Kezdőlap > PKI > Tanúsítvány – új vagy megújítás

Tanúsítvány – új vagy megújítás


Mivel sajnos a projektek csak nyúlnak, mint a rétes, úgy döntöttem, megpróbálok Richard kérdéseire válaszolni.

Mielőtt még a kérdésekre térnék, egy kis kitérő: eddig jellemzően nyilvános kulcsú, vagyis PKI tanúsítványokról írogattam, de léteznek engedélyező tanúsítványok is (autentikáció=hitelesítés, autorizáció=engedélyezés). Míg az előbbit egy CA (Certificate Authority) állítja ki, s a bemutatót azonosítja, addig az utóbbit egy AA (Attribute Authority) állítja ki, s mint a neve is mutatja, engedélyez valamit. Találóan úgy szokták jellemezni, hogy a PKC egy útlevélhez hasonlít, míg az AC egy vízumhoz, amivel még az elvégezhető tevékenységet is korlátozzák. Ezt a hasonlat talán „konyhanyelven” is érthetőbbé teszi a dolgokat. Ugyanakkor azt is érdemes figyelembe venni, hogy ha nem belső, tartományi CA-ról van szó, hanem „igazi”, külső CA által kiállítottról, akkor a korrekt eljárás az, hogy mindenféle hivatalos adatokkal/papírokkal/aláírásokkal igazoljuk, hogy valóban jogosultak vagyunk rá – hiszen innentől kezdve, mint „útlevél”, ő fog bennünket képviselni.

Egy meglévő tanúsítvány meghosszabbítása a lejárat ideje előtt nem feltétlenül követelmény, de mindenképp egy javaslat – a technikai megvalósítása pedig cégtől (durván szólva CA-tól) függ. Üzleti szempontból sem jó pont, ha bármilyen szolgáltatás megszakad/figyelmeztetésre fut egy lejárt tanúsítvány miatt (pl. nemrég az OTP-Bank számlakezelésénél…).

Egyes tanúsító hatóságok esetén a lejárat után is van egy kis idő, amelyen belül a CA kiállítja a digitális tanúsítványt anélkül, hogy a tulajdonos megismételje az egész hitelesítési eljárást, de ezt követően a megújítás megkívánja a teljes ellenőrzést (például, GoDaddy általános szabálya az, hogy a tanúsítványa lejárta után van még egy 30 napos türelmi ablak, de pl. a GlobalSign is csak a lejárat előtti megújítást fogadja el). Ugyanakkor, ha egy Microsoft CA-ról van szó, egyértelműen nem lehet egy lejárt tanúsítványt megújítani, mint itt feketén-fehéren le is van írva.

Miben különbözik egy új tanúsítvány a régi megújításától? Alapvetően kényelmi kérdésekben csak. Végül is valóban szinte ugyanarról szó, hiszen leginkább a tanúsítványon található dátumok változnak. Bizonyos esetekben kérhetünk kulcs-változást is (erre alább visszatérek), de általában az érvényességi idő a legfontosabb változás.

Ezt bizonyítja az is, hogy egyes kiszolgálók elfogadják ugyanazt a CSR-t a tanúsítvány megújításakor. Ugyanakkor, ha csak „sima”, egyszeri kapcsolatról van szó (pl HTTPS, LDAPS, egyéb SSL), akkor szinte mindegy. Azért szinte, mert ha ugyanaz a CA, akkor annak tanúsítványa már benne van a kliens megbízható legfelső tanúsítványai között – ha ellenben másik CA-ról van szó, akkor az is megbízható kell legyen. Továbbá az emberi lustaság is szerepet játszik: miért töltsük ki ismét a tanúsítvány adatait, ha egyszerűen azt tudjuk mondani, hogy csak hosszabbítani akarunk (útlevél-példa)?

Ha viszont egy hosszabb távra használt tanúsítványról van szó (pl. EFS DRA), akkor szintén érdemes inkább megújításban gondolkozni, hiszen ekkor megmarad a kulcs-pár, magyarul, ha beállítottuk az AD-ben a Recovery Agent-et, akkor a későbbiekben is vissza tudjuk állítani a titkosított adatokat. Ha viszont új tanúsítványt kérünk, új kulcsokkal, akkor azok értelemszerűen nem lesznek benne a titkosításhoz használt kulcsok között.

Másik példa egy SSH-kiszolgáló, ahol már megbíztunk egy adott kulcsban, ne kelljen ismét ezzel foglalkozni. Természetesen egy egészen egyedülálló helyzet pl. egy CA-tanúsítvány megújítása, ahol a folyamatosság végett szintén érdemes a kulcsokat megtartani.

Ugyanakkor, ha pl. tanúsítvánnyal írtunk alá adott programot, akkor ott ismét előkerülhet ez a kérdés (ez és ez is ilyenről szól, ott ez a megoldás).

Az, hogy a privát kulcs változatlan marad-e, jó kérdés. Bizonyos esetekben bizony változik/változhat, mondjuk eddig 1024-bites titkosítást használtunk, s át akarunk térni 2048-bitre, vagy felmerül egy esetleges „kulcs-szivárgás” lehetősége, vagy egyszerűen csak biztonságosabban érezzük magunkat. Ugyanakkor elég sok esetben automatikusan változnak a kulcsok.

