Certificates
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Cheti cha ufunguo wa umma ni kitambulisho cha dijitali kinachotumika katika cryptography kuthibitisha kwamba mtu anamiliki ufunguo wa umma. Inajumuisha maelezo ya ufunguo, kitambulisho cha mmiliki (mada), na saini ya dijitali kutoka kwa mamlaka inayotegemewa (mtoaji). Ikiwa programu inategemea mtoaji na saini ni halali, mawasiliano salama na mmiliki wa ufunguo yanawezekana.
Vyeti kwa kawaida vinatolewa na mamlaka ya vyeti (CAs) katika muundo wa miundombinu ya ufunguo wa umma (PKI). Njia nyingine ni mtandao wa kuaminiana, ambapo watumiaji wanathibitisha ufunguo wa kila mmoja moja kwa moja. Muundo wa kawaida wa vyeti ni X.509, ambayo inaweza kubadilishwa kwa mahitaji maalum kama ilivyoelezwa katika RFC 5280.
Katika vyeti vya x509, sehemu kadhaa zinacheza majukumu muhimu katika kuhakikisha halali na usalama wa cheti. Hapa kuna muhtasari wa sehemu hizi:
Nambari ya Toleo inaashiria toleo la muundo wa x509.
Nambari ya Mfululizo inatambulisha cheti ndani ya mfumo wa Mamlaka ya Cheti (CA), hasa kwa ajili ya kufuatilia kufutwa.
Sehemu ya Mada inawakilisha mmiliki wa cheti, ambaye anaweza kuwa mashine, mtu binafsi, au shirika. Inajumuisha kitambulisho kilichoelezwa kwa undani kama:
Jina la Kawaida (CN): Majina ya maeneo yanayofunikwa na cheti.
Nchi (C), Eneo (L), Jimbo au Mkoa (ST, S, au P), Shirika (O), na Kitengo cha Shirika (OU) vinatoa maelezo ya kijiografia na ya shirika.
Jina Lililotambulika (DN) linajumuisha kitambulisho kamili cha mada.
Mtoaji inaelezea nani alithibitisha na kusaini cheti, ikiwa ni pamoja na sehemu zinazofanana kama za Mada kwa CA.
Muda wa Halali umewekwa alama na alama za Siyo Kabla na Siyo Baada, kuhakikisha cheti hakitumiki kabla au baada ya tarehe fulani.
Sehemu ya Ufunguo wa Umma, muhimu kwa usalama wa cheti, inaelezea algorithimu, ukubwa, na maelezo mengine ya kiufundi ya ufunguo wa umma.
x509v3 extensions zinaongeza kazi ya cheti, zikielezea Matumizi ya Ufunguo, Matumizi ya Ufunguo wa Kupanua, Jina Alternatif la Mada, na mali nyingine za kuboresha matumizi ya cheti.
Matumizi ya Ufunguo yanatambulisha matumizi ya cryptographic ya ufunguo wa umma, kama saini ya dijitali au ufunguo wa kuandika.
Matumizi ya Ufunguo wa Kupanua yanapunguza zaidi matumizi ya cheti, kwa mfano, kwa uthibitisho wa seva ya TLS.
Jina Alternatif la Mada na Kikomo Msingi zinaelezea majina mengine ya mwenyeji yanayofunikwa na cheti na ikiwa ni cheti cha CA au cheti cha mwisho, mtawalia.
Vitambulisho kama Vitambulisho vya Ufunguo wa Mada na Vitambulisho vya Ufunguo wa Mamlaka vinahakikisha upekee na ufuatiliaji wa ufunguo.
Upatikanaji wa Taarifa za Mamlaka na Nukuu za Usambazaji wa CRL zinatoa njia za kuthibitisha CA inayotoa na kuangalia hali ya kufutwa kwa cheti.
CT Precertificate SCTs hutoa kumbukumbu za uwazi, muhimu kwa uaminifu wa umma katika cheti.
OCSP (RFC 2560) inahusisha mteja na mrespondia wakifanya kazi pamoja ili kuangalia kama cheti cha dijitali cha funguo za umma kimeondolewa, bila kuhitaji kupakua CRL kamili. Njia hii ni bora zaidi kuliko CRL ya jadi, ambayo inatoa orodha ya nambari za serial za vyeti vilivyondolewa lakini inahitaji kupakua faili kubwa. CRLs zinaweza kujumuisha hadi ingizo 512. Maelezo zaidi yanapatikana hapa.
Uwazi wa Cheti husaidia kupambana na vitisho vinavyohusiana na vyeti kwa kuhakikisha utoaji na uwepo wa vyeti vya SSL unaonekana kwa wamiliki wa domain, CAs, na watumiaji. Malengo yake ni:
Kuzuia CAs kutoa vyeti vya SSL kwa domain bila maarifa ya mmiliki wa domain.
Kuanzisha mfumo wa ukaguzi wazi wa kufuatilia vyeti vilivyotolewa kwa makosa au kwa uovu.
Kulinda watumiaji dhidi ya vyeti vya udanganyifu.
Makaratasi ya vyeti ni rekodi za vyeti zinazoweza kukaguliwa hadharani, zinazoongezwa tu, zinazoshughulikiwa na huduma za mtandao. Makaratasi haya yanatoa uthibitisho wa kifahari kwa ajili ya madhumuni ya ukaguzi. Mamlaka za utoaji na umma wanaweza kuwasilisha vyeti kwenye makaratasahaya au kuyatafuta kwa ajili ya uthibitisho. Ingawa idadi halisi ya seva za log siyo ya kudumu, inatarajiwa kuwa chini ya elfu moja duniani kote. Seva hizi zinaweza kusimamiwa kwa uhuru na CAs, ISPs, au shirika lolote linalovutiwa.
Ili kuchunguza makaratasahaya ya Uwazi wa Cheti kwa domain yoyote, tembelea https://crt.sh/.
Mifumo tofauti inapatikana kwa ajili ya kuhifadhi vyeti, kila moja ikiwa na matumizi yake na ulinganifu. Muhtasari huu unashughulikia mifumo kuu na unatoa mwongozo juu ya kubadilisha kati yao.
Mfumo unaotumika zaidi kwa vyeti.
Unahitaji faili tofauti kwa vyeti na funguo za faragha, zilizowekwa katika Base64 ASCII.
Upanuzi wa kawaida: .cer, .crt, .pem, .key.
Kimsingi hutumiwa na Apache na seva zinazofanana.
Mfumo wa binary wa vyeti.
Huna taarifa za "BEGIN/END CERTIFICATE" zinazopatikana katika faili za PEM.
Upanuzi wa kawaida: .cer, .der.
Mara nyingi hutumiwa na majukwaa ya Java.
Huhifadhiwa katika Base64 ASCII, ikiwa na upanuzi .p7b au .p7c.
Inajumuisha vyeti tu na vyeti vya mnyororo, ikiondoa funguo za faragha.
Inasaidiwa na Microsoft Windows na Java Tomcat.
Mfumo wa binary unaojumuisha vyeti vya seva, vyeti vya kati, na funguo za faragha katika faili moja.
Upanuzi: .pfx, .p12.
Kimsingi hutumiwa kwenye Windows kwa ajili ya kuagiza na kuuza vyeti.
Mabadiliko ya PEM ni muhimu kwa ajili ya ulinganifu:
x509 to PEM
PEM hadi DER
DER hadi PEM
PEM hadi P7B
PKCS7 hadi PEM
PFX conversions ni muhimu kwa usimamizi wa vyeti kwenye Windows:
PFX to PEM
PFX to PKCS#8 inahusisha hatua mbili:
Geuza PFX kuwa PEM
Geuza PEM kuwa PKCS8
P7B hadi PFX pia inahitaji amri mbili:
Geuza P7B kuwa CER
Geuza CER na Funguo Binafsi kuwa PFX
ASN.1 (DER/PEM) editing (inafanya kazi na vyeti au karibu muundo wowote wa ASN.1):
Clone asn1template
Geuza DER/PEM kuwa muundo wa uzalishaji wa OpenSSL
Hariri certificatename.tpl kulingana na mahitaji yako
Jenga upya cheti kilichobadilishwa
Tumia Trickest kujenga na kujiendesha kwa urahisi kazi zinazotumiwa na zana za jamii za kisasa zaidi duniani. Pata Ufikiaji Leo:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)