Einheitlicher MID Server-Schlüsselspeicher

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Der einheitliche MID Server-Schlüsselspeicher ermöglicht allen Produkten auf dem MID Server die Verwendung gemeinsamer Zertifikate und Schlüsselpaare. Mit dieser Funktion können Anwendungen denselben sicheren Kommunikationskanal zum MID Server verwenden, den der MID Server für die Verbindung mit der Instanz verwendet.

    Setup-Indikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Wenn der MID Server gestartet wird, wird der allgemeine Name (CN) des Zertifikats überprüft, um festzustellen, ob ein benutzerdefiniertes Zertifikat installiert wurde. Wenn ein benutzerdefiniertes Zertifikat erkannt wird, wird die Erstellung des Zertifikats/Schlüsselpaars übersprungen, und im Datensatz „ecc_agent“ wird ein Attribut festgelegt, das die Verwendung eines benutzerdefinierten Zertifikats angibt.

    Wenn ein benutzerdefiniertes Zertifikat verwendet wird, ist die UI-Aktion „ Schlüssel erneut eingeben“ in der Instanz für den MID Server deaktiviert. Eine neue UI-Aktion namens Benutzerdefiniertes Schlüsselpaar entfernen ist verfügbar, um wieder zur Verwendung eines selbstsignierten Zertifikats zu wechseln. Bei Verwendung dieser Aktion entfernt der MID Server das benutzerdefinierte Zertifikat und generiert ein neues selbstsigniertes Zertifikat, ähnlich der Option zum erneuten Schlüssel.

    Wenn ein MID aktualisiert wird, werden alle installierten benutzerdefinierten Zertifikate beibehalten.

    Unterstützung für PEM-Pakete

    Der einheitliche MID Server-Schlüsselspeicher unterstützt PEM-Paketzertifikate und -Schlüsselpaare.

    Beispiel für ein PEM-Bundle

    -----BEGIN PRIVATE KEY----- 

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9 

... 

oPdU+h0grs9SJp6rFx0PzDY= 

-----END PRIVATE KEY----- 

Bag Attributes 

    friendlyName: <myCustomCert>

    localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31  

subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

-----BEGIN CERTIFICATE----- 

MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV 

... 

4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs= 

-----END CERTIFICATE-----

    Installieren Sie benutzerdefinierte Zertifikate im einheitlichen Schlüsselspeicher des MID Servers

    Installieren Sie benutzerdefinierte Zertifikate, um die Sicherheitskanäle für verschiedene Anwendungen zu vereinheitlichen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Bei der Installation des Zertifikats auf einem unter Linux gehosteten MID Server reagiert install-certificate.sh möglicherweise nicht, wenn die Anzahl der Linux-Entropiepools weniger als einige hundert beträgt. Überprüfen Sie die Entropieanzahl des Linux-Pseudo-Zufallszahlengenerators (PRNG) mit dem folgenden Befehl: 
    cat /proc/sys/kernel/random/entropy_avail
    Wenn die Entropieanzahl zu niedrig ist, können Sie einen Entropiegenerator wie RNGD oder Hatged installieren. Weitere Informationen zur Installation von Haben für CentOS und Ubuntu finden Sie unter So richten Sie zusätzliche Entropie für Cloud-Server mit Haben ein.

    Prozedur

    1. Wenn der MID Server ausgeführt wird, stoppen Sie den MID Server.
      Hinweis:

      Wenn der Eintrag für den Alias DefaultSecurityKeyPairHandle geändert wird, müssen Sie den MID Server für ungültig erklären, bevor Sie ihn anhalten.

    2. Erstellen Sie ein PEM-Bundle-Zertifikat und -Schlüsselpaar, indem Sie im MID Server-Installationsordner einen der folgenden Befehle ausführen.
      • Generieren Sie mit dem folgenden Befehl selbstsignierte Zertifikate für Nicht-MTLS-Anwendungsfälle: 
        openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
      • Exportieren Sie den Schlüsselspeicher mit dem folgenden Befehl in ein PEM-Bundle:
        openssl pkcs12 -in <myCustomCert>.p12 -nodes -out <myCustomCert>.pem
      • Rufen Sie mit dem folgenden Befehl nur Zertifikate im PEM-Format ab: 
        openssl pkcs12 -in <myCustomCert>.p12 -out <myCustomCert>.pem -clcerts -nokeys
      • Rufen Sie mit dem folgenden Befehl nur Schlüssel im PKCS#8-Format ab:
        openssl pkcs12 -in <myCustomKey>.p12 -out <myPrivateKey>.key -nocerts -nodes
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Windows-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.bat -a <alias> <file path to PEM bundle>
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Linux-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.sh -a <alias> <file path to PEM bundle>
      Hinweis:

      Die Kopf- und Fußzeile der PEM-Syntax müssen wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----
    3. Starten Sie den MID Server.
    4. Validieren Sie den MID Server mit der Instanz.
    5. Wahlweise: Um den MID Server so zurückzusetzen, dass er ein selbst generiertes Zertifikat verwendet, wählen Sie den MID Server in der -Instanz aus und verwenden Sie die UI-Aktion Benutzerdefiniertes Zertifikat entfernen.
      Hinweis:
      Der MID Server kann auch mithilfe der UI -Aktion Ungültig machen zurückgesetzt werden. Wenn Sie einen MID Server für ungültig erklären, werden alle installierten benutzerdefinierten Zertifikate entfernt und ein neues selbstsigniertes Zertifikat für den MID Server erstellt.

    Nächste Maßnahme

    manage-certificates hat die folgenden Funktionen, und die Skripts müssen aus dem Agent-Ordner ausgeführt werden.
    Gegenseitige Authentifizierung aktivieren​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -m.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m.

    Gegenseitige Authentifizierung entfernen und Standardauthentifizierung wiederherstellen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -b <myUserName myPassword>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>.

    Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -a <alias> <fileName>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>.

    Der Alias ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID Server erfordert ein benutzerdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen defaultsecuritykeypairhandle. Um die MTLS-Kommunikation zwischen dem MID Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mit dem Aliasnamen defaultsecuritykeypairhandle hinzugefügt werden.

    fileName ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Bundle kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Kopf- und Fußzeile jedes PEM-Zertifikats muss wie folgt lauten:

     -----BEGIN CERTIFICATE----- 
     -----END CERTIFICATE-----

    Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

     -----BEGIN PRIVATE KEY----- 
     -----END PRIVATE KEY-----

    Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen diese entsprechend geordnet sein: untergeordnetes Zertifikat, Zwischenzertifikate, dann Stammzertifikate.

    Zertifikatdetails für den angegebenen Alias anzeigen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -g <alias>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

    Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum aus dem Zertifikat an.

    Alle vorhandenen Aliasse auflisten

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -l.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l.

    Dieser Befehl listet alle Aliasnamen auf, die in agent_keystore verfügbar sind.

    Zertifikate mit einem Alias löschen​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -d <alias>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>.

    Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für Alias DefaultSecurityKeyPairHandle kann mit diesem Befehl gelöscht werden.

    Alle Einträge aus dem Schlüsselspeicher entfernen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -r ​

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

    Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    Stellen Sie den MID Server-Schlüsselspeicher mit einer Sicherung wieder her

    Wenn der Schlüsselspeicher beschädigt oder versehentlich gelöscht wird, können Sie eine Sicherung des MID Server-Schlüsselspeichers wiederherstellen. Dies ist besonders nützlich für Schlüsselspeicher mit benutzerdefinierten Schlüsselpaaren, da andernfalls die Neuerstellung benutzerdefinierter Schlüsselpaardaten schwierig und zeitaufwändig sein kann.

    Vorbereitungen

    Erforderliche Rolle: Agent admin

    Warum und wann dieser Vorgang ausgeführt wird

    Ab Release Tokyo erstellt der MID Server automatisch eine Sicherung der Datei agent_keystore, wenn sie geändert wird. Sicherungen werden in security_back unter dem Agent-Ordner gespeichert. Sie werden außerhalb des Sicherheitsordners gespeichert, um den Sicherheitsordner vor versehentlichen Löschungen oder Beschädigungen zu schützen.

    Im Sicherungsordner befindet sich eine dedizierte Sicherungsprotokolldatei: keystore_backup_audit_trail.log. In diesem Protokoll werden Sicherungsdateien und Sicherungsaktivitäten nachverfolgt. Jeder Sicherungsprotokolleintrag verfügt über einen Sicherungsdateinamen mit Zeitstempel, eine übereinstimmende keypairs.mid_idund eine Liste von Aliassen von Schlüsselpaaren in der Sicherung.

    Hinweis:
    Aus Sicherheitsgründen sollte der Sicherungsschlüsselspeicher dieselben Attribute wie der ursprüngliche Schlüsselspeicher aufweisen, z. B. Besitzer, Gruppe und Berechtigungen. Diese Attribute stellen sicher, dass der MID Server auf Dateisystemebene denselben Schutz bietet.

    Die Schlüsselspeichersicherungen können mit den MID Server-Eigenschaften mid.keystore.max_backups, mid.keystore.max_live_backupsund mid.keystore.backup_overwrite_timespan geändertwerden. Weitere Informationen finden Sie unter MID Server-Eigenschaften.

    Prozedur

    1. Stoppen Sie den MID-Server.
    2. Navigieren Sie zu security_backup, und zeigen Sie keystore_backup_audit_trail.log an, um auszuwählen, welche Sicherung wiederhergestellt werden soll.
    3. Kopieren Sie diese Sicherung in die Datei agent_keystore im Sicherheitsordner.
      Überprüfen Sie die Dateiberechtigungen, um sicherzustellen, dass sie denselben Besitzer und dieselben Berechtigungen wie die ursprüngliche Datei hat. Wenn agent_keystore an diesem Speicherort bereits vorhanden ist, überschreiben Sie ihn mit der Sicherung.
    4. Überprüfen Sie config.xml, um sicherzustellen, dass die keypairs.mid_id mit der in der Audit-Protokolldatei übereinstimmt.
    5. Wahlweise: Wenn keypairs.mid_id nicht übereinstimmen, aktualisieren Sie config.xml, damit sie übereinstimmen.
    6. Navigieren Sie zur Instanz, und machen Sie den MID-Server für ungültig.
      Dadurch wird ein Systembefehl delete_mid_keypair in ecc_queue erstellt.
    7. Suchen Sie alle delete_mid_keypair- Ausgabenachrichten für den MID Server, und markieren Sie sie als verarbeitet.
      Das Ziel besteht darin, den MID Server als ungültig zu markieren, ohne die Löschung des Schlüsselpaars auszulösen. Sofern die Systembefehle nicht als verarbeitet markiert sind, löscht MID Server das Schlüsselpaar defaultsecuritykeypairhandle, unabhängig davon, ob es benutzerdefiniert oder automatisch generiert wurde.
    8. Starten Sie den MID-Server neu.
    9. Navigieren Sie zur Instanz, und validieren Sie den MID Server.