GitHub – oddzero/AAA-Certificate-Services

GitHub - oddzero/AAA-Certificate-Services Сертификаты
Содержание
  1. Что такое центры сертификации (ca)?
  2. Что проверяется в таких случаях?
  3. Почему возникает ошибка
  4. Почему wcag сделал 3 уровня “a”, “aa”и ” aaa”?
  5. Default и list-name
  6. Ev сертификаты
  7. Github – oddzero/aaa-certificate-services
  8. San сертификаты
  9. Sgc сертификаты
  10. Авторизация
  11. Аккаунтинг
  12. Включение aaa на устройстве
  13. Высокое качество aaa сертификат –
  14. Дополнительная безопасность
  15. Есть ли разница в каком центре сертификации заказывать сертификат?
  16. Как выбрать самый дешевый сертификат?
  17. Как готовиться к сертификации
  18. Какие виды ssl сертификатов существуют?
  19. Какие данные содержит в себе ssl сертификат?
  20. Концепция aaa
  21. Локальный aaa
  22. Методы
  23. Модели организации удалённого доступа
  24. Настройка aaa аутентификации
  25. Настройка aaa аутентификации для enable
  26. Настройка ааа авторизации
  27. Настройка ааа аккаунтинга
  28. Негативное и позитивное использование сертификации
  29. Обычные ssl сертификаты
  30. По какому принципу работает ssl сертификат?
  31. Пример 1
  32. Пример 1.1
  33. Пример 1.2
  34. Пример 2
  35. Пример 2.1
  36. Пример 3
  37. Пример 3.1
  38. Пример 4
  39. Пример 5
  40. Пример 7
  41. Проверка своих сервисов
  42. Процесс выдачи сертификатов ov
  43. Сертификаты c поддержкой idn
  44. Сертификаты с валидацией организации.
  45. Сертификаты с расширенной проверкой.
  46. Сертификаты, подтверждающие только домен
  47. Сразу с позитивного и очевидного
  48. Тестовая среда
  49. Типы сертификатов по типу валидации
  50. Указание aaa-серверов
  51. Чем еще отличаются сертификаты между собой

Что такое центры сертификации (ca)?

Это организация, которая обладает правом выдачи цифровых сертификатов. Она производит проверку данных, содержащихся в CSR, перед выдачей сертификата. В самых простых сертификатах проверяется только соотвествие доменного имени, в самых дорогих производится целый ряд проверок самой организации, которая запрашивает сертификат. Об этом мы поговорим ниже.

Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.

Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата.

Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.

Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью.

Центров сертификации существует достаточно много, вот перечень самых популярных:Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, СШАSymantec — бывший Verisign в состав которого входит и Geotrust.

Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.

Что проверяется в таких случаях?

У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:

  1. Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
  2. Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
  3. Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам. Например для Украины вас могут проверить по базе ЕДРПОУ
  4. Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
  5. Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.

Почему возникает ошибка

При подключении клиента TLS-сервер отправляет ему свой сертификат. Клиент должен построить цепочку сертификатов от сертификата сервера до корневого сертификата, которому клиент доверяет. Чтобы помочь клиенту построить эту цепочку, сервер отправляет дополнительно один или несколько промежуточных сертификатов вместе со своим собственным.

Например, веб-сайт отправляет следующие два сертификата:

Почему wcag сделал 3 уровня “a”, “aa”и ” aaa”?

WCAG 2.0 делится на три уровня соответствия (A-AA-AAA), поскольку критерии успеха организованы на основе влияния, которое они оказывают на дизайн или визуальное представление страниц. Чем выше уровень, тем более сдерживающим он становится по дизайну.

например, давайте возьмем руководство 1.4 (Distinguishable), которое облегчает пользователям видеть и слышать контент, включая разделение переднего плана от фона.

  • критерий успеха 1.4.1 об
    использование цвета. Правило гласит:
    это: цвет не используется как единственный
    визуальное средство передвижения
    информация, указывающая на действие,
    побуждение к ответу, или
    различение визуального элемента.
    (Уровень А)
  • критерий успеха 1.4.3 о
    Контраст (Минимум). Правило идет
    как это: визуальное представление
    текста и изображения текста имеет
    коэффициент контрастности не менее 4,5:1,
    за исключением следующего: (уровень AA)
  • и, наконец, критерий успеха 1.4.6
    собираться Контраст (Увеличенный). И
    правило выглядит так: визуальный
    представление текста и изображений
    контрастность текста не менее
    7:1, за исключением следующего: (уровень
    AAA)

Как вы можете видеть, чем выше мы получаем, тем более требовательным он становится и тем большее давление он оказывает на то, как вещи могут быть представлены на веб-странице.

