IETF අනුමත කර ඇත ස්වයංක්රීය සහතික කළමනාකරණ පරිසරය (ACME), එය SSL සහතික ලැබීම ස්වයංක්රීය කිරීමට උපකාරී වේ. එය ක්රියාත්මක වන ආකාරය අපි ඔබට කියමු.
/flickr/ /
ප්රමිතිය අවශ්ය වූයේ ඇයි?
සැකසුමකට සාමාන්යය වසමක් සඳහා, පරිපාලකයාට පැය එක සිට තුන දක්වා ගත කළ හැකිය. ඔබ වැරැද්දක් කළහොත්, අයදුම්පත ප්රතික්ෂේප කරන තෙක් ඔබට බලා සිටීමට සිදුවනු ඇත, පසුව පමණක් එය නැවත ඉදිරිපත් කළ හැකිය. මේ සියල්ල මහා පරිමාණ පද්ධති යෙදවීමට අපහසු වේ.
එක් එක් සහතික කිරීමේ අධිකාරිය සඳහා වසම් වලංගු කිරීමේ ක්රියා පටිපාටිය වෙනස් විය හැක. ප්රමිතිකරණය නොමැතිකම සමහර විට ආරක්ෂක ගැටළු වලට තුඩු දෙයි. ප්රසිද්ධයි පද්ධතියේ දෝෂයක් හේතුවෙන්, එක් CA විසින් සියලුම ප්රකාශිත වසම් සත්යාපනය කළ විට. එවැනි අවස්ථාවන්හිදී, වංචනික සම්පත් සඳහා SSL සහතික නිකුත් කළ හැකිය.
IETF අනුමත ACME ප්රොටෝකෝලය (පිරිවිතර ) සහතිකයක් ලබා ගැනීමේ ක්රියාවලිය ස්වයංක්රීය කර ප්රමිතිගත කළ යුතුය. මානව සාධකය ඉවත් කිරීම වසම් නාම සත්යාපනයේ විශ්වසනීයත්වය සහ ආරක්ෂාව වැඩි කිරීමට උපකාරී වේ.
ප්රමිතිය විවෘත වන අතර ඕනෑම කෙනෙකුට එහි සංවර්ධනයට දායක විය හැකිය. තුල අදාළ උපදෙස් ප්රකාශයට පත් කර ඇත.
කොහොමද මේ වැඩ කරන්නේ
JSON පණිවිඩ භාවිතයෙන් HTTPS හරහා ACME හි ඉල්ලීම් හුවමාරු වේ. ප්රොටෝකෝලය සමඟ වැඩ කිරීමට, ඔබ ඉලක්ක නෝඩය මත ACME සේවාලාභියා ස්ථාපනය කිරීමට අවශ්ය වේ; එය ඔබ CA වෙත ප්රථම වරට ප්රවේශ වූ විට අද්විතීය යතුරු යුගලයක් ජනනය කරයි. පසුව, සේවාදායකයා සහ සේවාදායකයෙන් සියලුම පණිවිඩ අත්සන් කිරීමට ඒවා භාවිතා කරනු ඇත.
පළමු පණිවිඩයේ වසම් හිමිකරු පිළිබඳ සම්බන්ධතා තොරතුරු අඩංගු වේ. එය පුද්ගලික යතුර සමඟ අත්සන් කර පොදු යතුර සමඟ සේවාදායකයට යවනු ලැබේ. එය අත්සනෙහි සත්යතාව තහවුරු කරන අතර, සියල්ල පිළිවෙලට තිබේ නම්, SSL සහතිකයක් නිකුත් කිරීමේ ක්රියා පටිපාටිය ආරම්භ කරයි.
සහතිකයක් ලබා ගැනීම සඳහා, සේවාදායකයා තමාට වසම අයිති බව සේවාදායකයට ඔප්පු කළ යුතුය. මෙය සිදු කිරීම සඳහා, ඔහු අයිතිකරුට පමණක් ලබා ගත හැකි ඇතැම් ක්රියා සිදු කරයි. උදාහරණයක් ලෙස, සහතික අධිකාරියකට අද්විතීය ටෝකනයක් ජනනය කළ හැකි අතර එය වෙබ් අඩවියේ තැබීමට සේවාදායකයාගෙන් ඉල්ලා සිටින්න. ඊළඟට, මෙම ටෝකනය වෙතින් යතුර ලබා ගැනීමට CA විසින් වෙබ් හෝ DNS විමසුමක් නිකුත් කරයි.
උදාහරණයක් ලෙස, HTTP වලදී, ටෝකනයේ යතුර වෙබ් සේවාදායකය විසින් සපයනු ලබන ගොනුවක තැබිය යුතුය. DNS සත්යාපනය අතරතුර, සහතික කිරීමේ අධිකාරිය DNS වාර්තාවේ පෙළ ලේඛනයේ අද්විතීය යතුරක් සොයනු ඇත. සෑම දෙයක්ම හොඳින් තිබේ නම්, සේවාදායකයා වලංගු කර ඇති බව සේවාදායකය තහවුරු කරන අතර CA සහතිකයක් නිකුත් කරයි.
/flickr/ /
තැපැල්
විසින් IETF, ACME බහුවිධ ඩොමේන් නම් සමඟ වැඩ කිරීමට ඇති පරිපාලකයින් සඳහා ප්රයෝජනවත් වනු ඇත. ප්රමිතිය ඒ සෑම එකක්ම අවශ්ය SSL වෙත සම්බන්ධ කිරීමට උපකාරී වේ.
සම්මතයේ ඇති වාසි අතර, විශේෂඥයන් ද කිහිපයක් සටහන් කරයි . ඔවුන් විසින් SSL සහතික නිකුත් කරනු ලබන්නේ සැබෑ වසම් හිමිකරුවන්ට පමණක් බව සහතික කළ යුතුය. විශේෂයෙන්ම, DNS ප්රහාරයන්ගෙන් ආරක්ෂා වීමට දිගු කට්ටලයක් භාවිතා කරයි , සහ DoS වලින් ආරක්ෂා වීමට, සම්මතය තනි ඉල්ලීම් ක්රියාත්මක කිරීමේ වේගය සීමා කරයි - උදාහරණයක් ලෙස, ක්රමය සඳහා HTTP . ACME සංවර්ධකයින්ම ආරක්ෂාව වැඩි දියුණු කිරීම සඳහා, DNS විමසුම්වලට එන්ට්රොපි එකතු කර ජාලයේ ස්ථාන කිහිපයකින් ඒවා ක්රියාත්මක කරන්න.
සමාන විසඳුම්
සහතික ලබා ගැනීම සඳහා ද ප්රොටෝකෝල භාවිතා වේ и .
පළමුවැන්න සිස්කෝ සිස්ටම්ස් හි සංවර්ධනය කරන ලදී. එහි ඉලක්කය වූයේ X.509 ඩිජිටල් සහතික නිකුත් කිරීමේ ක්රියා පටිපාටිය සරල කිරීම සහ එය හැකි තරම් පරිමාණය කිරීමයි. SCEP ට පෙර, මෙම ක්රියාවලියට පද්ධති පරිපාලකයින්ගේ සක්රීය සහභාගීත්වය අවශ්ය වන අතර එය හොඳින් පරිමාණය නොවීය. අද මෙම ප්රොටෝකෝලය වඩාත් පොදු එකකි.
EST සම්බන්ධයෙන් ගත් කල, එය PKI සේවාදායකයින්ට ආරක්ෂිත නාලිකා හරහා සහතික ලබා ගැනීමට ඉඩ සලසයි. එය පණිවිඩ හුවමාරු කිරීම සහ SSL නිකුත් කිරීම සඳහා TLS භාවිතා කරයි, මෙන්ම යවන්නාට CSR බැඳීමට. මීට අමතරව, EST අතිරේක ආරක්ෂිත ස්ථරයක් නිර්මාණය කරන ඉලිප්ටික් ගුප්තකේතන ක්රම සඳහා සහය දක්වයි.
විසින් , ACME වැනි විසඳුම් වඩාත් පුළුල් විය යුතුය. ඔවුන් සරල කළ සහ ආරක්ෂිත SSL සැකසුම් ආකෘතියක් ලබා දෙන අතර ක්රියාවලිය වේගවත් කරයි.
අපගේ ආයතනික බ්ලොගයෙන් අමතර පළ කිරීම්:
මූලාශ්රය: www.habr.com