Доверенные сертификаты

В TING сертификаты используются для обеспечения доверия между узлами. Чтобы упростить их использование, TING позволяет создавать сертификаты при помощи веб-интерфейса. Кроме того, можно создавать сертификаты для других целей, что избавляет от необходимости использовать инструмент командной строки openssl. Управление сертификатами осуществляется из раздела Система ‣ Доверенные сертификаты ‣ Сертификаты.

Примеры компонентов TING, которые используют сертификаты:

  • OpenVPN

  • IPsec

  • Captive Portal

  • Веб-прокси

Типы сертификатов

Следующие типа сертификатов могут быть сгенерированы в TING:

  • Сертификат клиента

  • Сертификат сервера

  • Комбинированный клиент/сервер

  • Центр сертификации

Дополнительно, TING может генерировать Запрос на подпись сертификата. Это может быть полезным, если необходимо создать сертификат, подписанный внешним ЦС.

Предупреждение

Убедитесь, что вы выбрали правильный тип сертификата, так как многие клиенты могут отвергнуть соединение (или, по крайней мере, выдадут ошибку), если используется не тот тип сертификата. Например, для защиты соединения с веб-интерфейсом можно использовать либо сертификат сервера, либо комбинированный сертификат клиента/сервера, но не сертификат ЦС или сертификат клиента.

Отзыв сертификатов

Списки отозванных сертификатов

Список отозванных сертификатов (СОС) - это список сертификатов, которые центр сертификации пометил как отозванные. Некоторые службы TING могут пользоваться им для проверки сертификата на действительность для использования, даже если их срок действия ещё не закончился (СОС содержит информацию только о сертификатых, срок действия которых ещё не истёк).

Для определения СОС, перейдите в раздел Система ‣ Доверенные сертификаты ‣ Отзыв сертификатов и нажмите на знак + для вашего (локального) ЦС, чтобы создать новый список. Если СОС существует, можно его редактировать, добавлять и/или удалять сертификаты (значок карандаша).

Примечание

Если вы хотите использовать СОС для внешних инструментов, его можно загрузить с помощью кнопки .

Одним из недостатков СОС является то, что они не очень хорошо масштабируются: каждый клиент списка должен загрузить его полностью, чтобы узнать, можно ли доверять тому или иному сертификату. Информация, часто, бывает недостаточно точной, так как эти списки, обычно, формируется только через определённые промежутки времени.

При использовании СОС для локальной авторизации в самом TING, масштабирование, как правило, не является большой проблемой, так количество сертификатов, обычно, ограничено (например, количеством сотрудников в организации).

Чтобы вручную проверить созданные сертификаты с помощью команд openssl, понадобятся следующие компоненты:

  1. Цепочка сертификатов ЦС, подписавших сертификаты (экспортируйте cert на странице Полномочия)

  2. CLR, созданный в TING (экспортируйте crl на странице Отзыв сертификатов)

  3. Отозванный сертификат (экспортируйте cert на странице Сертификаты)

  4. Непросроченный сертификат или неотозванный сертификат.

Сначала надо объединить цепочку ЦС и СОС в один файл «цепочку»:

# cat ca_chain.crt ca_crl.crl > my_chain.pem

Затем проверяем отозванный сертификат с помощью следующей команды:

# openssl verify -crl_check -CAfile my_chain.pem revoked_cert.crt
C=NL, CN=my_cert
error 23 at 0 depth lookup: certificate revoked
error ocsp_user_cert2.crt: verification failed

Добавляем действительный сертификат:

# openssl verify -crl_check -CAfile my_chain.pem ok_cert.crt
ocsp_server_cert.crt OK

Протокол состояния сетевого сертификата (OCSP)

Online Certificate Status protocol (OCSP ) - это интернет-протокол, используемый для получения статусы отзыва цифрового сертификата X.509. Он предлагает функциональность, аналогичную CRL, но проверяет сертификаты в режиме реального времени и использует подход «белого», а не «чёрного» списка. После проверки сертификатов по заранее определённому онлайн-набору, сервер выдаёт ответ хорошо, отозван или неизвестен. Только ответы хорошо считаются приемлимыми.

Чтобы проверить действительность сертификата, в центр сертификации должно быть включение расширение AuthorityInfoAccess. В TING это делает аргумент OCSP URI.

Совет

Чтобы найти ocsp uri (если он имеется), можно использовать кнопку .

OCSP-ответчик (сервер), которые проверяет «OCSP-запрос», нуждается в специальном сертификате подписи (который можно создать в TING при помощи Система ‣ Доверенные сертификаты ‣ Полномочия), выданном тем же ЦС, который создал сертификаты клиента и/или сервера. TING не реализует OCSP-ответчик, но для проверки можно использовать команду openssl-ocsp.

Примечание

openssl-ocsp предназачен только для использования в тестовых и демонстрационных целях.

Для такой проверки, понадобятся следующие компоненты:

  1. Цепочка сертификатов ЦС, подписавших сертификаты (экспортируйте cert на странице Полномочия)

  2. Сертификат подписывающего OCSP (экспортируйте cert и key на странице Полномочия для подписывающего)

  3. Индексный файл для openssl-ocsp (экспортируйте индекс на странице Отзыв сертификатов)

  4. Серийный номер отозванного сертификата (используйте информационную кнопку, чтобы найти его)

  5. Серийный номер непросроченного или неотозванного сертификата

Сначала запускаем сервер в консоли:

# openssl ocsp -index index.txt -port 8081 -rsinger ocsp_signer.crt -rkey ocsp_signer.key -CA ca.crt -ignore_err -text

Затем проверяем заведомо действительный сертификат (с серийным номер 1):

# openssl ocsp -url http://127.0.0.1:8081 -CAfile ca.crt -issue ca.crt -serial 1
Responce verify OK
1: good
        This Update: Jan 6 13:33:59 2024 GMT

Отозванный сертификат (например, 3):

# openssl ocsp -url http://127.0.0.1:8081 -CAfile ca.crt -issuer ca.crt -serial 3
Responce verify OK
1: good
        This Update: Jan 1 21:31:00 2024 GMT

Неизвестный сертификат:

# openssl ocsp -url http://127.0.0.:8081 -CAfile ca.crt -issuer ca.crt -serial 9999
Response verify OK
9999: unknown
        This Update: Jan 6 13:36:51 2024 GMT

Примеры использования

На странице Операции с сертификатами находятся примеры того, как самостоятельно строить цепочки сертификатов.