Ennek ellentéte pl. a már említett EFS DRA tanúsítványa. Ebben az esetben adott tartományon belül válthatunk egy Enterprise CA-ról egy másikra, a kulcsok nem változnak (természetesen a tanúsítvány igen). Ez mindenképp jó hír, hiszen ebben az esetben az állományok az eredetileg kapott kulccsal lettek titkosítva, s évek múlva is vissza tudjuk őket fejteni (külön cikkek foglalkoznak azzal, hogy mi van, ha nem tudjuk megújítani, illetve hogyan mentsük a DRA privát kulcsát). Azt ugye nem kell senkinek ecsetelni, hogy a DRA privát kulcsos tanúsítványát (Pfx) minden esetben érdemes (tíz lakat alatt) megőrizni, ha titkosított adataink vannak.

Vannak olyan CA-k, ahova ugyanazt a CSR-t be tudod nyújtani, tehát nem feltétlenül a request oldalán kell keresni a változást, hanem a válasz oldalon. Persze, hogy akkor feltevődik a kérdés, hogy minek egyáltalán benyújtani a kérelmet – nos, azért, mert a CA nem tudhatja, hogy azonos „feltételekkel” (adatokkal, kulccsal, stb.) újítsa meg, vagy egy másikat óhajtasz. Ugyanakkor, ha már megszűnt a tanúsítvány felhasználója, mi értelme lenne az automatikus újításnak (s itt gondoljunk bele pl. egy AD-ban a gépek változása esetén, amelyek automatikusan igényelnek/kapnak maguknak új tanúsítványt).

Milyen előnye van egy teljesen új tanúsítványhoz képest? Erre most külön nem válaszolnék, hiszen a fenti fejtegetéseimben megpróbáltam rávilágítani 🙂 Véleményem az, hogy ha nem változik semmi (legfeljebb a kulcs), akkor inkább megújítani érdemes (ugye a kulcs-változást is le lehet kezelni újítással). De ez csak egy javaslat, természetesen mindenki maga dönti el…

Reklámok
  1. Richard
    március 25, 2014 - 9:30 du.

    Köszönet a cikkért, még több ilyen és hasonló PKI írásra volna szüksége a szakmának! Azt csak az MS hiheti komolyan, h. a technet ilyen alapossággal belement az alapok magyarázatába. Pedig garantáltan nincs ilyen jellegű cikk fent.
    Néhány megjegyzés (direkt voltam szőrözős, ahol nem volt totál egyértelmű és 2 lehetséges jelentést is találtam, ott megpróbáltam a “rossz” jelentésre rávilágítani)

    “a PKC egy útlevélhez hasonlít, míg az AC egy vízumhoz”
    –> itt nem értem mit takar a PKC és az AC rövidítés, így az analógia sem jött át sajnos. A certificate CA és az attribute CA témaköre nekem totálisan ismeretlen, ha a teljes kép megértését könnyíti ez az analógia lehet h. 1-2 mondattal még többet kellene róla írni.

    “..hanem „igazi”, külső CA által kiállítottról, akkor a korrekt eljárás az, hogy mindenféle hivatalos adatokkal/papírokkal/aláírásokkal igazoljuk, hogy valóban jogosultak vagyunk rá..”

    –>itt sem teljesen tiszta h. ezzel mit szeretnél mondani. A domain-es CA is “jótáll” a tanúsítványért amit Neked kiadott (még jó, hisz szerintem ez a feladata). Az hogy ehhez mindössze pl. egy AD username/password hitelesítést használ igényléskor, csak annyit jelent, hogy kevesebb bürökrácia előzte meg a tanúsítvány “lepecsételését”. Azaz egy 3rd party CA esetén nagyobb biztonsággal lehet mondani, h. a certificate tulajdonosa az igénylés pillanatában -pl. papírokkal- ellenőrizve lett. Ezután a domaines CA és a 3rd party CA által kiadott tanúsítvány között nincs különbség. Szóval ennyi lett volna ennek a mondatnak a lényege, v. tényleg nem értem?

    “egyes kiszolgálók elfogadják ugyanazt a CSR-t a tanúsítvány megújításakor”

    –> a CSR nem “romlik meg” időközben? Nincs benne egy belső időpecsét ami után már nem használható fel? Másképpen kérdezve: a CSR tudja hogy a “szülője” (akitől származik) mikor járt le / lejárt-e már?

    “Ugyanakkor, ha csak „sima”, egyszeri kapcsolatról van szó (pl HTTPS, LDAPS, egyéb SSL), akkor szinte mindegy.”
    –> ez a SZINTE-MINDEGY az előző mondatra utal (egyes kiszolgálók elfogadják ugyanazt a CSR-t) vagy a bekezdés korábbi részére (konkrétan hogy: új tanúsítványt igénylünk vs. meglevőt újítunk, és ez a mindegy)?

