2022.04.07. 16:57
Múlt heti videónkban belekóstoltunk a tanúsítványkezelésbe és annak alapfogalmaiba. A mai epizód során még mélyebbre ásunk és kitérünk minden apró részletre, illetve arra, hogy miként valósul meg e folyamat a MikroTik RouterOS 7 keretein belül.
A kliens által igényelt tanúsítvány aláírása megtörtént, a lejárati idő beállításra került, sőt arról is meggyőzöttünk, hogy az identitása megfelel így elindulhat a kommunikáció. Arról ugye már beszéltünk, hogy minden tanúsítványnak kell rendelkeznie lejárati idővel. Ebből következik az, hogy ez a feltétel érvényes a tanúsítvány kiállítókra, így nekik is kell lejárati idővel rendelkezniük.
A kilenc lépésből álló tanúsítvány ellenőrzésről már beszéltünk azonban két lépésről még nem ejtettünk szót. Ebből az egyik a tanúsítvány útvonalának ellenőrzése. Melyre azért van szükség, hogy biztosítani tudjuk azt, hogy a láncolat minden állomásán teljes biztonsággal továbbítható az adott információ. A másik az érvényesség visszavonásáról szóló rész.
A tanúsítvány ellenőrzés folyamata:
- Integritása rendben van-e? A meta adat és a digitális aláírás kapcsolatban van-e egymással.
- Érvényesség (itt kiemelten fontos a pontos és valós időbeállítások megléte)
- Tanúsítvány érvényességének visszavonásáról szóló ellenőrzés
- Kibocsátó ellenőrzése issuer azonos-e a fában felette lévő tanúsítvány subject mezőjével
- Névvel kapcsolatos megszorítások ellenőrzése
- Jogi megszorítások
- Általános megszorítások (pl tanúsítási lánc hossza) kibocsátó megadhatja milyen hosszú lehet a lánc maximálisan
- Kulcs használati megszorítások
- Más egyéb kritikus kiterjesztések ellenőrzése
A legjobb hír a MikroTik felhasználók számára minden bizonnyal az, hogy immáron RouterOS 7 alatt már Let's Encrypt tanúsítványok használatára van lehetőség!