IETF မှ အတည်ပြုထားသော ACME - ဤသည်မှာ SSL လက်မှတ်များနှင့် လုပ်ဆောင်ရန်အတွက် စံတစ်ခုဖြစ်သည်။

IETF မှ အတည်ပြုခဲ့သည်။ စံ SSL လက်မှတ်များ လက်ခံရရှိမှုကို အလိုအလျောက်လုပ်ဆောင်ပေးမည့် အလိုအလျောက် လက်မှတ်စီမံခန့်ခွဲမှုပတ်ဝန်းကျင် (ACME)။ ဘယ်လိုအလုပ်လုပ်တယ်ဆိုတာ ပြောပြရအောင်။

/flickr/ Cliff Johnson / BY-SA CC ကို

စံနှုန်း ဘာကြောင့် လိုအပ်တာလဲ။

သတ်မှတ်နှုန်းအလိုက် ပျမ်းမျှ SSL လက်မှတ် ဒိုမိန်းတစ်ခုအတွက်၊ စီမံခန့်ခွဲသူက တစ်နာရီမှ သုံးနာရီအထိ သုံးစွဲနိုင်သည်။ အမှားလုပ်မိပါက လျှောက်လွှာကို ပယ်ချပြီးမှသာ ထပ်မံတင်ပြနိုင်မည်ဖြစ်သည်။ ဤအရာအားလုံးသည် အကြီးစားစနစ်များကို အသုံးပြုရန် ခက်ခဲစေသည်။

လက်မှတ်ရေးဌာနတစ်ခုစီအတွက် ဒိုမိန်းအတည်ပြုခြင်းလုပ်ငန်းစဉ်သည် ကွဲပြားနိုင်သည်။ စံသတ်မှတ်ချက်မရှိခြင်းသည် တစ်ခါတစ်ရံတွင် လုံခြုံရေးပြဿနာများကို ဖြစ်စေသည်။ ကျော်ကြားသည်။ ဖြစ်ပျက်စနစ်အတွင်းရှိ ချို့ယွင်းချက်တစ်ခုကြောင့် CA တစ်ခုသည် ကြေငြာထားသော ဒိုမိန်းအားလုံးကို စစ်ဆေးပြီးသောအခါ။ ထိုသို့သောအခြေအနေများတွင်၊ SSL လက်မှတ်များကို လိမ်လည်သောအရင်းအမြစ်များသို့ ထုတ်ပေးနိုင်သည်။

IETF သည် ACME ပရိုတိုကောကို အတည်ပြုခဲ့သည် (သတ်မှတ်ချက် RFC8555) လက်မှတ်ရရှိရေးလုပ်ငန်းစဉ်ကို အလိုအလျောက်လုပ်ဆောင်ပြီး စံသတ်မှတ်သင့်သည်။ လူသားအချက်ကို ဖယ်ရှားခြင်းဖြင့် ဒိုမိန်းအမည်အတည်ပြုခြင်း၏ ယုံကြည်စိတ်ချရမှုနှင့် လုံခြုံရေးကို တိုးမြှင့်ပေးမည်ဖြစ်သည်။

စံနှုန်းသည် ပွင့်လင်းပြီး မည်သူမဆို ၎င်း၏ ဖွံ့ဖြိုးတိုးတက်မှုကို အထောက်အကူ ပြုနိုင်သည်။ IN GitHub ရှိ သိုလှောင်မှုများ သက်ဆိုင်ရာ ညွှန်ကြားချက်များကို ထုတ်ပြန်ထားပြီးဖြစ်သည်။

ဘယ်လိုဤလုပ်ငန်းကိုတတ်

တောင်းဆိုချက်များကို JSON မက်ဆေ့ချ်များကို အသုံးပြု၍ HTTPS မှတဆင့် ACME တွင် ဖလှယ်ပါသည်။ ပရိုတိုကောနှင့်အလုပ်လုပ်ရန်၊ သင်သည် ACME ကိုအသုံးပြုသည့်နေရာ၌ ACME client ကိုထည့်သွင်းရန်လိုအပ်သည်၊ ၎င်းသည် သင် CA ကိုပထမဆုံးဝင်ရောက်သည့်အခါတွင် ထူးခြားသောသော့အတွဲတစ်ခုကိုထုတ်ပေးသည်။ နောက်ပိုင်းတွင်၊ ၎င်းတို့ကို client နှင့် server မှ မက်ဆေ့ဂျ်များအားလုံးကို လက်မှတ်ထိုးရန် အသုံးပြုမည်ဖြစ်သည်။

