Usługa Rublon Authentication Proxy służy za pomost pomiędzy Twoimi usługami zintegrowanymi z platformą Rublon a samą platformą. Aby zapewnić bezpieczną komunikację LDAPS, usługa Auth Proxy używa certyfikatów SSL/TLS do szyfrowania danych i weryfikacji tożsamości. Ten przewodnik wyjaśnia, jak skonfigurować certyfikaty w pliku konfiguracyjnym usługi Rublon Authentication Proxy dla protokołu LDAPS, opisuje najlepsze praktyki i wyjaśnia często zadawane pytania dotyczące użycia certyfikatów.
Zrozumienie roli certyfikatów w usłudze Rublon Authentication Proxy
Usługa Rublon Authentication Proxy używa certyfikatów w następujących dwóch kontekstach:
Dla połączeń LDAP przez SSL/TLS (LDAPS): Kiedy usługa Rublon Authentication Proxy łączy się z Twoim serwerem LDAP/Active Directory (AD) przez protokół LDAPS, musi zaufać certyfikatowi serwera LDAP.
Dla klientów łączących się z usługą Rublon Authentication Proxy: Aplikacje (np. VPN), które łączą się z usługą Rublon Authentication Proxy, muszą zaufać certyfikatowi usługi Auth Proxy podczas korzystania z bezpiecznych protokołów, takich jak LDAPS.
Zrozumienie relacji zaufania
Aplikacje klienckie ufające certyfikatowi usługi Rublon Authentication Proxy:
Aplikacje (np. VPN-y, firewalle), które łączą się z usługą Rublon Authentication Proxy, muszą zaufać certyfikatowi prezentowanemu przez usługę Auth Proxy.
Jeśli używasz samopodpisanego certyfikatu dla usługi Rublon Authentication Proxy, będzie konieczne dodanie tego certyfikatu do zaufanego magazynu („trusted store”) każdej aplikacji.
Usługa Rublon Authentication Proxy ufająca certyfikatowi serwera LDAP/AD:
Usługa Rublon Authentication Proxy musi zaufać certyfikatowi serwera LDAP/AD podczas łączenia się przez protokół LDAPS.
Domyślnie Rublon Authentication Proxy zaakceptuje dowolny certyfikat z serwera LDAP. Umieszczając certyfikat serwera LDAP w katalogu określonym przez parametr ca_certs_dir_path, możesz zawęzić listę serwerów, z którymi Rublon Authentication Proxy może nawiązać zaufane połączenie.
Przykładowy scenariusz
Certyfikat 1 (Certyfikat usługi Rublon Authentication Proxy):
Jest to certyfikat powiązany z usługą Rublon Authentication Proxy.
Zintegrowane aplikacje ufają temu certyfikatowi poprzez dodanie go do swojego magazynu zaufanych certyfikatów.
Ścieżkę do tego certyfikatu określa parametr cert_path w pliku konfiguracyjnym usługi Auth Proxy.
Zalecamy użycie certyfikatu wydanego przez urząd certyfikacji (CA), które ufają zintegrowane aplikacje klienckie (np. VPN, firewalle). Ten CA nie musi koniecznie być CA serwera LDAP. Użycie certyfikatu od zaufanego wewnętrznego CA lub znanego zewnętrznego CA może uprościć relację zaufania dla klientów łączących się z usługą Rublon Authentication Proxy.
Certyfikat 2 (Certyfikat serwera LDAP):
Jest to certyfikat powiązany z serwerem LDAP.
Ten certyfikat jest umieszczony w katalogu określonym przez parametr ca_certs_dir_path w pliku konfiguracyjnym usługi Auth Proxy. Podczas bezpiecznego łączenia się przez protokół LDAPS, istnienie tego certyfikatu informuje usługę Auth Proxy, że połączenie jest zaufane.
Zalecamy, aby ten certyfikat został wygenerowany przez urząd certyfikacji (CA) serwera LDAP. Nie jest to jednak wymagane i w niektórych przypadkach może wystarczyć certyfikat samopodpisany.
Parametry certyfikatów w pliku konfiguracyjnym usługi Rublon Authentication Proxy
W pliku config.yaml usługi Rublon Authentication Proxy znajdziesz następujące parametry związane z certyfikatami:
W sekcji proxy_servers:
cert_path: Ścieżka do pliku certyfikatu SSL/TLS, który usługa Rublon Authentication Proxy przedstawia klientom.
pkey_path: Ścieżka do pliku klucza prywatnego powiązanego z certyfikatem cert_path.
pkey_password: Hasło do pliku klucza prywatnego. Jeśli klucz nie jest chroniony hasłem, możesz usunąć to pole.
W sekcji auth_sources:
ca_certs_dir_path: Ścieżka do katalogu, w którym przechowywane są certyfikaty, którym usługa Auth Proxy ufa podczas łączenia się z serwerami LDAP/Active Directory przez protokół LDAPS.
Konfigurowanie certyfikatu usługi Rublon Authentication Proxy
Użycie istniejącego certyfikatu
Jeśli już posiadasz certyfikat (np. certyfikat wydany przez CA Twojej organizacji lub prywatny certyfikat), możesz go użyć w usłudze Rublon Authentication Proxy.
Zapewnienie kompatybilności: Certyfikat powinien być w formacie PEM (.crt, .pem).
Klucz prywatny: Musisz mieć dostęp do powiązanego klucza prywatnego.
Konfiguracja: Zaktualizuj parametry cert_path, pkey_path i pkey_password w pliku konfiguracyjnym usługi Rublon Authentication Proxy.
Generowanie certyfikatu samopodpisanego dla usługi Rublon Authentication Proxy
Możesz użyć certyfikatu samopodpisanego („self-signed certificate”) dla usługi Rublon Authentication Proxy. Ten certyfikat będzie używany do zabezpieczenia komunikacji między usługą Rublon Authentication Proxy a aplikacjami, które się z nią łączą.
Kroki generowania certyfikatu samopodpisanego za pomocą bibliotek OpenSSL:
1. Wygeneruj klucz prywatny:
openssl genpkey -algorithm RSA -out private.key -aes256
To polecenie generuje klucz prywatny zaszyfrowany za pomocą algorytmu AES-256.
Pojawi się prośba o ustawienie hasła dla klucza prywatnego.
2. Wygeneruj Żądanie Podpisania Certyfikatu (CSR):
openssl req -new -key private.key -out request.csr
Pojawi się prośba o podanie informacji takich jak kraj, stan, organizacja, itp.
3. Wygeneruj certyfikat samopodpisany:
openssl x509 -req -in request.csr -signkey private.key -out certificate.crt
To polecenie tworzy certyfikat samopodpisany ważny przez domyślny okres (zwykle 30 dni). Możesz dodać -days 365, aby przedłużyć okres ważności.
4. Zaktualizuj plik konfiguracyjny usługi Rublon Authentication Proxy:
proxy_servers: - name: LDAP-Proxy type: LDAP ip: 192.0.2.1 port: 636 auth_source: LDAP_SOURCE_1 auth_method: email cert_path: /path/to/certificate.crt pkey_path: /path/to/private.key pkey_password: YOUR_PRIVATE_KEY_PASSWORD
Zamień ścieżki na rzeczywiste lokalizacje Twojego certyfikatu i klucza prywatnego.
Jeśli Twój klucz prywatny nie jest chroniony hasłem, możesz usunąć pole pkey_password.
Konfigurowanie certyfikatu serwera LDAP/AD dla Auth Proxy
Kiedy usługa Rublon Authentication Proxy łączy się z Twoim serwerem LDAP/AD przez protokół LDAPS, musi zaufać certyfikatowi SSL/TLS serwera. Oto jak konfiguracja certyfikatu dla usługi Auth Proxy:
1. Wyeksportuj certyfikat serwera LDAP. Jeśli jest to certyfikat samopodpisany lub wydany przez wewnętrzny CA, będziesz konieczne wyeksportowanie go ręcznie.
