Der Rublon Authentication Proxy dient als Brücke zwischen Ihren Rublon-integrierten Diensten und der Rublon Multi-Faktor-Authentifizierungsplattform (MFA).
Um eine sichere LDAPS-Kommunikation zu gewährleisten, verwendet der Auth Proxy SSL/TLS-Zertifikate, um Daten zu verschlüsseln und Identitäten zu verifizieren.
Diese Anleitung erklärt, wie Sie Zertifikate in der Konfigurationsdatei des Rublon Authentication Proxy für LDAPS einrichten, enthält empfohlene Best Practices und beantwortet häufige Fragen zur Verwendung von Zertifikaten.
Verständnis von Zertifikaten im Rublon Authentication Proxy
Der Rublon Authentication Proxy verwendet Zertifikate in zwei Hauptszenarien:
Für LDAP über SSL/TLS (LDAPS): Wenn sich der Proxy über LDAPS mit Ihrem LDAP-/Active-Directory-Server verbindet, muss er dem Serverzertifikat vertrauen.
Für Clients, die sich mit dem Rublon Authentication Proxy verbinden: Anwendungen (z. B. VPNs), die sich mit dem Proxy verbinden, müssen dessen Zertifikat vertrauen, wenn sichere Protokolle wie LDAPS verwendet werden.
Verständnis von Vertrauensbeziehungen
Clients vertrauen dem Zertifikat des Rublon Authentication Proxy:
Anwendungen wie VPNs oder Firewalls müssen dem vom Proxy präsentierten Zertifikat vertrauen.
Bei selbstsignierten Zertifikaten müssen Sie diese manuell in den Vertrauensspeicher der jeweiligen Anwendung aufnehmen.
Rublon Authentication Proxy vertraut dem Zertifikat des LDAP-/AD-Servers:
Beim Aufbau einer LDAPS-Verbindung muss der Proxy dem Zertifikat des LDAP-Servers vertrauen.
Standardmäßig akzeptiert der Rublon Authentication Proxy jedes Zertifikat. Um dies einzuschränken, legen Sie das LDAP-Zertifikat im Verzeichnis ab, das im Parameter ca_certs_dir_path definiert ist.
Beispiel-Szenario
Zertifikat 1 (Rublon Authentication Proxy-Zertifikat):
Dies ist ein Zertifikat, das mit dem Rublon Authentication Proxy assoziiert ist.
Integrierte Anwendungen vertrauen diesem Zertifikat durch Import in deren Trust Store.
In der Konfigurationsdatei wird der Pfad über cert_path angegeben.
Wir empfehlen, dass das Zertifikat von einer Zertifizierungsstelle (CA) ausgestellt wird, der die Client-Anwendungen (zB VPNs, Firewalls) vertrauen . Diese CA muss nicht zwingend die CA des LDAP-Servers sein. Die Verwendung eines Zertifikats von einer vertrauenswürdigen internen CA oder einer bekannten externen CA kann die Vertrauensbeziehung für Clients, die sich mit dem Rublon Authentication Proxy verbinden, erheblich vereinfachen.
Zertifikat 2 (LDAP-Server-Zertifikat):
Dies ist ein Zertifikat, das mit dem LDAP-Server assoziiert ist.
Dieses Zertifikat wird in dem durch ca_certs_dir_path angegebenen Verzeichnis in der Konfigurationsdatei des Rublon Auth Proxy abgelegt. Bei einer sicheren Verbindung über LDAPS teilt dies dem Auth Proxy mit, dass dies ein vertrauenswürdiges Zertifikat ist.
Wir empfehlen, dass dieses Zertifikat von der Zertifizierungsstelle (CA) des LDAP-Servers generiert wird. Dies ist jedoch nicht zwingend erforderlich, und in manchen Anwendungsfällen kann auch ein selbstsigniertes Zertifikat ausreichen.