Как правило, критерии успеха с уровня A должны быть невидимыми или едва заметными для интерфейса. С другой стороны, уровень AAA будет иметь такое большое влияние на дизайн, что даже W3C утверждает, что большинство организаций не смогут достичь этого уровня (поскольку компромиссы по дизайну будут слишком важны):

источник:http://www.w3.org/TR/WCAG20/#conformance-reqs (WCAG 2.0) – от W3C

“примечание 2: не рекомендуется, чтобы соответствие уровня AAA требовалось в качестве общей политики для всех сайтов, потому что невозможно удовлетворить все успехи уровня AAA Критерии для некоторого контента.”

работа над соответствием тому или иному уровню соответствия в любом данном проекте не должна иметь ничего общего с тем, что клиент платит или не платит. Это всегда должно быть о том, чтобы сделать все возможное (в пределах ресурсов и бюджета, конечно), чтобы все пользователи, независимо от инвалидности или ограничений, могли наслаждаться контентом, который предоставляется общественности. И это особенно верно, когда речь идет о правительстве содержание.

Default и list-name

Посмотрим опции команды:

Первым делом интересует опция login, она потребуется обязательно:

Router(config)# aaa authentication login { default | list-name } method1.. [method4]
  • Основная часть команды aaa authentication login;
  • Либо default, либо list-name;
  • Далее идут от 1 до 4 различных метода аутентификации

Команд aaa authentication login в конфигурации может быть несколько:

!
aaa authentication login default..
aaa authentication login list1..
aaa authentication login list2..
...

Таким образом можно использовать команду aaa authentication login default и/или команду aaa authentication login list-name. В чём разница?

  • При использовании оции default набор методов автоматически применяется ко всем линиям,включая консоль сразу после ввода команды;
  • При использовании именованного списка list-name набор методов не применяется ни к одной линии после ввода команды. Необходимо вручную указывать list-name для требуемых линий, при этом он заменяет собой default, если тот настроен:
R1(config)# line vty 0 4
R1(config-line)# login authentication list-name

Зачем нужен list-name? Чтобы для разных линий задать разные методы аутентификации.

Ev сертификаты

Это те самые сертификаты с расширенной проверки и зеленой строкой в браузере, о которых мы говорили выше. Получить их может только юридическое лицо, коммерческая, некоммерческая или государственная организация.

Цена: от 250 $ в год.

Github – oddzero/aaa-certificate-services

Note: The certificates in here are likely several years out of date, as I have not recently updated the repository.

These certificates were collected from Apple, Entrust, Globalsign, DigiCert, Comodo, GoDaddy, Trustwave and XRamp, Verisign/Symantec/GeoTrust/Thawte (all one company), and StartCom. More will be added. 187 of these certificates were issued by Comodo.

If you plan to use this repository, note the following:

  • files are either DER encoded or PEM encoded, and the file extension is not an indicator of encoding
  • omissions may occur, either because they were issued after the last update or the CA failed to disclose it with Mozilla and/or in their repository

San сертификаты


Пригодится, если вы хотите использовать один сертификат для нескольких разных доменов, размещенных на одном сервере. Обычно в такой сертификат входит 5 доменов и их количество можно увеличивать с шагом в 5.

Цена: от 395 $ в год

Sgc сертификаты

Сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование. При использовании этого сертификата уровень шифрования принудительно повышается до 128 бит.


За все время у нас не купили не одного такого сертификата. Мое мнение, что они уже не нужны, разве что для внутреннего использования в больших корпорациях, где сохранилось очень старое железо.

Про сертификаты:  Регистрационное удостоверение на медицинское изделие РЗН 2013/829

Цена: от 300 $ в год.

Авторизация

В общем случае авторизация производится автоматически и не требует от пользователей дополнительных действий. Выполняется сразу же после успешной аутентификации пользователя (RADIUS). Обычно применяется в случае серверной реализации AAA. 

Об особенностях авторизации для протокола TACACS поговорим во 2 части.

Ещё раз отметим:

Аккаунтинг

Если аутентификация/авторизация неразрывно связаны и в любом случае происходят при подключении (авторизация возможна ещё и при вводе отдельных команд в случае ACS Server, ISE и TACACS ), то аккаунтинг как бы находится в стороне и может применяться опционально.

Аккаунтинг является расширенной альтернативой простой системе логирования на устройстве CISCO. Реализуется аккаунтинг только при серверном варианте AAA. И TACACS , и RADIUS поддерживают аккаунтинг. Подробнее о различии этих двух протоколов поговорим во второй части статьи.

Когда пользователь входит на устройство, где используется AAA, сеансу этого пользователя присваивается уникальный session identifier (session ID).

Включение aaa на устройстве

На устройстве CISCO по-умолчанию поддержка AAA выключена и в конфигурации можно увидеть:

!
no aaa new-model
!

Чтобы включить поддержку AAA нужно выполнить команду:

Router(config)# aaa new-model
  • До ввода этой команды никакие другие команды AAA недоступны и при попытке их ввода IOS будет вести себя так, как будто ничего про эти команды не знает;

Это может сбить с толку, поэтому если какая-то команда ААА не вводится, то первым делом нужно проверить наличие aaa new-model в конфигурации.

  • Сразу после ввода этой команды аутентификация по умолчанию автоматически переводится на использование локальной базы для всех линий, кроме консоли.

Что не так с консолью? Да всё нормально, это защита от полной потери доступа к устройству, если команда была введена по незнанию.

Высокое качество aaa сертификат –

Любой покупатель, покупающий лучшее и высококачественное aaa сертификат. обеспечит наилучшую производительность при покупке на Alibaba.com. Очень важное оборудование для искусственного оплодотворения животных, это aaa сертификат. предоставлять пользователю эффективные и образцовые результаты. Их размер делает их портативными и удобными в использовании. Их можно использовать на различных животных, начиная от коров, овец и свиней.

Это качество aaa сертификат. разработан, чтобы сделать их безопасными для животных, не вызывая дискомфорта. Они одноразовые, поэтому поставляются в виде нескольких частей, чтобы гарантировать безопасность для здоровья, избежать заболеваний или заражения, которые могут возникнуть в результате повторного использования одного и того же оборудования для искусственного осеменения на нескольких животных.

aaa сертификат. перечисленные на Alibaba.com, очень полезны при сборе и оценке спермы животных. Они также полезны при разведении животных, у которых могут быть проблемы, и позволяют пользователю разводить своих животных в лучшее время, когда их животное может зачать. Они также бывают разного дизайна и размеров в зависимости от животного, на котором они используются.

Покупатели могут изучить различные конкурентные aaa сертификат. предлагается на Alibaba.com, и они обязательно получат то, за что заплатили. Покупатель может выбирать из различных типов искусственных инструментов в зависимости от планируемой цены и вида животного, которого он хочет осеменить. Оптовики также предлагают сделки, когда покупатель приобретает значительный объем этого оборудования.

Дополнительная безопасность

Обеспечивается для AAA и локальных учётных записей на сетевом устройстве с помощью команды глобальной конфигурации (для IOS 12 и 15):

Router(config)# aaa local authentication attempts max-fail ?
<1-65535> Specify the value for max failed attempts

Тут важное замечание: действует только на пользователей с уровнем привилегий ниже 15, то есть на всех кроме админов.

Проблема в том, что при достижении указанного числа неудачных попыток учётная запись блокируется и остаётся заблокированной до на сетевом устройстве ввода команды привилегированного режима:

Есть ли разница в каком центре сертификации заказывать сертификат?

Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.


Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.

Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами ->

Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).

Как выбрать самый дешевый сертификат?

У Geotrust самые дешевые SAN сертификаты. Сертификаты с валидацией только сайта, а также wildcard выгоднее всего у RapidSSL. EV сертификаты самые дешевые также у Geotrust. SGC сертификаты есть только у Thawte и Verisign, но у Thawte дешевле.

Как готовиться к сертификации

Выберите наиболее интересный для вас экзамен, если вы готовитесь первый раз. Не ставьте цель выучить cloud и быть профессионалом, поставьте несколько менее важных и более достижимых целей:

В процессе обучения ритм подготовки может меняться, возьмите паузу и отдохните, когда закончите курс и лабораторные. Вернитесь к пройденному и постарайтесь проанализировать, был ли материал понятен и сложилась ли картина. Если нет, лучше вернуться к курсу или лабораторным.