ပထမဆုံး မက်ဆေ့ဂျ်တွင် ဒိုမိန်းပိုင်ရှင်နှင့် ပတ်သက်သော ဆက်သွယ်ရန် အချက်အလက် ပါဝင်သည်။ ၎င်းကို သီးသန့်သော့ဖြင့် လက်မှတ်ရေးထိုးပြီး အများသူငှာသော့နှင့်အတူ ဆာဗာသို့ ပေးပို့သည်။ ၎င်းသည် လက်မှတ်၏ စစ်မှန်ကြောင်းကို စစ်ဆေးပြီး အရာအားလုံး အဆင်ပြေပါက SSL လက်မှတ်ထုတ်ပေးခြင်းဆိုင်ရာ လုပ်ငန်းစဉ်ကို စတင်သည်။

လက်မှတ်ရရှိရန်၊ သုံးစွဲသူသည် ၎င်းဒိုမိန်းကို ပိုင်ဆိုင်ကြောင်း ဆာဗာအား သက်သေပြရပါမည်။ ဒါကိုလုပ်ဖို့၊ ပိုင်ရှင်ကသာ ရနိုင်တဲ့ လုပ်ဆောင်ချက်အချို့ကို လုပ်ဆောင်ပါတယ်။ ဥပမာအားဖြင့်၊ လက်မှတ်အာဏာပိုင်တစ်ဦးသည် ထူးခြားသော တိုကင်တစ်ခုကို ထုတ်ပေးနိုင်ပြီး ၎င်းကို ဝဘ်ဆိုက်ပေါ်တွင် တင်ရန် သုံးစွဲသူအား တောင်းဆိုနိုင်သည်။ ထို့နောက်၊ CA သည် ဤတိုကင်မှသော့ကိုရယူရန် ဝဘ် သို့မဟုတ် DNS စုံစမ်းမှုတစ်ခုထုတ်ပေးသည်။

ဥပမာအားဖြင့်၊ HTTP ကိစ္စတွင်၊ တိုကင်မှသော့ကို ဝဘ်ဆာဗာမှ လုပ်ဆောင်ပေးမည့် ဖိုင်တစ်ခုတွင် ထားရှိရပါမည်။ DNS အတည်ပြုခြင်းအတောအတွင်း၊ အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်သည် DNS မှတ်တမ်း၏ စာသားမှတ်တမ်းတွင် ထူးခြားသောသော့တစ်ခုကို ရှာဖွေမည်ဖြစ်သည်။ အားလုံးအဆင်ပြေပါက၊ server မှ client ကိုစစ်ဆေးပြီးဖြစ်ကြောင်းအတည်ပြုပြီး CA မှ လက်မှတ်ထုတ်ပေးပါသည်။

/flickr/ Blondinrikard Fröberg / BY CC ကို

ထင်မြင်ချက်များ

အပေါ် အရ IETF၊ ACME သည် domain name အများအပြားဖြင့် အလုပ်လုပ်ရသော စီမံခန့်ခွဲသူများအတွက် အသုံးဝင်ပါလိမ့်မည်။ စံနှုန်းသည် ၎င်းတို့တစ်ဦးစီအား လိုအပ်သော SSL များနှင့် ချိတ်ဆက်ရာတွင် ကူညီပေးပါမည်။