Zertifikatbezogene Parameter in der Konfigurationsdatei
In der Datei config.yaml von Rublon Authentication Proxy finden Sie die folgenden zertifikatsbezogenen Parameter:
Im Abschnitt proxy_servers:
cert_path: Pfad zur SSL/TLS-Zertifikatdatei, die der Proxy gegenüber Clients präsentiert.
pkey_path: Pfad zur Datei des privaten Schlüssels, die mit dem Zertifikat cert_path assoziiert ist.
pkey_password: Das Passwort für die Datei des privaten Schlüssels. Wenn der Schlüssel nicht geschützt ist, können Sie dieses Feld entfernen.
Im Abschnitt auth_sources:
ca_certs_dir_path: Pfad zum Verzeichnis mit den Zertifikaten, denen der Rublon Auth Proxy beim Verbindungsaufbau zu LDAP-/AD-Servern über LDAPS vertraut.
Einrichten eines Zertifikats für den Rublon Authentication Proxy
Verwendung eines vorhandenen Zertifikats
Wenn Sie bereits ein Zertifikat besitzen (z. B. von Ihrer internen CA), können Sie es mit dem Rublon Auth Proxy verwenden.
Kompatibilität sicherstellen: Das Zertifikat muss im PEM-Format vorliegen (.crt, .pem).
Privater Schlüssel: Der zugehörige private Schlüssel muss vorhanden sein.
Konfiguration: Tragen Sie cert_path, pkey_path, and ggf. pkey_password in der Konfigurationsdatei ein.
Selbstsigniertes Zertifikat für den Rublon Authentication Proxy erstellen
Sie können ein selbstsigniertes Zertifikat für den Rublon Authentication Proxy verwenden. Dieses Zertifikat wird verwendet, um die Kommunikation zwischen dem Rublon Authentication Proxy und den Anwendungen, die sich mit ihm verbinden, zu sichern.
Schritte zum Erzeugen eines selbstsignierten Zertifikats mit OpenSSL:
1. Privaten Schlüssel generieren:
openssl genpkey -algorithm RSA -out private.key -aes256
- Dieser Befehl erzeugt einen mit AES-256 verschlüsselten privaten Schlüssel.
- Sie werden aufgefordert, ein Passwort für den privaten Schlüssel festzulegen.
2. Zertifikatssignierungsanforderung (CSR) generieren:
openssl req -new -key private.key -out request.csr
- Sie werden aufgefordert, Angaben wie Land, Bundesland, Organisation, Name, usw. anzugeben.
3. Generate a Self-Signed Certificate:
openssl x509 -req -in request.csr -signkey private.key -out certificate.crt
- Dies erstellt ein selbstsigniertes Zertifikat, das für eine Standarddauer (üblicherweise 30 Tage) gültig ist. Optional:
-days 365für längere Gültigkeit hinzufügen.
4. Rublon Authentication Proxy Configurationsdateiaktualisieren:
proxy_servers:
- name: LDAP-Proxy
type: LDAP
ip: 192.0.2.1
port: 636
auth_source: LDAP_SOURCE_1
auth_method: email
cert_path: /path/to/certificate.crt
pkey_path: /path/to/private.key
pkey_password: YOUR_PRIVATE_KEY_PASSWORD- Ersetzen Sie die Pfade durch die tatsächlichen Speicherorte Ihres Zertifikats und privaten Schlüssels.
- Wenn Ihr privater Schlüssel nicht passwortgeschützt ist, können Sie das Feld pkey_password entfernen.
Einrichtung des LDAP-/AD-Zertifikats für den Rublon Auth Proxy
Wenn der Rublon Auth Proxy sich über LDAPS mit dem LDAP-/AD-Server verbindet, muss er dessen Zertifikat vertrauen. Hier erfahren Sie, wie Sie es für Auth Proxy einrichten:
1. Exportieren Sie das Zertifikat des LDAP-Servers. Wenn es sich um ein selbstsigniertes oder von einer internen CA ausgestelltes Zertifikat handelt, müssen Sie es manuell exportieren.