В случае если теория улеглась и лабораторные работы все понятны, нужно продолжать решать подготовительные тесты, они максимально приближены к реальному экзамену и показывают “сдан” тест или “провален”. Таким образом можно оценивать готовность. Например, на ресурсе whizlabs около 7 тестов для экзамена AWS Certified Solutions Architect, по 65 вопросов (вопросы повторяются).

Ниже представлен roadmap для подготовки к сертификации AWS Certified Solutions Architect. При подготовке к сертификатам Azure, Google Cloud или другим платформам можно использовать те же ресурсы. (Каждое облако предоставляет Free Tier – период бесплатного использования.

“AWS Certified Solutions Architect” preparation roadmap:

Какие виды ssl сертификатов существуют?

Между собой сертификаты отличаются свойствами и уровнем валидации.

Какие данные содержит в себе ssl сертификат?

В сертификате хранится следующая информация:

Концепция aaa

Кратко суть понятия AAA (аутентификация, авторизация и аккаунтинг):

  • Authentication — Пользователь должен подтвердить, что он тот, за кого себя выдаёт;
  • Authorization — На основании учётной записи определяется к каким ресурсам пользователю может быть предоставлен доступ и какие действия может выполнять, затем этот доступ предоставляется;
  • Accounting — Учёт и аудит, осуществляет сбор информации по использованию пользователем сетевого устройства и формирует отчеты.

Локальный aaa

И зачем он нужен. В случае локального AAA никакого сервера, обрабатывающего запросы, нет. Всё происходит аналогично методу локальной базы. Лучше рассмотреть сразу на примере.

Методы

Теперь подробнее про методы:

  • Методов может быть от 1 до 4;
  • Методы используются в том порядке, в котором они указаны слева направо;
  • Если проверка первым методом даёт ошибку (например первым методом стоит аутентификация с помощью AAA-сервера, а он в текущий момент выключен), то используется следующий метод и так далее;
  • Если проверка первым методом возвращает отказ (например при неверном вводе пароля, пароль проверяется на AAA-сервере и сервер присылает отказ), то следующие методы не используются и происходит выход из режима аутентификации.

Основные методы (на самом деле методов больше):

  • enable — использует пароль для enable для аутентификации;
  • local — использует локальную базу для аутентификации;
  • local-case — использует локальную базу для аутентификации, при этом имя пользователя чувствительно к регистру;
  • none — без аутентификации, при этом методе вход разрешён для всех;
  • group radius — использует список всех серверов RADIUS для аутентификации;
  • group tacacs  — использует список всех серверов TACACS  для аутентификации;
  • group group-name — использует сервера RADIUS или TACACS , которые указаны в группе group-name для аутентификации.

Модели организации удалённого доступа

Доступ к плоскости менеджмента может быть настроен по разному:

Настройка aaa аутентификации

Для проведения аутентификации с помощью AAA используется команда aaa authentication. Нужно разобраться как работает эта команда и дальше всё сразу станет ясно и понятно, потому что все дальнейшие команды ААА похожи на эту по своей структуре.

Настройка aaa аутентификации для enable

Router(config)# aaa authentication enable default methods

Всё всё таже самая команда, отличие: вместо login здесь идёт enable, нет опции list-name и  список возможных методов меньше:

Router(config)# aaa authentication enable ?
default The default authentication list.

Редко применяется при серверном ААА, так как уровень привилегий задаётся в политике на ААА-сервере и сразу применяется при входе пользователя (после авторизации), команда enable при этом просто не нужна. Может использоваться при локальном ААА.

Для того чтобы отрабатывал серверный вариант команды:

Router(config)# aaa authentication enable default group radius local

На сервере необходимо добавить пользователя $enab15$ и поместить его в группу на сервере, для которой настроена сетевая политика полного доступа (почему так — во второй части). Соответственно при воде команды enable запрашивается только пароль и нужно вводить пароль этого пользователя.

Про сертификаты:  ОБМ-Вент: описание, цена | ЛенПожЗащита

Настройка ааа авторизации

Используется команда aaa authorization. Опять посмотрим опции команды:

Интересует только опция exec, которая отвечает за доступ к  режиму выполнения команд (EXEC). Остальное уже разбиралось выше.

Router(config)# aaa authorization exec { default | list-name } method1.. [method4]

Ещё важные опции:

  • network — используется для авторизации через сетевые протоколы (типа PPP);
Router(config)# aaa authentication ppp default group radius
Router(config)# aaa authorization network group radius
  • commands level (0-15) — для авторизации исполнения команд заданного уровня. Применяется вместе с протоколом TACACS (подробнее во 2 части).

Эта команда позволяет ассоциировать пользователя, выполняющего вход, с определённым  уровнем привилегий оболочки EXEC. К сожалению подробнее тут без примера настройки сервера показать не получится.

Настройка ааа аккаунтинга

Для настройки аккаунтинга используется команда aaa accounting. Снова смотрим опции команды:

Router(config)# aaa accounting exec { default | list-name }  { star-stop | stop-only | none } [broadcast] method1.. [method4]

Ещё важные опции:

  • network — выполняет учет всех запросов сетевых услуг (PPP);
  • connection — запускает учет для всех исходящих соединений (SSH, Telnet)

Также обязательно настраиваются триггеры:

  • start-stop — отправляет уведомление start о начале процесса аккаунтинга и уведомление stop по окончании процесса;
  • stop-only — отправляет только уведомление stop, но для всех случаев, включая ошибки аутентификации;
  • none — отключает аккаунтинг на линии или интерфейсе

Опциональное ключевое слово broadcast означает будет ли использоваться отправка аккаунтинга на несколько серверов одновременно (если, разумеется, в конфигурации настроено несколько серверов для ААА). Подробнее тут.

broadcast(Optional) Enables sending accounting records to multiple AAA servers. Simultaneously sends accounting records to the first server in each group. If the first server is unavailable, failover occurs using the backup servers defined within that group.

Это может, например, использовать ISP, чтобы отправлять информацию на свой ААА сервер и ещё сразу же на сервер клиента. Или в случае подсчёта биллинга, когда такую информацию нельзя потерять, тогда данные аккаунтинга отсылаются сразу на 2 ААА сервера ISP для надёжности.

Конкретные команды для аккаунтинга RADIUS и TACACS рассмотрим во второй части после сравнения протоколов.

Негативное и позитивное использование сертификации

Негатив: “Я получил сертификат, сделайте мне x2 повышение” – если вы планируете повышать ЗП лучше обсудить этот момент и уточнить заранее, является ли ваша сертификация востребованной для компании или вашего отдела. Если вы получили один сертификат и тут же начали давить, что ЗП нужно увеличивать, вы просто встретите сопротивление.

Позитив: при подготовке к повышению лучше показать 2-3 или 3-4 достижения, в зависимости от позиции и требований. Сертификация облегчает этот процесс, например вы можете показать свою готовность к повышению представив несколько достижений:

(Увеличение ЗП надо планировать, знать возможный “шаг” повышения в компании в процентах, заранее заявить лицу принимающему решение и обсудить, что именно понадобиться)

Негатив: “получать сертификаты не имея реального опыта” – касается случаев, когда инженер начинает фанатично сдавать сертификат за сертификатом не применяя знания. Если вы сдали сразу 10 сертификатов Azure подряд, надо быть готовым отвечать на вопрос “зачем вы это сделали?”, а главное уметь хорошо рассказывать про полученный опыт и что именно вы теперь умеете.

Позитив: Если вы готовитесь к новому проекту или только начинаете работу в профессии, полученные знания будут только плюсом. Или например вы опытный инженер и ждете старта проекта с AWS при нулевом опыте в этом облаке, пройти тренинг, подготовиться к экзамену и сдать сертификат – очень хорошая цель для подготовки к проекту.

Негатив: “выпендреж и доминирование” – сертификация это один из пазлов большой мозаики вашего опыта, не стоит превращать это в культ.

Позитив: Для компании важно наличие сертифицированных специалистов, вы находитесь в отделе консалтинга по продукту или работаете как technology evangelist, тогда ваши достижения нужно “рекламировать” и сертификация в таком случае может сильно продвигать по карьерной лестнице.

Обычные ssl сертификаты


Тут все понятно, это сертификаты, которые выпускаются автоматически и подтверждают только домен. Подходят для всех сайтов.

Цена: от 20$ в год

По какому принципу работает ssl сертификат?

Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.

Публичный ключ не является секретным и он помещается в запрос CSR.Вот пример такого запроса:—–BEGIN CERTIFICATE REQUEST—–MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYDVQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGluZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNVBAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDTg7iUv/iX SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKidNyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5ccgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR xui2S3z2JJQEwChmflIojGnSCO/iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H/G4eO5WF6fFb7etm8M d8ebkqEztRAVdhXvTGBZ4Mt2DOV/bV4e/ffmQJxffTYEqWg8wb465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOCAQEAuCfJKehyjt7N1IDv44dd V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRIkrnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIhKQGngL2PjWdhMVLlRTB/01nVSKSEk2jhO8 7yLOY1MoGIvwAEF4CL1lAjov8U4XGNfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm/vTxjJgchUFro/0goVpBcredpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 ZNDWsPPKxo/zWHm6Pa/4F4o2QKvPCPx9x4fm /xHqkhkR79LxJ EHzQ==—–END CERTIFICATE REQUEST—–

Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.

Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.

Пример 1

Проверим на примере. Настроим на одном из роутеров (IOS15) вход только по паролю, как не рекомендуется делать 🙂

IOS15(config)# service password-encryption - чтобы пароль в явном виде не отсвечивал в конфигурации
IOS15(config)# line vty 0 15
IOS15(config-line)# password 123Cisco
IOS15(config-line)# transport input telnet - SSH не настроен
IOS15(config-line)# login - требует предварительного ввода команды password, иначе ошибка

И подсоединяемся с компьютера через Telnet:

Специально сделал акцент что будет, если не задан пароль на enable. Это важный момент номер один, поэтому:

IOS15(config)# enable secret Cisco123

Проверяем подключение ещё раз:

Успешный вход, включаем ААА:

IOS15# config t
IOS15(config)# aaa new-model

И снова пробуем подсоединиться:

А у нас никакого юзернейма настроено не было.. Важный момент два. Поэтому нужно взять за правило — всегда настраивать пользователя и пароль для enable. Возможно на момент настройки это не имеет значения, но сильно поможет в будущем, возможно уже другому инженеру.

Пример 1.1

Возвращаемся в прошлый пример и посмотрим в конфигурации на линии VTY до включения ААА:

!
line con 0
line aux 0
line vty 0 4password 7 133416085A5E577E7E72logintransport input telnetline vty 5 15password 7 142613115D56797F717Elogintransport input telnet!

Теперь после включения ААА:

!line con 0line aux 0line vty 0 4password 7 133416085A5E577E7E72transport input telnetline vty 5 15password 7 142613115D56797F717Etransport input telnet!

Команда login, разрешающая вход по паролю на линиях VTY, волшебным образом исчезла. Попробуем её ввести:

IOS15(config)# line vty 0 15
IOS15(config-line)# login
% Incomplete command.

Просто login уже не вводится. Почему так происходит? Потому что после включения ААА работают команды только ААА:

IOS15(config-line)# login ?
authentication  Authentication parameters.ctrlc-disable   Disable CONTROL-C during login.

Ожидается команда login authentication…Отключим ААА:

IOS15(config)# no aaa new-model
Changing configuration back to no aaa new-model is not supported.Continue?[confirm]
IOS15(config)#

Смотрим на линии VTY:

!line con 0line aux 0line vty 0 4password 7 133416085A5E577E7E72logintransport input telnetline vty 5 15password 7 142613115D56797F717Elogintransport input telnet!

Хотя IOS и обругалась, но login снова на своём месте. Обратное правило тоже действует: если были настроены команды ААА, потом ААА отключен — все настроенные команды ААА исчезнут из конфигурации, заново включаем ААА — все команды опять появятся в конфигурации.

Пример 1.2

Теперь восстановим дефолтную конфигурацию, а затем настроим пользователя в локальной базе и вход через SSH (если кто-то затрудняется, то подробно шаги расписаны тут). Попробуем подсоединиться, вход успешный:

Сразу закидывает на 15 уровень, так как добавили при настройке пользователя  параметр privelege 15. Проверяем линии VTY:

!line con 0line aux 0line vty 0 4login localtransport input sshline vty 5 15login localtransport input ssh!

Включаем ААА, пробуем подсоединиться, вход опять успешный:

Но подключение происходит уже на уровень 1 и требуется ввод команды enable, так как в рамках ААА нет никакой информации об уровне прав (авторизации). Пишем команду enable, вводим пароль от enable, попадаем на 15 уровень. Если пароль на enable не был настроен, то ошибка:

Опять проверяем линии VTY:

!line con 0line aux 0line vty 0 4transport input sshline vty 5 15transport input ssh!

Выключаем ААА, пробуем подсоединиться, вход успешный, сразу попадаем на 15 уровень, login local, разрешающий вход  с помощью локальной базы, на месте.

Вот примерно такая логика работы, когда включаешь и отключаешь ААА: без ААА один набор команд, с ААА уже другой.

Пример 2

Допустим, была настроена команда aaa authentication login с опцией default, команда автоматически применилась ко всем линиям, затем вводится команда aaa authentication login с именованным списком list1 и затем уже list1 вручную применяется только к линии консоли.

Пример 2.1

Соответственно получаем следующее:

IOS15(config)# line vty 0 4 
IOS15(config-line)# no authentication login

Эта команда работает только в 12 версии IOS, в 15.6 такой команды нет.

Про сертификаты:  Известь комовая негашеная. Купить от 4600 руб/тн. ГОСТ.

 Команда успешно отрабатывает и в 12, и в 15 IOS:

IOS15(config)# line vty 0 4 
IOS15(config-line)# login authentication default
AAA: Warning authentication list "default" is not defined for LOGIN. 

Такое предупреждающее сообщение появится, если метод default не задан в конфигурации, но list-name всё равно уберётся.

Пример 3

Методы аутентификации практически никогда не настраиваются по одному. Допустим введена команда:

Router(config)# aaa authentication login default group radius

И RADIUS-сервер не отвечает на запросы (выключен, сломан), тогда аутентификация закончится ошибкой и инженер не сможет попасть на сетевое устройство.

Обычно понять что ААА-сервер недоступен можно по долгому подвисанию консоли после ввода пароля. В этот момент IOS пытается достучаться до ААА-сервера, затем по тайм-ауту переключается на следующий метод аутентификации (если он настроен).

Пример 3.1

Настроим команды:

IOS15(config)# aaa authentication login default none
IOS15(config)# aaa authentication enable default none

И попробуем подсоединиться:

Залетает мухой без вопросов о паролях.

Пример 4

В прошлом примере мы аутентификацию ААА настроили, а до настройки авторизации ещё не доехали, поэтому продолжая прошлый пример просто смотрим:

Любой пользователь попадает на уровень 1 и для получения прав должен использовать команду enable. Таким образом нет разделения пользователей по правам, поэтому команда aaa authorization обязательна для использования.

Пример 5

Сотрудники 1 линии жалуются что вход на сетевое устройство срабатывает через раз. Пропинговав ААА-сервер с сетевого устройства, инженер замечает 5% потерю пакетов пинга. Далее он изучает конфигурацию сетевого устройства и обнаруживает:

!radius server RAD1 retransmit 1..

Инженер вносит изменения:

Router(config)# radius server RAD1
IOS15(config-radius-server)# retransmit ?
<0-100> Number of retries to this server

Router(config-radius-server)# retransmit 5

После чего процесс входа работает немного дольше чем обычно, но стабильно. А дальше разбираться откуда потери и как их устранить. Вопрос с подключением при этом уже решён.

Пример 7

Настроим максимальное количество попыток входа:

IOS15(config)# aaa local authentication attempts max-fail 2

Заведём пользователя:

Проверка своих сервисов

Операторам серверных обработчиков и клиентских приложений рекомендуется проверить свою цепочку сертификатов на наличие устаревшего корневого сертификата AddTrust.

По сути, нужно просто удалить AddTrust External CA Root из цепочки доверия.

Для серверных операторов есть сервис What’s My Chain Cert?, который выполняет такую проверку и помогает сгенерировать новую цепочку доверия со всеми необходимыми промежуточными сертификатами. В эту цепочку необязательно включать корневой сертификат, поскольку он уже есть в хранилище у всех клиентов. Кроме того, включать его в цепочку просто неэффективно из-за увеличения размера рукопожатия SSL.

Процесс выдачи сертификатов ov

После получения запроса на выпуск сертификата с проверкой организации центр сертификации производит проверку, реально ли существует такая организация, как указано в CSR и принадлежит ли ей указанный домен.

Сертификаты c поддержкой idn

Как правило, не у всех центров сертификации указана эта опция в описании сертификата, но не все сертификаты поддерживаются работу с IDN доменами. Поэтому я просто приведу здесь список сертификатов, у которых есть такая поддержка:

Сертификаты с валидацией организации.


В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.

Сертификаты с расширенной проверкой.

Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат.

Вот как это выглядит на сайте у Thawte.
GitHub - oddzero/AAA-Certificate-Services

Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.

SSL cертификаты с расширенной проверкой (EV) выпускаются только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен плюс центр сертификации выполняет тщательную проверку самой организации.

Процесс выпуска сертификатов EV стандартизирован и должен строго соотвествовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:

  1. Должен проверить правовую, физическую и операционную деятельности субъекта.
  2. Должен убедиться, что организация соответствует официальным документам.
  3. Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
  4. Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.

Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.

EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.

Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.

Сертификаты, подтверждающие только домен


Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально.

При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.

Сразу с позитивного и очевидного

Сами по себе экзамены и сертификаты не несут в себе ничего отрицательного, негативные моменты будут рассмотрены ниже, начнем с позитивных и очевидных:

Тестовая среда

Как всегда используем EVE-NG и возьмем 2 роутера с разными версиями IOS, так как команды отличаются:

  • Version 12.4(15)T14;
  • Version 15.6(2)T

Ну и собственно на этих роутерах будем проверять всякие мульки из теории. И еще буду использовать вывод с устройства без привязки к данной схеме, допустим для разбора общего вида команды на устройстве, тогда в выводе будет просто Router.

Типы сертификатов по типу валидации

Разберемся с ними по порядку:

Указание aaa-серверов

Указание ААА сервера на сетевом устройстве зависит от версии IOS.

IOS12(config)# radius-server hostIP key key [ auth-port { 0 - 65536 } acct-port { 0 - 65536 } ] 
IOS15(config)# radius server name
IOS15(config-radius-server)# address { ipv4 | ipv6 } { IP | hostname } [ auth-port { 0 - 65536 } acct-port { 0 - 65536 } ]  
IOS15(config-radius-server)# key password
  • Пароль нужен для инициализации сессии между сетевым устройством и сервером, сетевое устройство посредством пароля подтверждает серверу свою подлинность;
  • Порт для аутентификации на сервере auth-port, порт для аккаунтинга acct-port;
  • Если используется параметр hostname, то он должен быть ранее задан в конфигурации как:
Router(config)# ip host hostname IP

Или же должен быть разрешим  в IP адрес через DNS.

  • Если порты для сервера не заданы вручную, то по умолчанию используются 1645/1646.

Группа серверов задаётся командой для IOS 12:

IOS12(config)# aaa group server radius group-name
IOS12(config-sg-radius)# server { IP1 | hostname1 } 
IOS12(config-sg-radius)# server { IP1 | hostname1 }

Для IOS 15:

IOS15(config)# aaa group server radius group-name IOS15(config-sg-radius)# server { IP1 | hostname1 | name1 }
IOS15(config-sg-radius)# server { IP1 | hostname1 | name2 }
...

Везде вместо параметра radius/radius-server может использоваться параметр tacacs /tacacs -server.

Опять про оптимальный код. Если в конфигурации задан 1 AAA-сервер, то не надо использовать group-name. Это упрощает читаемость конфигурации и логику работы устройства.

Есть ещё 2 важных дополнительных параметра с помощью которых можно управлять процессом обращения к ААА-серверу:

  • timeout — time interval (in seconds) that the router waits for the RADIUS server to reply before retransmitting (defautl 1 sec);
  • retransmit — number of times a RADIUS request is re-sent to a server, if that server is not responding or responding slowly (default 3).

Чем эти команды могут помочь? При плохой или медленной линии связи между сетевым устройством и ААА-сервером увеличение данных параметров сделает процесс входа на сетевое устройство более устойчивым. Данные команды вводятся непосредственно при настройке ААА-сервера для IOS 12; непосредственно при настройке ААА-сервера либо глобально для IOS 15.

Чем еще отличаются сертификаты между собой

  • Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего с EV валидацией, от 7 рабочих дней.
  • Количество перевыпусков сертификата — у большинства центров сертификации неограниченно. Требуется, если допустили ошибку в данных об организации.
  • Гарантия — для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрауда и потеряет деньги, то центр сертификации обязуется их ему компенсировать до суммы указанной в гарантии. То есть центр сертификации как бы дает гарантию на свои сертификаты и что их невозможно установить на «левый» домен. На практике такие случае мне не известны поэтому на этот параметр можно не обращать внимание.
  • Бесплатный тестовый период — из платных сертификатов есть у symantec secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Также можете для тестов использовать бесплатные сертификаты: StartSSL™ Free
  • Возврат средств — есть почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода moneyback
Оцените статью
Мой сертификат
Добавить комментарий