    “Azért szinte, mert ha ugyanaz a CA, akkor annak tanúsítványa már benne van a kliens megbízható legfelső tanúsítványai között”

    –> inkább itt úgy fogalmaznék h. praktikussági okokból jó ha a kiadó CA változatlan marad, mint ahogy írtad is: már bennevan a trusted CA tárolóban. De itt meg azt is hozzá kellene tenni, h. a megújítás még nem garantálja h. ugyanattól a CA-tól kapjuk vissza az újrafelhasznált CSR-re jövő választ. Mert lehet h. másik CA fogja adni a választ, erre 3rd party esetén nincs ráhatásunk, csak domain CA esetén tudunk választani. Ergo akár új certet kérünk, akár meglevőt újítunk, kaphatjuk a certet ugyanattól a CA-tól és egy másiktól is.

    “hiszen ekkor megmarad a kulcs-pár,”
    –> kicsit félreérthető, mert új tanúsítvány esetén a régi még nem törlődik ki kényszerítetten, tehát akkor is “MEGMARAD” a kulcspár. Itt szerintem arra gondolhattál, h. továbbra is ugyanaz a kulcspár lesz munkára fogva, nem pedig egy új kulcspár lesz kezdve használva, mialatt a régi a háttérbe vonul (de fizikailag továbbra is ott van a tárolóban).

    Itt amúgy felmerült egy új kérdés is: volna kedved írni majd valamikor 1 rövid cikket a megújítás különböző típusairól? Pl. MMC-ben próbáltam renew-t, és az alábbi 4 lehetőséget ajánlotta fel: “Request a new certificate but do not use the same key as the selected certificate” , “Renew a certificate that is close to expiration. Do not use the same key” , “Request this certificate with the same key” , “Renew this certificate with the same key”. Ördög legyek ha értem mit jelent a renew és a request között a különbség, ha egy konkrétan kijelölt cert-re alkalmazom.

    Röviden kb. ennyi. Nem mondom h. tökéletesen tiszta lett a téma, de jó úton haladok. PKI kapcsán inkább szeretek furcsán hangzó, köznyelvben ritkán előforduló szavakkal fogalmazni, mert az elcsépelt jelentésű szavak fals képzeteket okoznak az ember fejében. Azt hinnéd megértetted a problémát, pedig pontosan most értettél félre valamit, mert a magyarázatban használt szavak túl általános jelentésűek voltak.De még egyszer köszönöm h. időt szántál a témára csak az én kedvemért!

    • március 25, 2014 - 10:24 du.

      Most rövidebb leszek, de szerintem érthető (s akkor nem is lesz mibe beleköss 🙂
      – PKC/AC: Public Key Certificate/Attribute Certificate
      – 3rd party CA: jól érted, technikailag nincs különbség
      – a CSR nem jár le, s nincs összekötve az “előző” tanúsítvánnyal sem
      – “szinte mindegy”: új vagy megújítás
      – CA tanúsítványa: igen, jól látod
      – kulcspár: igen, arra gondoltam

      Örülök, ha egy kicsit tisztább lett a dolog 🙂

  2. Richard
    március 25, 2014 - 9:32 du.

    Javítás az előzőhöz:
    az attribute CA témaköre ismeretlen nekem.

    A certificate CA-ról merem remélni h. van némi elképzelésem 🙂

  3. Richard
    március 26, 2014 - 8:11 du.

    Köszönet a magyarázatokért.
    Ha nem vagyok pofátlan, volna kedved írni majd valamikor 1 rövid cikket a megújítás különböző típusairól is? (new key / existing key) A request vs renew egy meglevő certificate-re kattintva ugyanis nekem továbbra is homály, ahogy azt az MMC-ben láttam.
    Nem sűrgős, csak érdekelne..

    • március 27, 2014 - 2:04 du.

      Látom, hogy Harmath Zoltán kollégát is abajgatod Exchange témában 🙂
      Megpróbálom valamikor kisilabizálni, de Zolitól eltérően én nem vagyok MS-alkalmazott, csak egy rendszergazda (nincs hozzáférésem az MS belső dokumentációihoz), így idő kell a kérdés körbejárásához, tudásomhoz mérten.

  4. Richard
    március 28, 2014 - 12:26 du.

    LOL, lebuktam 🙂 Nemhiába, azoktól kell kérdezni akik értenek hozzá! Nem probléma ha nincs insider infód, igazából csak úgy érzem PKI-ről nincs a fontosságához mérten rendes tananyag sehol. Ha pedig már bloggol róla valaki mélységeiben, akkor olyas témákról szeretnék olvasni, amik szürke folt a techneten (sajnos rengeteg ilyen van). Sok dolgot vélek érteni PKI témában, de mivel nincs róla jó könyv amit olyanoknak írnak mint én, nem érzem úgy h. az egészét átlátnám. A techneten csak konfig guide-ok vannak 2008+ óta, a jó alapozó írásokat win 2003 v. 2000(!!)-nél találtam meg jól eldugva, de igazán jó könyv minsőgégű írások még ott sem voltak. Standalone MS tanfolyam sincs PKI-ről, eddig amit találtam az mind training központok saját tananyaga volt.

  1. május 20, 2014 - 5:04 du.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: