Η δυνατότητα εξωτερικής αρχής πιστοποίησης (CA) προορίζεται για μεγάλες επιχειρήσεις και κυβερνητικούς πελάτες που αναπτύσσουν ένα Orchestrator εσωτερικής εγκατάστασης και έχουν την απαίτηση να χρησιμοποιούν τη δική τους αρχή πιστοποίησης (CA) και όχι την προεπιλεγμένη αρχή πιστοποίησης αυτόματης υπογραφής του Orchestrator. Αυτή η ενότητα καλύπτει τον τρόπο ενεργοποίησης και διαμόρφωσης μιας εξωτερικής αρχής πιστοποίησης.
Όταν ρυθμίζονται οι παράμετροι της εξωτερικής αρχής πιστοποίησης, αντί να λάβει το Ochestrator αίτημα υπογραφής πιστοποιητικού (CSR) και να εκδώσει το ίδιο τα πιστοποιητικά της συσκευής, το Orchestrator υποχρεούται να μεταβιβάσει τη CSR σε μια εξωτερική αρχή πιστοποίησης για την έκδοση του πιστοποιητικού. Το πιστοποιητικό συσκευής θα επιστραφεί στο Orchestrator και θα σταλεί στο Edge ή στην πύλη.
Ένας πελάτης που χρησιμοποιεί αυτήν τη δυνατότητα αναμένεται να έχει αναπτύξει μια εμπορική αρχή πιστοποίησης, για παράδειγμα από το PrimeKey (EJBCA PKI) ή, σε ορισμένες περιπτώσεις, μπορεί να έχει εφαρμόσει τη δική του ιδιόκτητη αρχή πιστοποίησης.
Ξεκινώντας από την έκδοση 5.1.0, ένα Orchestrator όπου είναι ενεργοποιημένη μια εξωτερική αρχή πιστοποίησης μπορεί να διαμορφωθεί με δύο νέες λειτουργίες με ετοιμότητα API:
-
Η Χειροκίνητη λειτουργία (Manual Mode) παρέχει υποστήριξη για οποιαδήποτε αρχή πιστοποίησης και παρέχει ευελιξία και έλεγχο, με τον χρήστη να εκτελεί χειροκίνητα κάθε βήμα της διαδικασίας πιστοποιητικού.
-
Η Ασύγχρονη λειτουργία (Asynchronous Mode) παρέχει υποστήριξη σε οποιαδήποτε αρχή πιστοποίησης με τη δυνατότητα δημιουργίας δέσμης ενεργειών των μη αυτόματων βημάτων και αυτοματοποίησης των επαναλαμβανόμενων εργασιών.
Αυτές οι λειτουργίες προστίθενται στη Σύγχρονη ή αυτοματοποιημένη λειτουργία (Synchronous or Automated Mode), η οποία ήταν η πρώτη λειτουργία που παρουσιάστηκε στην έκδοση 4.3.0. Με τη σύγχρονη λειτουργία, το Orchestrator ενσωματώνεται απευθείας σε μια εξωτερική αρχή πιστοποίησης (η οποία, για την έκδοση 4.3.0 και εξής, προσέφερε το PrimeKey EJBCA PKI ως τη μόνη διαθέσιμη εξωτερική αρχή πιστοποίησης) και μέσω των REST API για αίτημα, ανανέωση και ανάκληση πιστοποιητικού.
Ενεργοποίηση εξωτερικής αρχής πιστοποίησης
Η δυνατότητα εξωτερικής αρχής πιστοποίησης ενεργοποιείται μέσω δύο ιδιοτήτων συστήματος. Η ενεργοποίηση αυτών των ιδιοτήτων συστήματος μπορεί να γίνει μόνο από χειριστή με ρόλο υπερχρήστη.
Διαδικασία
Η πρώτη ιδιότητα συστήματος που πρέπει να ενεργοποιηθεί είναι η ιδιότητα ca.external.configuration. Αυτή η ιδιότητα δημιουργείται με μη αυτόματο τρόπο με έναν τύπο δεδομένων JSON και το JSON συμπληρώνεται σύμφωνα με το παράδειγμα που φαίνεται παρακάτω στην ενότητα «Δείγμα διαμόρφωσης εξωτερικής αρχής πιστοποίησης».
Μόνο αφού δημιουργηθεί και ενεργοποιηθεί η ιδιότητα ca.external.configuration, θα πρέπει ο χειριστής να ενεργοποιήσει τη δεύτερη ιδιότητα συστήματος: ca.external.enable.
- Στο περιβάλλον εργασίας χρήστη του Orchestrator επιλέξτε Ιδιότητες συστήματος (System Properties)
- Χρησιμοποιώντας το πλαίσιο αναζήτησης στη σελίδα Ιδιότητες συστήματος (System Properties), πληκτρολογήστε ca.external.enable, όπως φαίνεται στην παρακάτω εικόνα.
- Μόλις εντοπιστεί η ιδιότητα ca.external.enable, είτε κάντε κλικ σε αυτήν την ιδιότητα είτε επιλέξτε το πλαίσιο και κάντε κλικ στην επιλογή Επεξεργασία (Edit).
- Αλλάξτε την ιδιότητα ca.external.enable σε Αληθές (True) και επιλέξτε το κουμπί Αποθήκευση αλλαγών (Save Changes), για να ολοκληρώσετε την αλλαγή, όπως φαίνεται στην παρακάτω εικόνα.
Η σελίδα Ιδιότητα συστήματος (System Property) εμφανίζει επιβεβαίωση ότι η ιδιότητα τροποποιήθηκε με επιτυχία και τώρα θα δείχνει ότι το ca.external.enable είναι Αληθές (True).
Διαμόρφωση εξωτερικής αρχής πιστοποίησης
Έχοντας ενεργοποιήσει την ιδιότητα συστήματος εξωτερικής αρχής πιστοποίησης, ο χειριστής μπορεί τώρα να κάνει κλικ στο
(Orchestrator > Certificate Authorities) για να αρχίσει να διαμορφώνεται μια εξωτερική αρχή πιστοποίησης.- Αυτοματοποιημένη (Σύγχρονη) [Automated (Synchronous)]: Με την Αυτοματοποιημένη (Automated) λειτουργία υποστηρίζεται μόνο μία εξωτερική αρχή πιστοποίησης: η PrimeKey EJBCA PKI.
- Χειροκίνητη (Manual): Η Χειροκίνητη λειτουργία παρέχει υποστήριξη για οποιαδήποτε αρχή πιστοποίησης και παρέχει ευελιξία και έλεγχο, με τον χρήστη να εκτελεί χειροκίνητα κάθε βήμα της διαδικασίας πιστοποιητικού.
- Ασύγχρονη (Asynchronous): Η Ασύγχρονη λειτουργία παρέχει υποστήριξη σε οποιαδήποτε αρχή πιστοποίησης με τη δυνατότητα δημιουργίας δέσμης ενεργειών των μη αυτόματων βημάτων και αυτοματοποίησης των επαναλαμβανόμενων εργασιών.
- Στη σελίδα + Πρόσθετη αρχή πιστοποίησης (+ Additional CA). , κάντε κλικ στην επιλογή
- Αφού κάνετε κλικ στην επιλογή + Πρόσθετη αρχή πιστοποίησης (+ Additional CA), το περιβάλλον εργασίας χρήστη θα αλλάξει σε Τύπο CA (CA Type) με ένα αναπτυσσόμενο μενού με τις επιλογές Ενδιάμεση αρχή πιστοποίησης (Intermediate CA) και Εξωτερική αρχή πιστοποίησης (External CA). Κάντε κλικ στην Εξωτερική αρχή πιστοποίησης (External CA).
- Μόλις κάνετε κλικ στην εξωτερική αρχή πιστοποίησης, η οθόνη αλλάζει στην οθόνη προσθήκης εξωτερικής αρχής πιστοποίησης, όπου ένας χειριστής μπορεί να επιλέξει μεταξύ των τριών λειτουργιών εξωτερικής αρχής πιστοποίησης που αναφέρθηκαν προηγουμένως: Αυτοματοποιημένη (σύγχρονη), Ασύγχρονη και Χειροκίνητη.
- Έχοντας επιλέξει μια λειτουργία CA, η οθόνη Προσθήκη εξωτερικής αρχής πιστοποίησης (Add External CA) αλλάζει για να επιτρέψει πρόσθετη διαμόρφωση της εξωτερικής αρχής πιστοποίησης. Εδώ ο χειριστής θα επικολλούσε στο Πιστοποιητικό ρίζας αρχής πιστοποίησης (CA Root Certificate).
Επιλέγοντας το πλαίσιο για Activate VCO στη σταθμοσκόπηση για CRL (Activate VCO to poll for CRL), ο χειριστής επιλέγει να έχει το Orchestrator να διεξάγει ελέγχους ανάκλησης πιστοποιητικών χρησιμοποιώντας τη Λίστα ανάκλησης πιστοποιητικών (CRL). Εάν είναι ενεργοποιημένη αυτή η επιλογή, φαίνεται να έχουν διαμορφωθεί δύο πρόσθετες παράμετροι διαμόρφωσης από τον χειριστή:
- Το Διάστημα σταθμοσκόπησης CRL σε λεπτά (CRL Poll Interval in Minutes) καθορίζει πόσο συχνά μέσα σε λεπτά το Orchestrator θα διεξάγει έλεγχο ανάκλησης πιστοποιητικών σε αντίθεση με το πιο πρόσφατο CRL.
- Το Σημείο διανομής CRL (CRL Distribution Point) είναι η διεύθυνση URL όπου το Orchestrator ανακτά το πιο πρόσφατο CRL.
- Μόλις ο χειριστής συμπληρώσει όλα τα απαιτούμενα πεδία, θα κάνει κλικ στην επιλογή Αποθήκευση (Save).
- Μόλις διαμορφωθεί μια εξωτερική αρχή πιστοποίησης, ο χειριστής θα έχει νέες διαθέσιμες επιλογές για Εισαγωγή CRL (Import CRL) και Λήψη CRL (Download CRL).
Χρησιμοποιώντας την Εισαγωγή CRL (Import CRL) ενώ παράλληλα είναι διαμορφωμένη η Ανίχνευση CRL Orchestrator (Orchestrator CRL Polling), ένας χειριστής μπορεί να εκτελέσει μαζικές ή μεμονωμένες εισαγωγές και εξαγωγές.
Το CRL θα εκτελέσει επικύρωση μετά από οποιαδήποτε εισαγωγή των πιστοποιητικών σας και το Orchestrator θα διανείμει το CRL σας σε κάθε Edge και πύλη που είναι συνδεδεμένη με το Orchestrator.
Δείγμα διαμόρφωσης εξωτερικής αρχής πιστοποίησης
Αυτή η ενότητα παρέχει ένα παράδειγμα διαμόρφωσης για το πεδίο ca.external.configuration.
{ "integrationType": "SYNCHRONOUS", "csrDistinguishedName": { "CN_PID_SN": "VMWare-SDWAN" }, "synchronous": { "synchronousIntegrationType": "EJBCA", "ejbca": { "serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----", "apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----", "apiKey": "-----BEGIN PRIVATE KEY-----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\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----", "host": "ip-10-81-125-132.us-west-2.compute.internal", "port": "443", "distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal", "certificateProfile": "ENDUSER", "endEntityProfile": "EMPTY" } } }
Παρακολούθηση εξωτερικής αρχής πιστοποίησης
Η παρακολούθηση των πιστοποιητικών γίνεται στην ίδια σελίδα
.Η σελίδα Σύνοψη πιστοποιητικών (Certificates Summary) παρέχει στον χειριστή μια οπτική κατάσταση βασικών δεικτών για τον κύκλο ζωής των πιστοποιητικών του. Σε αυτήν την ενότητα, ο χειριστής θα εισάγει επίσης πιστοποιητικά και θα πραγματοποιεί λήψη CSR.
Στην ενότητα Πιστοποιητικά (Certificates), ο χειριστής μπορεί να κάνει λήψη μιας πλήρους λίστας όλων των πιστοποιητικών Edge ή πύλης σε μορφή .csv.
Ένας χειριστής, συνεργάτης ή διαχειριστής πελατών μπορεί επίσης να εξετάσει ένα συγκεκριμένο πιστοποιητικό Edge μεταβαίνοντας στις επιλογές
.Περιορισμοί
- Η εξωτερική αρχή πιστοποίησης μπορεί να ενεργοποιηθεί μόνο σε ένα Orchestrator εσωτερικής εγκατάστασης το οποίο διαχειρίζεται ένας μόνο πελάτης. Αυτή η δυνατότητα δεν είναι διαθέσιμη σε Orchestrator που φιλοξενούνται από VMware.
- Σε Orchestrator που χρησιμοποιεί την έκδοση 3.4.0 έως 5.0.0, αυτή η δυνατότητα μπορεί να χρησιμοποιήσει μόνο το PrimeKey EJBCA PKI ως εξωτερική αρχή πιστοποίησης.