Kami baru-baru ini membeli sertifikat wildcard SSL untuk domain kami. Kami mengonversi semua sertifikat ke Java keystore, tetapi sekarang kami bertanya pada diri sendiri di mana kami harus menyimpan ini untuk digunakan nanti.
Apakah orang menggunakan kontrol sumber seperti BitBucket untuk jenis file ini atau hanya menghasilkan setiap kali diperlukan, atau sesuatu yang lain?
Kami ingin tahu apakah ada solusi standar atau "praktik terbaik" seputar penyimpanan sertifikat ini untuk digunakan di masa mendatang.
ssl-certificate
certificate
best-practices
AmericanKryptonite
sumber
sumber
Jawaban:
Ada beberapa solusi:
One avenue adalah brankas kunci khusus baik perangkat berbasis perangkat keras, modul keamanan perangkat keras, atau perangkat lunak berbasis perangkat lunak.
Cara lain adalah dengan hanya mencabut kunci lama dan menghasilkan kunci-pasangan kunci publik / publik ketika situasinya muncul. Itu agak menggeser masalah dari menjaga keamanan utama menjadi mengamankan nama pengguna / kata sandi akun dengan penyedia sertifikat dan prosedur mereka untuk diterbitkan kembali. Keuntungannya adalah bahwa sebagian besar organisasi sudah memiliki solusi manajemen akun istimewa misalnya 1 2
Ada beberapa cara penyimpanan off-line, mulai dari mencetak hard-copy dari kunci-publik dan pasangan termasuk kata sandi (tetapi itu akan menjadi anjing betina untuk dipulihkan) hingga hanya menyimpannya di media digital yang dinilai untuk penyimpanan lama. .
Tempat-tempat yang benar-benar buruk adalah GitHub, tim Anda WiKi atau jaringan berbagi (dan Anda mendapatkan ide).
Pembaruan 2015/4/29: Keywhiz juga tampaknya pendekatan yang menarik.
sumber
Tidak, sertifikat SSL tidak masuk kontrol sumber, setidaknya bukan bagian kunci pribadi.
Perlakukan mereka seperti Anda menggunakan kata sandi. Kami benar-benar disimpan dengan cara yang persis sama dengan kata sandi kami - di KeePass. Ini memungkinkan Anda untuk melampirkan file, dan dienkripsi.
sumber
Jika Anda meletakkan kunci pribadi di kontrol sumber, siapa pun yang memiliki akses ke sana akan dapat menyamar sebagai server Anda. Jika server web Anda tidak menggunakan PFS (kerahasiaan ke depan yang sempurna), maka mungkin juga untuk mendekripsi setiap lalu lintas SSL yang ditangkap dengan alat sumber terbuka yang umum tersedia seperti Wireshark.
Anda dapat melindungi kunci dengan DES atau AES yang mengenkripsinya dengan frasa sandi menggunakan OpenSSL. OpenSSL tersedia untuk Linux, OSX dan Windows.
OpenSSL juga dapat menghapus frasa sandi saat frasa sandi tidak nyaman (mis. Pada server web yang dimulai secara otomatis tetapi tidak mendukung entri frasa sandi otomatis).
Menambahkan frasa sandi menggunakan enkripsi AES (lebih aman daripada DES): -
Menghapus passphrase (Anda akan diminta untuk passphrase): -
sumber
Pilihan lain, setelah membaca tentang KeyWhiz, adalah HashiCorp's Vault. Ini bukan hanya manajer kata sandi, tetapi toko Rahasia, saya percaya agak mirip dengan KeyWhiz. Ini ditulis dalam GO, dan klien berfungsi sebagai server juga, dan menghubungkan ke banyak backend, dan metode otentikasi. Vault juga open-source, dengan opsi Enterprise juga.
Karena Kunci dan Sertifikat SSL hanyalah file teks, Anda dapat mendandani64 mereka, dan menyimpannya sebagai string di Vault, atau bahkan hanya teks di Vault juga. Tidak ada WebUI, atau GUI, semua baris perintah, atau skrip yang digerakkan, dan memiliki API web yang sangat bagus dan stabil untuk di-boot.
sumber
Saya akan merekomendasikan untuk melihat ke HSM offline (seperti token enkripsi perangkat keras atau CAC) untuk menyimpan kunci pribadi dan sertifikat. Ini tidak hanya melindungi kunci pribadi dari kompromi yang tidak disengaja, tetapi juga menyediakan beberapa pembongkaran kriptografi dasar.
Jika Anda memiliki lebih banyak aset kriptografi untuk dikelola, saya akan merekomendasikan untuk melihat ke perangkat lunak Enterprise Key & Certificate Management, yang dapat mengotomatiskan pembaruan, melacak siklus hidup, mengotomatisasi penyediaan ke titik akhir, dll. Sebagian besar menyimpan aset yang dienkripsi saat istirahat sebagai CLOB dalam database.
sumber