IETF батлагдсан Автомат гэрчилгээний менежментийн орчин (ACME) нь SSL гэрчилгээг автоматжуулахад тусална. Энэ нь хэрхэн ажилладагийг танд хэлье.
/flickr/ /
Стандарт яагаад хэрэгтэй байсан бэ?
Тохиргоо тус бүрийн дундаж Домэйн хувьд администратор нэгээс гурван цаг зарцуулж болно. Хэрэв та алдаа гаргасан бол өргөдлийг хүлээн авахаас татгалзах хүртэл хүлээх хэрэгтэй бөгөөд зөвхөн дараа нь дахин илгээх боломжтой. Энэ бүхэн нь том хэмжээний системийг байрлуулахад хүндрэл учруулдаг.
Гэрчилгээжүүлэх байгууллага бүрийн домэйн баталгаажуулах журам өөр байж болно. Стандартчилалгүй байх нь заримдаа аюулгүй байдлын асуудалд хүргэдэг. Алдартай системд гарсан алдааны улмаас нэг CA нь зарласан бүх домайныг баталгаажуулсан. Ийм нөхцөлд SSL сертификатыг хуурамч эх сурвалжид олгож болно.
IETF нь ACME протоколыг баталсан (тодорхойлолт ) гэрчилгээ авах үйл явцыг автоматжуулж, стандартчилах ёстой. Хүний хүчин зүйлийг арилгах нь домэйн нэрийг баталгаажуулах найдвартай, аюулгүй байдлыг нэмэгдүүлэхэд тусална.
Стандарт нээлттэй бөгөөд хэн ч үүнийг хөгжүүлэхэд хувь нэмрээ оруулах боломжтой. IN Холбогдох зааварчилгааг нийтэллээ.
Яаж энэ ажлыг хийдэг
Хүсэлтийг ACME-д HTTPS-ээр JSON мессеж ашиглан солилцдог. Протоколтой ажиллахын тулд зорилтот зангилаа дээр ACME клиентийг суулгах шаардлагатай бөгөөд энэ нь таныг CA-д анх ороход өвөрмөц түлхүүрийн хослол үүсгэдэг. Дараа нь тэд үйлчлүүлэгч болон серверээс ирсэн бүх мессежүүдэд гарын үсэг зурахад ашиглагдах болно.
Эхний зурвас нь домэйн эзэмшигчийн талаарх холбоо барих мэдээллийг агуулна. Энэ нь хувийн түлхүүрээр гарын үсэг зурж, нийтийн түлхүүрийн хамт сервер рүү илгээгддэг. Энэ нь гарын үсгийн жинхэнэ эсэхийг шалгаж, хэрэв бүх зүйл эмх цэгцтэй байвал SSL гэрчилгээ олгох процедурыг эхлүүлнэ.
Сертификат авахын тулд үйлчлүүлэгч домэйн эзэмшдэг гэдгээ серверт нотлох ёстой. Үүнийг хийхийн тулд тэрээр зөвхөн эзэмшигчид боломжтой тодорхой үйлдлүүдийг гүйцэтгэдэг. Жишээлбэл, гэрчилгээжүүлэх байгууллага нь өвөрмөц жетон үүсгэж, үйлчлүүлэгчээс сайт дээр байрлуулахыг хүсч болно. Дараа нь CA нь энэ жетоноос түлхүүрийг авахын тулд вэб эсвэл DNS асуулга гаргадаг.
Жишээлбэл, HTTP-ийн хувьд токенын түлхүүрийг вэб серверээр үйлчлэх файлд байрлуулах ёстой. DNS баталгаажуулалтын явцад баталгаажуулалтын байгууллага нь DNS бичлэгийн текст баримтаас өвөрмөц түлхүүр хайх болно. Хэрэв бүх зүйл хэвийн бол сервер нь үйлчлүүлэгчийг баталгаажуулсан болохыг баталгаажуулж, CA гэрчилгээ олгоно.
/flickr/ /
Бичлэгүүд
Нь IETF, ACME нь олон домэйн нэртэй ажиллах шаардлагатай админуудад хэрэг болно. Стандарт нь тус бүрийг шаардлагатай SSL-тэй холбоход тусална.
Стандартын давуу талуудын дунд шинжээчид хэд хэдэн зүйлийг тэмдэглэж байна . Тэд SSL гэрчилгээг зөвхөн жинхэнэ домэйн эзэмшигчдэд олгох ёстой. Ялангуяа DNS халдлагаас хамгаалахын тулд олон тооны өргөтгөлүүдийг ашигладаг , мөн DoS-ээс хамгаалахын тулд стандарт нь бие даасан хүсэлтийн гүйцэтгэлийн хурдыг хязгаарладаг - жишээлбэл, аргын HTTP . ACME хөгжүүлэгчид өөрсдөө Аюулгүй байдлыг сайжруулахын тулд DNS асуулгад энтропи нэмж сүлжээний олон цэгээс ажиллуулна уу.
Үүнтэй төстэй шийдлүүд
Мөн гэрчилгээ авахад протокол ашигладаг и .
Эхнийх нь Cisco Systems дээр бүтээгдсэн. Үүний зорилго нь X.509 тоон гэрчилгээ олгох журмыг хялбарчилж, аль болох өргөжүүлэх боломжтой болгох явдал байв. SCEP-ээс өмнө энэ үйл явц нь системийн администраторуудын идэвхтэй оролцоог шаарддаг бөгөөд сайн цар хүрээтэй байсангүй. Өнөөдөр энэ протокол нь хамгийн түгээмэл протоколуудын нэг юм.
EST-ийн хувьд энэ нь PKI үйлчлүүлэгчдэд аюулгүй сувгуудаар гэрчилгээ авах боломжийг олгодог. Энэ нь мессеж дамжуулах, SSL гаргах, мөн CSR-ийг илгээгчтэй холбоход TLS ашигладаг. Нэмж дурдахад EST нь эллипс криптографийн аргуудыг дэмждэг бөгөөд энэ нь нэмэлт хамгаалалтын давхаргыг бий болгодог.
Нь , ACME гэх мэт шийдлүүд илүү өргөн тархах шаардлагатай болно. Тэд хялбаршуулсан, аюулгүй SSL тохиргооны загварыг санал болгож, үйл явцыг хурдасгадаг.
Манай байгууллагын блогын нэмэлт нийтлэлүүд:
Эх сурвалж: www.habr.com