2. Erstellen Sie ein Verzeichnis zum Speichern vertrauenswürdiger CA-Zertifikate, falls es noch nicht vorhanden ist, und kopieren Sie das Zertifikat des LDAP-Servers in dieses Verzeichnis.
3. Aktualisieren Sie die Konfiguration des Rublon Authentication Proxy mit dem Pfad zum Zertifikat:
auth_sources:
- name: LDAP_SOURCE_1
type: LDAP
ip: 192.0.2.1
port: 636
transport_type: ssl
search_dn:
access_user_dn:
access_user_password:
ca_certs_dir_path: /path/to/ca_certsSetzen Sie den ca_certs_dir_path auf das Verzeichnis, das das Zertifikat des LDAP-Servers enthält.
Best Practices für Zertifikate im Rublon Authentication Proxy
Starke Verschlüsselung: Mindestens RSA 2048 Bit verwenden.
Private Keys absichern: Mit Passwort schützen, Berechtigungen einschränken.
Gültigkeit überwachen: Ablaufdaten im Blick behalten und rechtzeitig erneuern.
Trust Chains: Stellen Sie sicher, dass alle Zwischenzertifikate enthalten sind, wenn Ihre Zertifikate von einer CA ausgestellt wurden.
Konsistente Benennung: Verwenden Sie einheitliche und aussagekräftige Dateinamen für Zertifikate und Schlüssel, um Verwechslungen zu vermeiden.
Berechtigungen: Legen Sie die richtigen Dateiberechtigungen für die Zertifikats- und Schlüsseldateien fest, so dass nur die erforderlichen Dienste und Administratoren Zugriff haben.
Backup von Zertifikaten und Schlüsseln: Erstellen Sie sichere Backups Ihrer Zertifikate und Schlüssel für den Fall eines Serverausfalls oder Datenverlusts.
Häufig gestellte Fragen (FAQ)
Müssen die Zertifikate von einer vertrauenswürdigen CA ausgestellt sein?
Nein, Zertifikate können selbst signiert sein. Allerdings müssen Sie sicherstellen, dass alle Anwendungen, die sich mit Rublon Authentication Proxy verbinden, diesem Zertifikat vertrauen, indem sie das Zertifikat zu ihrem Trusted Certificate Store hinzufügen. Sie müssen auch sicherstellen, dass die Pfade zu den Zertifikaten in der Rublon Auth Proxy-Konfigurationsdatei gemäß den Anweisungen in dieser Anleitung korrekt hinzugefügt werden.
Kann ich ein Zertifikat verwenden, das von der CA meines LDAP-/AD-Servers stammt?
Ja, Sie können ein von der CA Ihres LDAP/AD-Servers ausgestelltes Zertifikat für Rublon Authentication Proxy verwenden. Stellen Sie sicher, dass die Clients, die sich mit dem Roblon Authentication Proxy verbinden, diesem Zertifikat vertrauen
Was ist der Unterschied zwischen cert_path und ca_certs_dir_path?
cert_path: Gibt die Zertifikatsdatei an, die Rublon Authentication Proxy den integrierten Anwendungen, die sich mit ihm verbinden, präsentiert.
ca_certs_dir_path: Gibt das Verzeichnis mit den Zertifikaten an, denen der Rublon Authentication Proxy bei der Verbindung mit externen Diensten wie LDAP/AD-Servern über LDAPS vertraut.
Wie stelle ich sicher, dass der Proxy meinem LDAP-Zertifikat vertraut?
Standardmäßig werden alle Zertifikate akzeptiert (auch selbstsignierte). Wenn Sie die vom Auth Proxy akzeptierten Server einschränken möchten, legen Sie die Zertifikate eines oder mehrerer LDAP/AD-Server in dem durch ca_certs_dir_path angegebenen Verzeichnis ab. Dies ermöglicht es dem Rublon Authentication Proxy, nur diesen LDAP/AD-Servern zu vertrauen und eine sichere Verbindung aufzubauen und alle anderen Server abzulehnen.
Hilfreiche Links
Rublon Authentication Proxy – Dokumentation
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren