Certificates
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Bir açık anahtar sertifikası, birinin bir açık anahtara sahip olduğunu kanıtlamak için kriptografide kullanılan dijital bir kimliktir. Anahtarın detaylarını, sahibinin kimliğini (konu) ve güvenilir bir otoriteden (verici) dijital bir imzayı içerir. Yazılım vericiyi güvenilir bulursa ve imza geçerliyse, anahtarın sahibiyle güvenli iletişim mümkündür.
Sertifikalar genellikle sertifika otoriteleri (CA'lar) tarafından açık anahtar altyapısı (PKI) kurulumunda verilir. Diğer bir yöntem ise güven ağıdır; burada kullanıcılar birbirlerinin anahtarlarını doğrudan doğrular. Sertifikalar için yaygın format X.509 olup, RFC 5280'de belirtildiği gibi belirli ihtiyaçlara uyarlanabilir.
x509 sertifikalarında, sertifikanın geçerliliğini ve güvenliğini sağlamak için birkaç alan kritik roller oynar. Bu alanların bir dökümü:
Sürüm Numarası, x509 formatının sürümünü belirtir.
Seri Numarası, sertifikayı bir Sertifika Otoritesi (CA) sisteminde benzersiz olarak tanımlar, esasen iptal takibi için.
Konu alanı, sertifikanın sahibini temsil eder; bu bir makine, birey veya organizasyon olabilir. Detaylı kimlik bilgilerini içerir:
Ortak Ad (CN): Sertifika tarafından kapsanan alan adları.
Ülke (C), Yer (L), Eyalet veya İl (ST, S veya P), Organizasyon (O) ve Organizasyon Birimi (OU) coğrafi ve organizasyonel detaylar sağlar.
Ayrıcalıklı Ad (DN), tam konu kimliğini kapsar.
Verici, sertifikayı kimlerin doğruladığını ve imzaladığını belirtir; CA için konu ile benzer alt alanlar içerir.
Geçerlilik Süresi, sertifikanın belirli bir tarihten önce veya sonra kullanılmadığını sağlamak için Not Before ve Not After zaman damgaları ile işaretlenir.
Açık Anahtar bölümü, sertifikanın güvenliği için kritik olup, açık anahtarın algoritmasını, boyutunu ve diğer teknik detaylarını belirtir.
x509v3 uzantıları, sertifikanın işlevselliğini artırır; Anahtar Kullanımı, Genişletilmiş Anahtar Kullanımı, Konu Alternatif Adı ve sertifikanın uygulamasını ince ayar yapmak için diğer özellikleri belirtir.
Anahtar Kullanımı, açık anahtarın kriptografik uygulamalarını tanımlar; örneğin dijital imza veya anahtar şifreleme.
Genişletilmiş Anahtar Kullanımı, sertifikanın kullanım durumlarını daha da daraltır; örneğin, TLS sunucu kimlik doğrulaması için.
Konu Alternatif Adı ve Temel Kısıtlama, sertifika tarafından kapsanan ek ana bilgisayar adlarını ve bunun bir CA veya son varlık sertifikası olup olmadığını tanımlar.
Konu Anahtar Tanımlayıcı ve Otorite Anahtar Tanımlayıcı gibi tanımlayıcılar, anahtarların benzersizliğini ve izlenebilirliğini sağlar.
Otorite Bilgi Erişimi ve CRL Dağıtım Noktaları, verici CA'yı doğrulamak ve sertifika iptal durumunu kontrol etmek için yollar sağlar.
CT Ön Sertifika SCT'leri, sertifikaya kamu güveni için kritik olan şeffaflık günlükleri sunar.
OCSP (RFC 2560), bir istemci ve bir yanıtlayıcının, tam CRL indirmeye gerek kalmadan dijital kamu anahtar sertifikasının iptal edilip edilmediğini kontrol etmek için birlikte çalışmasını içerir. Bu yöntem, iptal edilen sertifika seri numaralarının bir listesini sağlayan ve potansiyel olarak büyük bir dosyanın indirilmesini gerektiren geleneksel CRL'den daha verimlidir. CRL'ler en fazla 512 giriş içerebilir. Daha fazla ayrıntı burada mevcuttur.
Sertifika Şeffaflığı, SSL sertifikalarının verilmesi ve varlığının alan adı sahipleri, CA'lar ve kullanıcılar tarafından görünür olmasını sağlayarak sertifika ile ilgili tehditlerle mücadeleye yardımcı olur. Amaçları şunlardır:
CA'ların, alan adı sahibinin bilgisi olmadan bir alan için SSL sertifikası vermesini engellemek.
Yanlış veya kötü niyetle verilmiş sertifikaların izlenmesi için açık bir denetim sistemi kurmak.
Kullanıcıları sahte sertifikalardan korumak.
Sertifika kayıtları, ağ hizmetleri tarafından tutulan, kamuya açık denetlenebilir, yalnızca ekleme yapılabilen sertifika kayıtlarıdır. Bu kayıtlar, denetim amaçları için kriptografik kanıtlar sağlar. Hem verme otoriteleri hem de kamu, bu kayıtlara sertifika gönderebilir veya doğrulama için sorgulayabilir. Kayıt sunucularının kesin sayısı sabit olmamakla birlikte, dünya genelinde binin altında olması beklenmektedir. Bu sunucular, CA'lar, ISP'ler veya herhangi bir ilgili kuruluş tarafından bağımsız olarak yönetilebilir.
Herhangi bir alan için Sertifika Şeffaflığı kayıtlarını keşfetmek için https://crt.sh/ adresini ziyaret edin.
Sertifikaları depolamak için farklı formatlar mevcuttur, her birinin kendi kullanım durumları ve uyumluluğu vardır. Bu özet, ana formatları kapsar ve bunlar arasında dönüştürme konusunda rehberlik sağlar.
Sertifikalar için en yaygın kullanılan formattır.
Sertifikalar ve özel anahtarlar için ayrı dosyalar gerektirir, Base64 ASCII ile kodlanmıştır.
Yaygın uzantılar: .cer, .crt, .pem, .key.
Öncelikle Apache ve benzeri sunucular tarafından kullanılır.
Sertifikaların ikili formatıdır.
PEM dosyalarında bulunan "BEGIN/END CERTIFICATE" ifadelerini içermez.
Yaygın uzantılar: .cer, .der.
Genellikle Java platformları ile kullanılır.
Base64 ASCII formatında depolanır, uzantıları .p7b veya .p7c'dir.
Sadece sertifikaları ve zincir sertifikalarını içerir, özel anahtarı hariç tutar.
Microsoft Windows ve Java Tomcat tarafından desteklenir.
Sunucu sertifikalarını, ara sertifikaları ve özel anahtarları tek bir dosyada kapsayan ikili bir formattır.
Uzantılar: .pfx, .p12.
Sertifika içe aktarma ve dışa aktarma için öncelikle Windows'ta kullanılır.
PEM dönüşümleri uyumluluk için gereklidir:
x509'dan PEM'e
PEM'den DER'e
DER'den PEM'e
PEM'den P7B'ye
PKCS7'den PEM'e
PFX dönüşümleri, Windows'ta sertifikaları yönetmek için çok önemlidir:
PFX'ten PEM'e
PFX to PKCS#8 iki adımdan oluşur:
PFX'i PEM'e dönüştür
PEM'i PKCS8'e Dönüştür
P7B'den PFX'e geçmek için de iki komut gereklidir:
P7B'yi CER'ye dönüştür
CER ve Özel Anahtarı PFX'e Dönüştür
ASN.1 (DER/PEM) düzenleme (sertifikalar veya neredeyse herhangi bir ASN.1 yapısıyla çalışır):
asn1template klonlayın
DER/PEM'i OpenSSL'in üretim formatına dönüştür
İhtiyaçlarınıza göre certificatename.tpl dosyasını düzenleyin.
Değiştirilmiş sertifikayı yeniden oluşturun
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)