Gerenciamento de Certificados

Introdução Básica à Infraestrutura de Chaves Públicas X.509

Uma opção de autenticação para VPNs é usar as chaves X.509. Uma discussão aprofundada do X.509 e Public Key Infrastructure (PKI) está fora do escopo deste livro, e é o tópico de um número de livros inteiros para os interessados ​​em detalhes. Este capítulo fornece a compreensão básica necessária para criar e gerenciar certificados no pfSense.

Com PKI, primeiro é criada uma autoridade de certificação (CA). Essa CA, em seguida, assina todos os certificados individuais na PKI. O certificado da CA é usado em servidores e clientes VPN para verificar a autenticidade dos certificados de servidor e cliente usados. O certificado para a autoridade de certificação pode ser usado para verificar a assinatura em certificados, mas não para assinar certificados. Assinar certificados requer a chave privada para a CA. O sigilo da chave privada da AC é o que garante a segurança de uma PKI. Qualquer pessoa com acesso à chave privada da CA pode gerar certificados para serem usados ​​em uma PKI, portanto, ela deve ser mantida segura. Essa chave nunca é distribuída para clientes ou servidores.

Nunca copie mais arquivos para os clientes do que o necessário, pois isso pode comprometer a segurança da PKI.

Um certificado é considerado válido se tiver sido confiável por uma determinada autoridade de certificação. Nesse caso de VPNs, isso significa que um certificado feito de uma CA específica seria considerado válido para qualquer VPN usando essa CA. Por esse motivo, a prática recomendada é criar uma CA exclusiva para cada VPN que tenha um nível diferente de segurança. Por exemplo, se houver duas VPNs de acesso móvel com o mesmo acesso de segurança, usar a mesma CA para essas VPNs é OK. No entanto, se uma VPN for para usuários e outra VPN for para gerenciamento remoto, cada uma com restrições diferentes, uma CA exclusiva para cada VPN deverá ser usada.

Listas de Revogação de Certificados (CRLs) são listas de certificados que foram comprometidos ou precisam ser invalidados. Revogar um certificado fará com que ele seja considerado não confiável, desde que o aplicativo que usa a CA também use uma CRL. As CRLs são geradas e assinadas contra uma autoridade de certificação usando sua chave privada, portanto, para criar ou adicionar certificados a uma CRL na GUI, a chave privada de uma autoridade de certificação deve estar presente.