Wenig bekannte Funktionen von Illumio ASP – Policy Compute Engine Zertifikatsprüfungen

In dieser kurzen Serie beleuchtet das Produktmanagement-Team von Illumio die weniger bekannten (aber nicht weniger leistungsfähigen) Funktionen von Illumio ASP.

Das TLS-Protokoll (Transport Layer Security) ist ein kryptografisches Protokoll zur Sicherung der Kommunikation über Computernetzwerke unter Verwendung von Zertifikaten mit öffentlichen Schlüsseln. Das gebräuchlichste Format für Public-Key-Zertifikate ist X.509, das in RFC 5280 beschrieben wird. X.509-Zertifikate sind komplexe kryptografische Dokumente mit Optionen für verschiedene Verwendungszwecke wie Authentifizierung, Verschlüsselung, Vertrauen usw. Gemäß den Best Practices der Branche wird die ASP-Kommunikation von Illumio mit TLS gesichert.

Um die Kommunikation in Illumio ASP zu sichern, müssen bestimmte Optionen mit bestimmten Bereitstellungskriterien im Zertifikat vorhanden sein, und die Zertifikate müssen auf der Policy Compute Engine (PCE) installiert sein, dem "Gehirn" von Illumio ASP, das die Transparenz und das Richtlinienmanagement zentralisiert. Dies sind zwar gängige Kriterien für Zertifikate, aber sie können mühsam sein und erfordern von Seiten des Benutzers Liebe zum Detail.

In diesem Blogbeitrag beschreibe ich die Einsatzkriterien für Illumio PCE-Zertifikate und ein wenig bekanntes Feature für Zertifikatsprüfungen.

TLS-Protokoll und Zertifikate

TLS wird zum Sichern der folgenden Kommunikationssitzungen verwendet:

• Benutzerzugriff auf die PCE-Webkonsole und die REST-API über das HTTPS-Protokoll (HTTP over TLS).
• Kommunikation zwischen PCE und VENs mit REST-API über HTTPS und Event Service, einem benutzerdefinierten Protokoll mit TLS über TCP.
• Kommunikation zwischen PCE-Diensten auf verschiedenen PCE-Knoten in einem Cluster mit mehreren Knoten, z. B. Clusterverwaltung und Diensterkennung.

Für TLS muss während der Installation auf jedem PCE-Knoten ein X.509-Serverzertifikat installiert werden. Wenn ein Client (z. B. der VEN) eine TLS-Sitzung mit dem PCE öffnet, präsentiert der PCE das X.509-Serverzertifikat, um die Kommunikation mit dem Client zu sichern. Während der Installation wird das Serverzertifikat als Teil eines Zertifikatpakets, das das Serverzertifikat und einen Satz von Zertifizierungsstellenzertifikaten (Zwischen- oder Stammzertifikate) enthält, auf den PCE hochgeladen, um die Vertrauenskette zurück zu einer Stammzertifizierungsstelle einzurichten.

X.509-Zertifikate werden in der Regel von einer öffentlichen Zertifizierungsstelle (Certificate Authority, CA) wie Digicert, Verisign, GoDaddy und LetsEncrypt ausgestellt. Darüber hinaus können Kunden Zertifikate verwenden, die von ihren eigenen privaten Zertifizierungsstellen (interne Zertifizierungsstelle) ausgestellt wurden, oder selbstsignierte Zertifikate verwenden. Unabhängig davon, wie ein Zertifikat ausgestellt wird, muss der Client in der Lage sein, die Vertrauenskette zurück zur Stammzertifizierungsstelle für dieses Zertifikat zu validieren. Andernfalls schlägt der TLS-Handshake fehl und es kann kein sicherer Kommunikationskanal eingerichtet werden.

Prüfung des PCE-Zertifikats

Bei der ersten Bereitstellung des PCE muss der Benutzer in der Regel die Zertifikate validieren, um sicherzustellen, dass die vielfältigen und komplizierten Anforderungen erfüllt werden. Illumio PCE wird mit einem Zertifikatsprüfungstool ausgeliefert, das Benutzer durch die Automatisierung der Überprüfung von Zertifikaten anhand der spezifischen Bereitstellungskriterien unterstützt.

Das Zertifikatspaket für den Illumio PCE muss folgende Kriterien erfüllen:

• Muss PEM-codierte Zertifikate enthalten.
• Zertifikate werden mit einem akzeptablen Signaturalgorithmus signiert.
• Das Paket muss alle CA-Zertifikate (Intermediate und/oder Root) enthalten, die zum Einrichten der Vertrauenskette zurück zur Root-CA erforderlich sind. Wenn das Zertifikat von einer privaten Zertifizierungsstelle generiert wird, muss das Paket alle Zertifikate in der Vertrauenskette zurück zur Stammzertifizierungsstelle und alle Zertifikate der Zwischenzertifizierungsstelle enthalten.
• Bei der Serverzertifizierung muss es sich um das erste Zertifikat im Bundle handeln.
• Alle Zertifikate im Bundle müssen für das aktuelle Datum gültig sein.
• Das Zertifikat muss mit dem PCE-FQDN übereinstimmen, und zwar sowohl in den Feldern "Antragsteller" als auch in den SAN-Feldern (Subject Alternative Name).
• Das Zertifikat muss sowohl die Server- als auch die Clientauthentifizierung unterstützen.

Auf ähnliche Weise muss der private Schlüssel, der dem X.509-Zertifikat entspricht, auf jedem PCE-Knoten mit den folgenden Kriterien installiert werden:

• Der private Schlüssel muss PEM-codiert sein.
• Die Datei darf nicht auf andere Weise kodiert werden, z. DER, PKCS7/P7B, PKCS8 oder PKCS12/PFX. 
• Die Datei darf nicht passwortgeschützt sein.

Im Laufe der Zeit hat Illumio festgestellt, dass die PCE-Bereitstellung in Unternehmen bei der Erstellung und Bereitstellung von Zertifikaten vor mehreren Herausforderungen steht.

Beispielsweise dürfen die Zertifikate nicht für den PCE-FQDN ausgestellt werden. oder die Hostnamen der einzelnen Knoten sind nicht korrekt im SAN-Feld enthalten. oder die richtigen Optionen werden im Feld "Erweiterte Schlüsselverwendung" des Zertifikats nicht bereitgestellt. Ebenso kann es vorkommen, dass die Zertifikate während des Installationsvorgangs ohne die richtigen Berechtigungen für die Dateien oder Verzeichnisse installiert werden, oder dass einige Teile der Vertrauenskette während der Installation übersehen werden.

Die Herausforderungen sind dem Erstinstallationsprozess vorbehalten und können darüber hinausgehen. Wenn der PCE von einem Cluster mit 4 Knoten auf einen Cluster mit 6 Knoten skaliert wird, müssen die Zertifikate aktualisiert werden, um den FQDN des neuen Knotens in das SAN-Feld aufzunehmen. Um den manuellen Aufwand mit Zertifikaten zu reduzieren, stellt Illumio ein administratives Kommandozeilentool namens "illumio-pce-env" zur Verfügung, um Zertifikate automatisch zu prüfen.

Dieses Tool bietet mehrere Optionen zum Validieren von Zertifikaten für eine Vielzahl von Anwendungsfällen, von denen einige sind:

