು.
IETF ಅನುಮೋದಿಸಿದ ACME ಪ್ರೋಟೋಕಾಲ್ (ವಿಶೇಷತೆ ) ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪಡೆಯುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಬೇಕು ಮತ್ತು ಪ್ರಮಾಣೀಕರಿಸಬೇಕು. ಮತ್ತು ಮಾನವ ಅಂಶವನ್ನು ತೆಗೆದುಹಾಕುವುದು ಡೊಮೇನ್ ಹೆಸರು ಪರಿಶೀಲನೆಯ ವಿಶ್ವಾಸಾರ್ಹತೆ ಮತ್ತು ಭದ್ರತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ಮಾನದಂಡವು ಮುಕ್ತವಾಗಿದೆ ಮತ್ತು ಅದರ ಅಭಿವೃದ್ಧಿಗೆ ಯಾರಾದರೂ ಕೊಡುಗೆ ನೀಡಬಹುದು. IN ಸಂಬಂಧಿತ ಸೂಚನೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ.
ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ
JSON ಸಂದೇಶಗಳನ್ನು ಬಳಸಿಕೊಂಡು HTTPS ಮೂಲಕ ACME ನಲ್ಲಿ ವಿನಂತಿಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ. ಪ್ರೋಟೋಕಾಲ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು, ನೀವು ಟಾರ್ಗೆಟ್ ನೋಡ್ನಲ್ಲಿ ACME ಕ್ಲೈಂಟ್ ಅನ್ನು ಇನ್ಸ್ಟಾಲ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ; ನೀವು CA ಅನ್ನು ಮೊದಲ ಬಾರಿಗೆ ಪ್ರವೇಶಿಸಿದಾಗ ಇದು ವಿಶಿಷ್ಟವಾದ ಕೀ ಜೋಡಿಯನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ತರುವಾಯ, ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ನಿಂದ ಎಲ್ಲಾ ಸಂದೇಶಗಳಿಗೆ ಸಹಿ ಮಾಡಲು ಅವುಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.
ಮೊದಲ ಸಂದೇಶವು ಡೊಮೇನ್ ಮಾಲೀಕರ ಸಂಪರ್ಕ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ. ಇದನ್ನು ಖಾಸಗಿ ಕೀಲಿಯೊಂದಿಗೆ ಸಹಿ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಸಾರ್ವಜನಿಕ ಕೀಲಿಯೊಂದಿಗೆ ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ಇದು ಸಹಿಯ ದೃಢೀಕರಣವನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ಎಲ್ಲವೂ ಕ್ರಮದಲ್ಲಿದ್ದರೆ, SSL ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುವ ವಿಧಾನವನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪಡೆಯಲು, ಕ್ಲೈಂಟ್ ಅವರು ಡೊಮೇನ್ ಅನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಸರ್ವರ್ಗೆ ಸಾಬೀತುಪಡಿಸಬೇಕು. ಇದನ್ನು ಮಾಡಲು, ಅವನು ಮಾಲೀಕರಿಗೆ ಮಾತ್ರ ಲಭ್ಯವಿರುವ ಕೆಲವು ಕ್ರಿಯೆಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತಾನೆ. ಉದಾಹರಣೆಗೆ, ಪ್ರಮಾಣಪತ್ರ ಪ್ರಾಧಿಕಾರವು ಅನನ್ಯ ಟೋಕನ್ ಅನ್ನು ರಚಿಸಬಹುದು ಮತ್ತು ಅದನ್ನು ಸೈಟ್ನಲ್ಲಿ ಇರಿಸಲು ಕ್ಲೈಂಟ್ ಅನ್ನು ಕೇಳಬಹುದು. ಮುಂದೆ, ಈ ಟೋಕನ್ನಿಂದ ಕೀಲಿಯನ್ನು ಹಿಂಪಡೆಯಲು CA ವೆಬ್ ಅಥವಾ DNS ಪ್ರಶ್ನೆಯನ್ನು ನೀಡುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, HTTP ಯ ಸಂದರ್ಭದಲ್ಲಿ, ಟೋಕನ್ನಿಂದ ಕೀ ಅನ್ನು ವೆಬ್ ಸರ್ವರ್ನಿಂದ ಒದಗಿಸಲಾಗುವ ಫೈಲ್ನಲ್ಲಿ ಇರಿಸಬೇಕು. DNS ಪರಿಶೀಲನೆಯ ಸಮಯದಲ್ಲಿ, ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರವು DNS ದಾಖಲೆಯ ಪಠ್ಯ ದಾಖಲೆಯಲ್ಲಿ ಅನನ್ಯ ಕೀಲಿಯನ್ನು ಹುಡುಕುತ್ತದೆ. ಎಲ್ಲವೂ ಸರಿಯಾಗಿದ್ದರೆ, ಕ್ಲೈಂಟ್ ಅನ್ನು ಮೌಲ್ಯೀಕರಿಸಲಾಗಿದೆ ಎಂದು ಸರ್ವರ್ ಖಚಿತಪಡಿಸುತ್ತದೆ ಮತ್ತು CA ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುತ್ತದೆ.
