최근 도메인에 와일드 카드 SSL 인증서를 구입했습니다. 모든 인증서를 Java 키 저장소로 변환했지만 이제는 나중에 사용할 수 있도록 인증서를 어디에 저장해야하는지 묻습니다.
사람들은 이러한 유형의 파일에 BitBucket과 같은 소스 제어를 사용하거나 필요할 때마다 또는 다른 것을 생성합니까?
향후 사용을 위해 이러한 인증서를 저장하는 데 표준 솔루션 또는 "모범 사례"가 있는지 궁금합니다.
답변:
여러 가지 솔루션이 있습니다.
한 가지 방법은 하드웨어 기반 어플라이언스, 하드웨어 보안 모듈 또는 이와 동등한 소프트웨어 기반 의 특정 키 저장소 입니다.
또 다른 방법은 단순히 이전 키를 취소하고 상황이 발생할 때 새로운 개인 / 공개 키 쌍을 생성하는 것입니다. 이는 키 보안 유지에서 인증서 제공 업체 계정의 사용자 이름 / 암호 보안 및 재발급 절차로 문제를 다소 이동시킵니다. 대부분의 조직에는 이미 권한있는 계정 관리 솔루션이 있다는 장점이 있습니다. 예 : 1 2
암호를 포함하여 개인 및 공개 키 쌍의 하드 카피 인쇄 (복원 할 수있는 암컷 개)에서 장기간 저장 용으로 등급이 지정된 디지털 미디어에 간단히 저장하는 것까지 오프라인 저장 방법에는 여러 가지가 있습니다. .
정말 나쁜 곳은 GitHub, 팀 WiKi 또는 네트워크 공유입니다 (그리고 아이디어를 얻습니다).
2015/4/29 업데이트 : Keywhiz도 흥미로운 접근법으로 보입니다.
개인 키를 소스 제어에두면 액세스 권한이있는 모든 사용자가 서버를 가장 할 수 있습니다. 웹 서버가 PFS (Perfect Forward Secrecy)를 사용하지 않는 경우 Wireshark와 같이 일반적으로 사용 가능한 오픈 소스 도구를 사용하여 캡처 된 SSL 트래픽을 해독 할 수도 있습니다.
OpenSSL을 사용하는 암호로 DES 또는 AES를 암호화하여 키를 보호 할 수 있습니다. OpenSSL은 Linux, OSX 및 Windows에서 사용할 수 있습니다.
OpenSSL은 또한 암호 문구가 불편할 때 (예 : 자동으로 시작하지만 자동 암호 문구 입력을 지원하지 않는 웹 서버에서) 암호 문구를 제거 할 수 있습니다.
AES 암호화를 사용하여 암호 문구 추가 (DES보다 안전) :-
openssl rsa -aes256 -in private.key -out encrypted.private.key
비밀번호 문구 제거 (비밀번호 문구를 묻는 메시지가 표시됨) :-
openssl rsa -in encrypted.private.key -out decrypted.private.key
KeyWhiz에 대해 읽은 후 또 다른 옵션은 HashiCorp 's Vault였습니다. 암호 관리자뿐만 아니라 비밀 저장소도 KeyWhiz와 다소 비슷하다고 생각합니다. GO로 작성되었으며 클라이언트도 서버로 작동하며 많은 백엔드 및 인증 방법에 연결됩니다. Vault는 Enterprise 옵션도 제공하는 오픈 소스입니다.
SSL 키와 인증서는 텍스트 파일 일 뿐이므로 base64로 인코딩하여 Vault에 문자열로 저장하거나 Vault에 텍스트로 저장할 수도 있습니다. WebUI 또는 GUI, 모든 명령 줄 또는 스크립트 기반은 없으며 부팅하기에 매우 좋고 안정적인 웹 API가 있습니다.
개인 키와 인증서를 저장하려면 오프라인 HSM (예 : 하드웨어 암호화 토큰 또는 CAC)을 확인하는 것이 좋습니다. 이를 통해 개인 키가 우발적으로 손상되는 것을 방지 할뿐만 아니라 기본적인 암호화 오프로드도 제공합니다.
관리 할 암호화 자산이 더있는 경우 갱신을 자동화하고, 수명주기를 추적하고, 엔드 포인트에 대한 프로비저닝을 자동화 할 수있는 Enterprise Key & Certificate Management 소프트웨어를 살펴 보는 것이 좋습니다. 데이터베이스의 CLOB