1. Führen Sie den folgenden Befehl aus, um das TLS-Zertifikat mit grundlegenden Tests zu validieren, einschließlich der Vertrauenskette und anderer Aspekte:
2. illumio-pce-env setup --list
4. Die Option "--list" überprüft Ihre Konfiguration und Zertifikate und zeigt mögliche Probleme an, indem Sie den Rückgabecode setzen. Dies ist eine schnelle Möglichkeit, nach Problemen zu suchen, und kann als Teil von Chef, Ansible oder anderen Installationsskripts aufgerufen werden.
6. Führen Sie den folgenden Befehl aus, um das TLS-Zertifikat mit grundlegenden Tests zu validieren, einschließlich der Vertrauenskette und anderer Aspekte:
7. illumio-pce-dev setup –liste –test 5
9. Wenn der vorherige Befehl fehlschlägt, möchte ein Administrator möglicherweise genau herausfinden, was schief gelaufen ist. Um dies zu unterstützen, ist es möglich, mit der Option --test ein Argument für den Ausführlichkeitsgrad anzugeben – 1 (mindestens) bis 5 (meistens). Bei Verwendung eines Ausführlichkeitsgrads von 5 zeigt der Befehl bei jedem Schritt der Zertifikatsüberprüfung detaillierte Ergebnisse an, einschließlich Informationen zu den ausgeführten Tests und den Ergebnissen der einzelnen Tests. Dies hilft bei der Diagnose des genauen Problems mit den Zertifikaten oder der Vertrauenskette.
11. Führen Sie den folgenden Befehl aus, um Ihre Zertifikate mit alternativen Domänennamen zu validieren:
12. illumio-pce-dev setup --list –test 5:irgendeine.alternative.hostAndDomainName
14. In dem Fall, dass sich der FQDN-Plan für die Verwendung des PCE in der Produktion von der Testbereitstellung unterscheidet oder wenn ein PCE von einem Cluster mit 4 Knoten auf einen Cluster mit 6 Knoten erweitert wird, muss das Zertifikat überprüft werden, ob das SAN-Feld die richtigen Hostnamen enthält. Das SAN-Feld erlaubt die Verwendung von Platzhaltern, was es etwas schwierig macht, gültige Hostnamen manuell zu bestätigen. Diese Syntax überprüft das Zertifikat und die Kette anhand des angegebenen some.alternative.hostAndDomainName.
16. Führen Sie den folgenden Befehl aus, um Ihre Zertifikate mit einem End-to-End-Test mit der Syntax "+" zu validieren:
17. illumio-pce-env setup --list --test 5+
19. Hier ist das zu testende Argument "5+". Manchmal reichen die statischen Tests eines Zertifikats nicht aus, und ein Administrator möchte das System möglicherweise mit einem vollständigen End-to-End-Test des Zertifikats mit den TLS-Bibliotheken des Betriebssystems validieren. Dadurch wird die tatsächliche Laufzeitverwendung des Zertifikats emuliert. Die '+'-Syntax erstellt einen Loopback-OpenSSL-Server, der auf Port 4433 ausgeführt wird, und versucht, mit dem curl-Befehl eine TLS-Verbindung herzustellen.
21. Führen Sie den folgenden Befehl aus, um Ihre Zertifikate zu validieren, bevor Sie sie an den geplanten Produktionsstandort kopieren:
22. illumio-pce-env setup --batch --list \email=required@emailaddress node=value \cert=/pfad/zu/cert \pkey=/pfad/zum/private_key \trust=/pfad/zum/certificate_chain \--test 5
24. Wenn ein Administrator das Zertifikat überprüfen möchte, ohne es tatsächlich zu installieren, gibt es eine Syntax, die dies zulässt. Dies wird verwendet, wenn ein neues Zertifikat bereitgestellt wird und der Administrator überprüfen möchte, ob es die PCE-Anforderungen erfüllt.

In der Illumio PCE-Dokumentation finden Sie eine vollständige Liste der Meldungen, die vom illumio-pce-env-Tool angezeigt werden, sowie eine umfassende Liste potenzieller Fehlermeldungen.

Zusammenfassend lässt sich sagen, dass die X.509-Zertifikate, die zum Sichern der Kommunikation mit TLS verwendet werden, unterschiedliche und komplizierte Anforderungen haben und für den Administrator mühsam zu validieren sein können. Illumio ASP bietet ein Befehlszeilentool mit einer Vielzahl von Optionen zur Validierung von Zertifikaten für unterschiedliche Anforderungen – von grundlegenden Tests über vollständige End-to-End-Tests bis hin zu genaueren und präziseren Tests vor der Bereitstellung.

Ich hoffe, dass dieser Blogbeitrag dazu beigetragen hat, einen Einblick in diese wenig bekannte, nützliche Funktion des Illumio PCE zu geben. Für weitere Fragen kontaktieren Sie uns bitte unter [email protected] und vergessen Sie nicht, die anderen Beiträge aus dieser Serie zu lesen, die sich mit folgenden Themen befassen:

• Filter für Farbsehschwäche
• Protokollexport in Amazon S3-Buckets
• Broadcast- und Multicast-Filter