/ಫ್ಲಿಕ್ಕರ್/ /
ಪೋಸ್ಟ್ಗಳು
ಬೈ IETF, ACME ಬಹು ಡೊಮೇನ್ ಹೆಸರುಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಬೇಕಾದ ನಿರ್ವಾಹಕರಿಗೆ ಉಪಯುಕ್ತವಾಗಿರುತ್ತದೆ. ಪ್ರತಿಯೊಂದನ್ನು ಅಗತ್ಯವಿರುವ SSL ಗಳಿಗೆ ಲಿಂಕ್ ಮಾಡಲು ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ಮಾನದಂಡದ ಅನುಕೂಲಗಳ ಪೈಕಿ, ತಜ್ಞರು ಹಲವಾರು ಗಮನಿಸುತ್ತಾರೆ . SSL ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನಿಜವಾದ ಡೊಮೇನ್ ಮಾಲೀಕರಿಗೆ ಮಾತ್ರ ನೀಡಲಾಗುತ್ತದೆ ಎಂದು ಅವರು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬೇಕು. ನಿರ್ದಿಷ್ಟವಾಗಿ, ಡಿಎನ್ಎಸ್ ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ವಿಸ್ತರಣೆಗಳ ಗುಂಪನ್ನು ಬಳಸಲಾಗುತ್ತದೆ , ಮತ್ತು DoS ವಿರುದ್ಧ ರಕ್ಷಿಸಲು, ಮಾನದಂಡವು ವೈಯಕ್ತಿಕ ವಿನಂತಿಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವ ವೇಗವನ್ನು ಮಿತಿಗೊಳಿಸುತ್ತದೆ - ಉದಾಹರಣೆಗೆ, ವಿಧಾನಕ್ಕಾಗಿ HTTP . ACME ಡೆವಲಪರ್ಗಳು ಸ್ವತಃ ಭದ್ರತೆಯನ್ನು ಸುಧಾರಿಸಲು, DNS ಪ್ರಶ್ನೆಗಳಿಗೆ ಎಂಟ್ರೊಪಿ ಸೇರಿಸಿ ಮತ್ತು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಬಹು ಬಿಂದುಗಳಿಂದ ಅವುಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿ.
ಇದೇ ರೀತಿಯ ಪರಿಹಾರಗಳು
ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪಡೆಯಲು ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಸಹ ಬಳಸಲಾಗುತ್ತದೆ и .
ಮೊದಲನೆಯದನ್ನು ಸಿಸ್ಕೋ ಸಿಸ್ಟಮ್ಸ್ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಯಿತು. X.509 ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವ ವಿಧಾನವನ್ನು ಸರಳಗೊಳಿಸುವುದು ಮತ್ತು ಅದನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಸ್ಕೇಲೆಬಲ್ ಮಾಡುವುದು ಇದರ ಗುರಿಯಾಗಿದೆ. SCEP ಗಿಂತ ಮೊದಲು, ಈ ಪ್ರಕ್ರಿಯೆಯು ಸಿಸ್ಟಂ ನಿರ್ವಾಹಕರ ಸಕ್ರಿಯ ಭಾಗವಹಿಸುವಿಕೆಯ ಅಗತ್ಯವಿತ್ತು ಮತ್ತು ಅದು ಉತ್ತಮವಾಗಿ ಅಳೆಯಲಿಲ್ಲ. ಇಂದು ಈ ಪ್ರೋಟೋಕಾಲ್ ಅತ್ಯಂತ ಸಾಮಾನ್ಯವಾಗಿದೆ.
EST ಗಾಗಿ, ಇದು PKI ಕ್ಲೈಂಟ್ಗಳಿಗೆ ಸುರಕ್ಷಿತ ಚಾನಲ್ಗಳ ಮೂಲಕ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಇದು ಸಂದೇಶ ವರ್ಗಾವಣೆ ಮತ್ತು SSL ನೀಡಿಕೆಗಾಗಿ TLS ಅನ್ನು ಬಳಸುತ್ತದೆ, ಹಾಗೆಯೇ ಕಳುಹಿಸುವವರಿಗೆ CSR ಅನ್ನು ಬಂಧಿಸುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, EST ದೀರ್ಘವೃತ್ತದ ಕ್ರಿಪ್ಟೋಗ್ರಫಿ ವಿಧಾನಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಇದು ಭದ್ರತೆಯ ಹೆಚ್ಚುವರಿ ಪದರವನ್ನು ರಚಿಸುತ್ತದೆ.
ಬೈ , ACME ನಂತಹ ಪರಿಹಾರಗಳು ಹೆಚ್ಚು ವ್ಯಾಪಕವಾಗಬೇಕಾಗಿದೆ. ಅವರು ಸರಳೀಕೃತ ಮತ್ತು ಸುರಕ್ಷಿತ SSL ಸೆಟಪ್ ಮಾದರಿಯನ್ನು ನೀಡುತ್ತಾರೆ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯನ್ನು ವೇಗಗೊಳಿಸುತ್ತಾರೆ.
ನಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ಬ್ಲಾಗ್ನಿಂದ ಹೆಚ್ಚುವರಿ ಪೋಸ್ಟ್ಗಳು:
ಮೂಲ: www.habr.com