لینک Https
سلام
من بین دو تا سرور که با پروتکول HTTP دارن یه سرویسی رو از همدیگه فراخوانی میکنن میخوام ارتباط رو امن کنم و از پروتکول HTTPS استفاده کنم. این دو سرور با آی پی استاتیک همدیگر رو میبینن. باید SSL Certificate بخرم؟ اسم این نوع Certificate چیه؟ کسی از اساتید میتونه کمکم کنه؟؟
7 پاسخ
لینک بین دو سرور تانل هستش. ولی اگه بخوایم از self sign certificate استفاده کنیم ممکنه خطرناک باشه. (حمله مرد میانی).
لینک بین دو سرور چیه ؟ قاعدتا میشه با self signed certificate هم کار کرد .
ببینید لینک ، یه لینک اینترانتی هست که فقط سازمانهای مجاز بهشون آی پی داده شده. تانل بین روتر ها اتفاق افتاده و ما روی فایروال dell فقط یک آی پی داریم که به عنوان wan interface قرار داده شده.
اول اینکه من اگر بخوام self sign راه اندازی کنم چطوری باید این کار رو انجام بدم؟
الزامی به خرید certificate معتبر نیست. بستگی به تنظیمات دو سرور دارد و نرم افزاری که استفاده میشه.
من اگر بخوام certificate معتبر بخرم باید چه کار کنم؟ دو طرف از iis استفاده میکنن که به sql وصل هستش. میشه راهنمایی کنید لطفا؟؟
چند تا مطلب در مورد امضاهای دیجیتال بخونید متوجه میشید که نیازی به cert های تایید شده نیست
شما ارتباط ۲ روتر رو با ipsec برقرار کنید هیچ احدی نمیتونه اون ارتباط رو decrypt کنه
Cert ها صرفا public key شما رو میگیرند و روش امضای دیجیتال خودشونو میزنن که باعث بشه کسی که public key شما رو میگیره و استفاده میکنه بتونه واقعا تایید کنه که اون public key از طرف شخص شما اومده و کلکی در کار نیست
شما تو ipsec tunnel از pre shared key استفاده خواهید کرد که صرفا ۲ روتر ازش اطلاع خواهند داشت و بعد برقراری isakmp SA یا فاز اول کلید encryption ای مابین ۲ روتر با استفاده از Diffie hellman رد و بدل خواهد شد که در ادامه ارتباط که میشه فاز ۲ یا ipsec SA ، از اون کلید واسه encrypt و decrypt کردن داده ها استفاده میشه و با تنظیمات صحیح میتونید بگید پس از n دقیقه یا n مگابایت انتقال داده دوباره کلید تازه ای ساخته بشه و این کلید با تجهیزات فعلی و تکنولوژی فعلی غیر قابل شناسایی و decrypt هست
این روشی که بهتون توضیح دادم روش symmetric هست، تو روش asymmetric به جای استفاده از pre shared key برای رمزنگاری تونل فاز اول از کلید های نامتقارن public و private استفاده میشه و داخل این تونل دوباره با استفاده از diffie hellman کلیدی واسه encrypt ارتباط و تشکیل تونل دوم (فاز دوم) رد و بدل میشه
نتیجه گیری: از public key و private key تو روش asymmetric و از pre-shared key در روش symmetric صرفا جهت تشکیل تونل فاز اول استفاده میشه ، بعد تونل دوم میاد که دیگه تونل اول بی استفاده میشه (تونل اول صرفا واسه تبادل کلید تصادفی و غیر قابل رمزگشایی و توافق در مورد transform set ایجاد میشه و از فاز دوم دیگه عملا بلا استفاده میشه)
امیدوارم با این توضیحات متوجه قضیه شده باشید و نیازی به مطالعات بعدی و سردرگم کننده نباشه
خیالتون از بابت امنیت راحت باشه
Cert ها زمانی خوبه که شما تعداد زیادی روتر داشته باشید اونوقت نیاز به PKI و cert هست
تازه اون موقع هم یه سرور یا یه روتر نقش CA شخصی رو بازی میکنه که بازم self signed قابل اجرا هست
منظورم این بود که تانل رو با چی ساختید ؟ مثلا کریو خودش certificate میسازه ...
ربطی نداره ، certificate کار حودش رو درست انجام میده ! مسئله self signed اینه که همه جا از اول شناخته شده نیست ، مثلا کروم بهش ایراد میگیره ولی بعد که import اش کنید ، درست میشه .
اگر هم اصرار دارید که cert بخرید ، پارس پک میفروشه ، فقط احتمالا به نوع wilcard احتیاج دارید.
پ.ن :هنوز هم فکر نمی کنم از نظر فنی نیاز به cert بین المللی داشته باشید ، چون دو طرف سرورها مال خودتونه.