IETF батлагдсан
/flickr/
Стандарт яагаад хэрэгтэй байсан бэ?
Тохиргоо тус бүрийн дундаж
Гэрчилгээжүүлэх байгууллага бүрийн домэйн баталгаажуулах журам өөр байж болно. Стандартчилалгүй байх нь заримдаа аюулгүй байдлын асуудалд хүргэдэг. Алдартай
IETF нь ACME протоколыг баталсан (тодорхойлолт
Стандарт нээлттэй бөгөөд хэн ч үүнийг хөгжүүлэхэд хувь нэмрээ оруулах боломжтой. IN
Яаж энэ ажлыг хийдэг
Хүсэлтийг ACME-д HTTPS-ээр JSON мессеж ашиглан солилцдог. Протоколтой ажиллахын тулд зорилтот зангилаа дээр ACME клиентийг суулгах шаардлагатай бөгөөд энэ нь таныг CA-д анх ороход өвөрмөц түлхүүрийн хослол үүсгэдэг. Дараа нь тэд үйлчлүүлэгч болон серверээс ирсэн бүх мессежүүдэд гарын үсэг зурахад ашиглагдах болно.
Эхний зурвас нь домэйн эзэмшигчийн талаарх холбоо барих мэдээллийг агуулна. Энэ нь хувийн түлхүүрээр гарын үсэг зурж, нийтийн түлхүүрийн хамт сервер рүү илгээгддэг. Энэ нь гарын үсгийн жинхэнэ эсэхийг шалгаж, хэрэв бүх зүйл эмх цэгцтэй байвал SSL гэрчилгээ олгох процедурыг эхлүүлнэ.
Сертификат авахын тулд үйлчлүүлэгч домэйн эзэмшдэг гэдгээ серверт нотлох ёстой. Үүнийг хийхийн тулд тэрээр зөвхөн эзэмшигчид боломжтой тодорхой үйлдлүүдийг гүйцэтгэдэг. Жишээлбэл, гэрчилгээжүүлэх байгууллага нь өвөрмөц жетон үүсгэж, үйлчлүүлэгчээс сайт дээр байрлуулахыг хүсч болно. Дараа нь CA нь энэ жетоноос түлхүүрийг авахын тулд вэб эсвэл DNS асуулга гаргадаг.
Жишээлбэл, HTTP-ийн хувьд токенын түлхүүрийг вэб серверээр үйлчлэх файлд байрлуулах ёстой. DNS баталгаажуулалтын явцад баталгаажуулалтын байгууллага нь DNS бичлэгийн текст баримтаас өвөрмөц түлхүүр хайх болно. Хэрэв бүх зүйл хэвийн бол сервер нь үйлчлүүлэгчийг баталгаажуулсан болохыг баталгаажуулж, CA гэрчилгээ олгоно.
/flickr/
Бичлэгүүд
Нь
Стандартын давуу талуудын дунд шинжээчид хэд хэдэн зүйлийг тэмдэглэж байна
Үүнтэй төстэй шийдлүүд
Мөн гэрчилгээ авахад протокол ашигладаг
Эхнийх нь Cisco Systems дээр бүтээгдсэн. Үүний зорилго нь X.509 тоон гэрчилгээ олгох журмыг хялбарчилж, аль болох өргөжүүлэх боломжтой болгох явдал байв. SCEP-ээс өмнө энэ үйл явц нь системийн администраторуудын идэвхтэй оролцоог шаарддаг бөгөөд сайн цар хүрээтэй байсангүй. Өнөөдөр энэ протокол нь хамгийн түгээмэл протоколуудын нэг юм.
EST-ийн хувьд энэ нь PKI үйлчлүүлэгчдэд аюулгүй сувгуудаар гэрчилгээ авах боломжийг олгодог. Энэ нь мессеж дамжуулах, SSL гаргах, мөн CSR-ийг илгээгчтэй холбоход TLS ашигладаг. Нэмж дурдахад EST нь эллипс криптографийн аргуудыг дэмждэг бөгөөд энэ нь нэмэлт хамгаалалтын давхаргыг бий болгодог.
Нь
Манай байгууллагын блогын нэмэлт нийтлэлүүд:
Байгууллагын мэдээллийн технологийн дэд бүтцийн сонголтууд Файлуудыг нөөцлөх: өгөгдлийн алдагдлаас өөрийгөө хэрхэн хамгаалах вэ Админуудад зориулсан сургалтын стенд: үүл хэрхэн туслах вэ Үүлний архитектурын хувьсал 1cloud
Эх сурвалж: www.habr.com