စံနှုန်း၏ အားသာချက်များထဲတွင် ပညာရှင်များလည်း များစွာ မှတ်သားထားကြသည်။ လုံခြုံရေးယန္တရားများ. SSL လက်မှတ်များကို စစ်မှန်သော ဒိုမိန်းပိုင်ရှင်များထံသာ ထုတ်ပေးကြောင်း သေချာစေရမည်။ အထူးသဖြင့်၊ DNS တိုက်ခိုက်မှုများကို ကာကွယ်ရန်အတွက် တိုးချဲ့မှုအစုံကို အသုံးပြုပါသည်။ DNSSECနှင့် DoS ကိုကာကွယ်ရန်၊ စံနှုန်းသည် တစ်ဦးချင်းတောင်းဆိုမှုများ၏ အကောင်အထည်ဖော်မှုအမြန်နှုန်းကို ကန့်သတ်သည် - ဥပမာ၊ နည်းလမ်းအတွက် HTTP POST. ACME developer များကိုယ်တိုင် recommend ပေးပါတယ် လုံခြုံရေးကို မြှင့်တင်ရန်၊ DNS မေးမြန်းမှုများတွင် အင်ထရိုပီကို ပေါင်းထည့်ကာ ကွန်ရက်ပေါ်ရှိ အမှတ်များစွာမှ ၎င်းတို့ကို လုပ်ဆောင်ပါ။

အလားတူဖြေရှင်းချက်များ

လက်မှတ်များရရှိရန် ပရိုတိုကောများကိုလည်း အသုံးပြုပါသည်။ SCEP и အီးအက်စ်တီ.

ပထမဆုံး Cisco Systems တွင် တီထွင်ခဲ့သည်။ ၎င်း၏ ရည်ရွယ်ချက်မှာ X.509 ဒစ်ဂျစ်တယ် လက်မှတ်များ ထုတ်ပေးခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းကို ရိုးရှင်းစေပြီး တတ်နိုင်သမျှ အရွယ်အစား ချဲ့ထွင်ရန် ဖြစ်သည်။ SCEP မတိုင်မီ၊ ဤလုပ်ငန်းစဉ်သည် စနစ်စီမံခန့်ခွဲသူများ၏ တက်ကြွစွာပါဝင်မှု လိုအပ်ပြီး ကောင်းမွန်စွာ အတိုင်းအတာမရှိပေ။ ယနေ့ခေတ်တွင် ဤပရိုတိုကောသည် အသုံးအများဆုံးတစ်ခုဖြစ်သည်။

EST အတွက်၊ ၎င်းသည် PKI ဖောက်သည်များအား လုံခြုံသောချန်နယ်များမှ လက်မှတ်များရယူရန် ခွင့်ပြုသည်။ ၎င်းသည် မက်ဆေ့ချ်လွှဲပြောင်းခြင်းနှင့် SSL ထုတ်ပေးခြင်းအတွက် TLS ကို အသုံးပြုသည့်အပြင် CSR ကို ပေးပို့သူနှင့် ချိတ်ဆက်ရန်လည်း အသုံးပြုသည်။ ထို့အပြင်၊ EST သည် လုံခြုံရေးအလွှာတစ်ခုကို ဖန်တီးပေးသည့် elliptic cryptography နည်းလမ်းများကို ပံ့ပိုးပေးသည်။

အပေါ် ကျွမ်းကျင်သူအမြင်ACME ကဲ့သို့သော ဖြေရှင်းနည်းများသည် ပိုမိုကျယ်ပြန့်လာရန် လိုအပ်ပါသည်။ ၎င်းတို့သည် ရိုးရှင်းပြီး လုံခြုံသော SSL စနစ်ထည့်သွင်းမှုပုံစံကို ပေးဆောင်ပြီး လုပ်ငန်းစဉ်ကို အရှိန်မြှင့်ပေးသည်။

ကျွန်ုပ်တို့၏ကော်ပိုရိတ်ဘလော့ဂ်မှ နောက်ထပ်ပို့စ်များ-

• အဖွဲ့အစည်း IT အခြေခံအဆောက်အဦ ရွေးချယ်မှုများ
• ဖိုင်များကို အရန်ကူးခြင်း- ဒေတာ ဆုံးရှုံးမှုမှ သင့်ကိုယ်သင် ကာကွယ်နည်း
• လေ့ကျင့်ရေးသည် စီမံခန့်ခွဲသူများအတွက် ရပ်တည်သည်- cloud က မည်သို့ကူညီနိုင်မည်နည်း။
• cloud ဗိသုကာ 1cloud ၏ဆင့်ကဲဖြစ်စဉ်

source: www.habr.com