2. Utwórz katalog do przechowywania zaufanych certyfikatów CA (jeśli jeszcze nie istnieje) i skopiuj certyfikat serwera LDAP do tego katalogu.
3. Zaktualizuj konfigurację usługi Rublon Authentication Proxy, dodając ścieżką do certyfikatu:
auth_sources: - name: LDAP_SOURCE_1 type: LDAP ip: 192.0.2.1 port: 636 transport_type: plain search_dn: access_user_dn: access_user_password: ca_certs_dir_path: /path/to/ca_certs
Ustaw ścieżkę ca_certs_dir_path, aby prowadziła do katalogu zawierającego certyfikat serwera LDAP.
Najlepsze praktyki dotyczące certyfikatów usługi Rublon Authentication Proxy
Używaj silnego szyfrowania: Podczas generowania kluczy i certyfikatów używaj silnych algorytmów, takich jak RSA z kluczami o długości co najmniej 2048 bitów.
Zabezpiecz klucze prywatne: Chroń swoje klucze prywatne silnymi hasłami i bezpiecznymi uprawnieniami do plików.
Ważność certyfikatu: Ustaw odpowiedni okres ważności dla swoich certyfikatów i wprowadź procedurę ich odnawiania przed wygaśnięciem.
Łańcuchy zaufania: Jeśli Twoje certyfikaty zostały wydane przez CA, upewnij się, że zostały uwzględnione wszystkie certyfikaty pośrednie.
Spójne nazewnictwo: Używaj spójnych i opisowych nazw plików dla certyfikatów i kluczy, aby uniknąć zamieszania.
Uprawnienia: Ustaw odpowiednie uprawnienia do plików certyfikatów i kluczy, aby tylko niezbędne usługi i administratorzy mieli do nich dostęp.
Kopie zapasowe certyfikatów i kluczy: Przechowuj bezpieczne kopie zapasowe swoich certyfikatów i kluczy na wypadek awarii serwera lub utraty danych.
Często zadawane pytania
Czy certyfikaty muszą być wydane przez zaufany urząd certyfikacji (CA)?
Nie, certyfikaty mogą być samopodpisane. Konieczne jest jednak wtedy upewnienie się, że wszelkie aplikacje zintegrowane z usługą Rublon Authentication Proxy ufają samopodpisanemu certyfikatowi. Można to zrobić poprzez dodanie takiego certyfikatu do magazynu zaufanych certyfikatów tych aplikacji. Musisz także upewnić się, że ścieżki do certyfikatów są poprawnie dodane w pliku konfiguracyjnym usługi Rublon Authentication Proxy zgodnie z instrukcjami z tego przewodnika.
Czy mogę użyć certyfikatu wydanego przez CA mojego serwera LDAP/AD?
Tak, możesz użyć w usłudze Rublon Authentication Proxy certyfikatu wydanego przez CA Twojego serwera LDAP/AD. Upewnij się, że klienci łączący się z usługą Rublon Authentication Proxy ufają temu certyfikatowi.
Jaka jest różnica między cert_path a ca_certs_dir_path?
cert_path: Wskazuje plik certyfikatu, który usługa Rublon Authentication Proxy przedstawia łączącym się z nią zintegrowanym aplikacjom.
ca_certs_dir_path: Wskazuje katalog zawierający certyfikaty, którym usługa Rublon Authentication Proxy ma ufać podczas łączenia się z zewnętrznymi usługami, takimi jak serwery LDAP/AD, przez protokół LDAPS.
Jak upewnić się, że usługa Rublon Authentication Proxy ufa certyfikatowi mojego serwera LDAP/AD?
Domyślnie akceptowane są wszystkie certyfikaty (w tym certyfikaty samopodpisane). Jeśli chcesz ograniczyć serwery akceptowane przez Auth Proxy, umieść jeden lub więcej certyfikatów serwerów LDAP/AD w katalogu określonym przez parametr ca_certs_dir_path. Dzięki temu Rublon Authentication Proxy może zaufać i ustanowić bezpieczne połączenie tylko z tymi serwerami LDAP/AD i odrzucić wszystkie inne serwery.
Przydatne linki
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł