Làm cách nào để giải quyết vấn đề gà hoặc trứng với chứng chỉ TLS của máy khách trên máy chủ vật lý?

Arseni Mourzenko

19:30, 14/01/2023

Tôi không hiểu làm thế nào để giải quyết vấn đề con gà hay quả trứng khi tự động cài đặt máy chủ.

Tôi có một loạt máy chủ có thể được xây dựng lại thông qua PXE. Khi một máy đang được xây dựng lại, nó sẽ tải tất cả các cài đặt mà nó cần—bao gồm cả chứng chỉ riêng mà nó sẽ sử dụng để tự xác thực khi sử dụng các dịch vụ khác nhau sau này—từ một máy chủ Apache. Máy chủ Apache này xác định các máy khách theo địa chỉ IP của chúng để cung cấp cho chúng cấu hình hoặc chứng chỉ dành cho một máy chủ nhất định hoặc từ chối cung cấp nó.

Tuy nhiên, địa chỉ IP của khách hàng có thể bị giả mạo. Tương tự đối với địa chỉ MAC, nếu tại một thời điểm nào đó, tôi cũng thêm loại xác minh này.

Để lấy cấu hình và chứng chỉ riêng của nó một cách an toàn, do đó, máy khởi động qua PXE phải có sẵn chứng chỉ mà nó có thể sử dụng khi giao tiếp với máy chủ Apache. Tuy nhiên, điều này có vẻ không khả thi vì máy khởi động từ PXE hoặc là máy mới hoặc sẽ định dạng đĩa của nó trong quá trình cài đặt.

Tui bỏ lỡ điều gì vậy? Làm cách nào tôi có thể xác định một máy hoàn toàn mới mà không có nguy cơ giả mạo?

Tôi có nên sử dụng khóa USB luôn được kết nối có chứa khóa riêng không? Hoặc có những lựa chọn khác?

115

0 + 0

chia sẻ màn hình

chứng chỉ ssl

khởi động pxe

NiKiZe

21:29, 14/01/2023

Các phần riêng tư của chứng chỉ không bao giờ được chuyển qua dây ngay từ đầu. TPM có thể được sử dụng để tạo lại khóa riêng một cách đáng tin cậy, khóa này sau đó sẽ tạo khóa chung, khóa này sau đó có thể được sử dụng để tạo chứng chỉ.

Hồi đáp

Arseni Mourzenko

21:41, 14/01/2023

@NiKiZe: Tôi không chắc nó hoạt động như thế nào. Hãy tưởng tượng tôi có một máy mới, không có hệ điều hành được cài đặt. Làm cách nào để đặt chứng chỉ trong TPM ngay từ đầu? Ý bạn là gì khi TPM có thể tạo lại khóa riêng? Làm thế nào để nó biết bất cứ điều gì về CA?

Hồi đáp

NiKiZe

22:01, 14/01/2023

Ngay từ đầu, bạn không đặt nhiều vào nó, bạn kích hoạt nó và nó cung cấp cho bạn một đốm màu vĩnh viễn ngẫu nhiên - miễn là không có gì thay đổi trong quá trình khởi động, nếu có, thì phím cũng thay đổi.

Hồi đáp

Điểm:2

Server

natxo asenjo

21:52, 14/01/2023

Chúng tôi sử dụng của quản đốc plugin ổ đĩa khởi động vì mục đích này. Tôi không ám chỉ đó là cách chính xác hay duy nhất, đó là cách chúng tôi sử dụng thành công.

Mỗi khi một máy chủ lưu trữ cần được (cung cấp) lại, một mã thông báo tồn tại trong thời gian ngắn sẽ được tạo và nó được lưu trên cơ sở dữ liệu cùng với máy chủ lưu trữ. Mã thông báo này đi vào tệp iso với tệp nhị phân ipxe và tập lệnh chỉ tải xuống tệp kicstart từ máy chủ cung cấp nếu nó cung cấp đúng mã thông báo làm mã định danh. Sau khi máy chủ được cung cấp, mã thông báo sẽ bị xóa. Sau một thời gian cụ thể (có thể điều chỉnh được, mặc định ngoài ý muốn của tôi là 60 phút), mã thông báo sẽ bị vô hiệu.

Điều này hoạt động với cả bios dưới dạng chương trình cơ sở uefi và không cần pxe, chỉ cần http (s) để bạn thực sự có thể triển khai internet với một vài sửa đổi (tiện dụng để triển khai phần cứng ở các địa điểm từ xa).

0 + 0

Arseni Mourzenko

21:59, 14/01/2023

Nếu tin tặc có được mã thông báo *ngay trước khi* máy chủ đang được cung cấp thực hiện, thì tin tặc sẽ có quyền truy cập vào tài nguyên, nhưng trong khi thực hiện, việc cung cấp sẽ không thành công và quản trị viên hệ thống sẽ được cảnh báo rằng có điều gì đó khó chịu có thể đang xảy ra. Có ý nghĩa, thực sự.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to solve chicken or the egg issue with client TLS certificates on a physical host?

TH: จะแก้ปัญหาไก่หรือไข่ด้วยใบรับรอง TLS ของลูกค้าบนโฮสต์จริงได้อย่างไร

RO: Cum se rezolvă problema cu puiul sau ouăle cu certificatele TLS ale clientului pe o gazdă fizică?

RU: Как решить проблему курицы или яйца с клиентскими сертификатами TLS на физическом хосте?

VI: Làm cách nào để giải quyết vấn đề gà hoặc trứng với chứng chỉ TLS của máy khách trên máy chủ vật lý?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.