จะแก้ปัญหาไก่หรือไข่ด้วยใบรับรอง TLS ของลูกค้าบนโฮสต์จริงได้อย่างไร

Arseni Mourzenko

14/1/23 19:30

ฉันไม่เข้าใจวิธีแก้ปัญหาไก่หรือไข่เมื่อทำการติดตั้งเซิร์ฟเวอร์โดยอัตโนมัติ

ฉันมีเซิร์ฟเวอร์หลายชุดที่สามารถสร้างใหม่ได้ผ่าน PXE เมื่อเครื่องถูกสร้างขึ้นใหม่ เครื่องจะโหลดการตั้งค่าทั้งหมดที่จำเป็น รวมถึงใบรับรองส่วนตัวที่จะใช้ในการตรวจสอบสิทธิ์ตัวเองเมื่อใช้บริการต่างๆ ในภายหลังจากเซิร์ฟเวอร์ Apache เซิร์ฟเวอร์ Apache นี้จะระบุไคลเอนต์ด้วยที่อยู่ IP เพื่อให้บริการการกำหนดค่าหรือใบรับรองที่มีไว้สำหรับเซิร์ฟเวอร์ที่กำหนด หรือปฏิเสธที่จะให้บริการ

อย่างไรก็ตาม ที่อยู่ IP ของลูกค้าอาจถูกปลอมแปลงได้ เช่นเดียวกับที่อยู่ MAC ถ้าถึงจุดหนึ่งฉันก็เพิ่มการยืนยันแบบนี้ด้วย

เพื่อให้ได้รับการกำหนดค่าและใบรับรองส่วนตัวอย่างปลอดภัย ดังนั้นเครื่องที่บู๊ตผ่าน PXE ควรมีใบรับรองที่สามารถใช้ในการสื่อสารกับเซิร์ฟเวอร์ Apache อยู่แล้ว อย่างไรก็ตาม สิ่งนี้ดูเหมือนจะเป็นไปไม่ได้ เนื่องจากเครื่องที่บู๊ตจาก PXE นั้นอาจจะเป็นเครื่องใหม่ หรือจะทำการฟอร์แมตดิสก์ระหว่างการติดตั้งก็ตาม

ฉันพลาดอะไรไปรึเปล่า? ฉันจะระบุเครื่องจักรใหม่สดโดยไม่เสี่ยงต่อการปลอมแปลงได้อย่างไร

ฉันควรใช้คีย์ USB ที่เชื่อมต่อตลอดเวลาซึ่งมีคีย์ส่วนตัวหรือไม่ หรือมีทางเลือกอื่น?

115

0 + 0

การแชร์หน้าจอ

ssl-ใบรับรอง

pxe-บูต

NiKiZe

14/1/23 21:29

ส่วนที่เป็นส่วนตัวของใบรับรองไม่ควรเกินขอบเขตตั้งแต่แรก สามารถใช้ TPM เพื่อสร้างไพรเวตคีย์ใหม่ได้อย่างน่าเชื่อถือ ซึ่งจากนั้นจะสร้างพับลิกคีย์ จากนั้นจึงสามารถใช้สร้างใบรับรองได้

ตอบกลับ

Arseni Mourzenko

14/1/23 21:41

@NiKiZe: ฉันไม่แน่ใจว่ามันทำงานอย่างไร ลองนึกภาพฉันมีเครื่องใหม่ ไม่ได้ติดตั้งระบบปฏิบัติการ ฉันจะใส่ใบรับรองใน TPM ตั้งแต่แรกได้อย่างไร คุณหมายถึงอะไรโดยข้อเท็จจริงที่ว่า TPM สามารถสร้างคีย์ส่วนตัวใหม่ได้ มันรู้อะไรเกี่ยวกับ CA ได้อย่างไร?

ตอบกลับ

NiKiZe

14/1/23 22:01

คุณไม่ต้องใส่อะไรมากในตอนแรก คุณเปิดใช้งานมันและจะให้หยดถาวรแบบสุ่มแก่คุณ - ตราบใดที่ไม่มีอะไรเปลี่ยนแปลงในกระบวนการบู๊ต หากเป็นเช่นนั้น คีย์ก็จะเปลี่ยนไปเช่นกัน

ตอบกลับ

Score:2

Server

natxo asenjo

14/1/23 21:52

เราใช้หัวหน้าคนงาน ปลั๊กอิน bootdisk เพื่อจุดประสงค์นี้. ฉันไม่ได้หมายความว่าเป็นวิธีที่ถูกต้องหรือไม่เหมือนใคร แต่เป็นวิธีที่เราใช้อย่างประสบความสำเร็จ

ทุกครั้งที่จำเป็นต้องจัดเตรียมโฮสต์ (ใหม่) โทเค็นที่มีอายุสั้นจะถูกสร้างขึ้นและเก็บไว้ในฐานข้อมูลที่เชื่อมต่อกับโฮสต์ โทเค็นนี้เข้าไปในไฟล์ iso ที่มีไบนารี ipxe และสคริปต์ที่ดาวน์โหลดไฟล์ kicstart จากโฮสต์การจัดเตรียมเฉพาะในกรณีที่มีโทเค็นที่ถูกต้องเป็นตัวระบุ เมื่อเตรียมโฮสต์แล้ว โทเค็นจะถูกลบ หลังจากระบุ (ที่ปรับได้ จากด้านบนสุดของหัวของฉันโดยค่าเริ่มต้นเป็น 60 นาที) โทเค็นจะไม่ถูกต้อง

ใช้งานได้กับทั้ง bios เป็นเฟิร์มแวร์ uefi และไม่จำเป็นต้องใช้ pxe เพียงแค่ http(s) ดังนั้นคุณจึงสามารถใช้งานอินเทอร์เน็ตได้อย่างแท้จริงโดยมีการปรับเปลี่ยนเล็กน้อย (สะดวกสำหรับการปรับใช้ฮาร์ดแวร์ในตำแหน่งระยะไกล)

0 + 0

Arseni Mourzenko

14/1/23 21:59

หากแฮ็กเกอร์ได้โทเค็น *ก่อน* เซิร์ฟเวอร์ที่กำลังเตรียมใช้งาน แฮ็กเกอร์จะสามารถเข้าถึงทรัพยากรได้ แต่ในขณะที่ทำ การจัดสรรจะล้มเหลว และผู้ดูแลระบบจะได้รับการแจ้งเตือนว่ามีบางอย่าง ที่น่ารังเกียจอาจเกิดขึ้น สมเหตุสมผลแน่นอน

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to solve chicken or the egg issue with client TLS certificates on a physical host?

TH: จะแก้ปัญหาไก่หรือไข่ด้วยใบรับรอง TLS ของลูกค้าบนโฮสต์จริงได้อย่างไร

RO: Cum se rezolvă problema cu puiul sau ouăle cu certificatele TLS ale clientului pe o gazdă fizică?

RU: Как решить проблему курицы или яйца с клиентскими сертификатами TLS на физическом хосте?

VI: Làm cách nào để giải quyết vấn đề gà hoặc trứng với chứng chỉ TLS của máy khách trên máy chủ vật lý?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา