3 Certificate Revocation List Management

Certificate Revocation Lists (CRLs) là một phần của hệ thống X.509 công bố danh sách chứng chỉ không còn đáng tin cậy nữa. Các chứng chỉ này có thể đã bị xâm phạm hoặc nếu không còn sử dụng cần phải bị vô hiệu. Một ứng dụng sử dụng CA, chẳng hạn như OpenVPN có thể tùy chọn sử dụng CRL để có thể xác minh kết nối chứng chỉ máy khách. Một CRL được tạo ra và ký kết với một CA bằng cách sử dụng khóa riêng của nó, do đó, để tạo ra hoặc thêm giấy chứng nhận vào một CRL trong GUI, phải có Private Key của CA. Nếu CA được quản lý bên ngoài và private key cho CA không phải ở trên tường lửa, một CRL vẫn có thể được tạo ra bên ngoài tường lửa và imported

Cách truyền thống để sử dụng CRL là chỉ có một CRL cho một CA và chỉ thêm các chứng chỉ không hợp lệ vào CRL đó. Tuy nhiên, trong pfSense, nhiều CRL có thể được tạo cho một CA. Trong OpenVPN, các CRL khác nhau có thể được chọn cho các trường hợp VPN riêng biệt. Ví dụ, điều này có thể được sử dụng để ngăn một chứng chỉ cụ thể kết nối với một phiên bản trong khi cho phép nó kết nối với một phiên bản khác.

Certificate Revocation Lists được quản lý tại System > Cert Manager, trên tab Certificate Revocation. Từ màn hình này, các mục nhập CRL có thể được thêm, chỉnh sửa, xuất hoặc xóa. Danh sách sẽ hiển thị tất cả Certificate Authorities và tùy chọn để thêm CRL. Màn hình cũng cho biết CRL là internal hay external (imported) và nó hiển thị số lượng chứng chỉ đã bị thu hồi trên mỗi CRL.

3.1 Create a new Certificate Revocation List

  • Từ System > Cert Manager click tab Certificate Revocation
  • Click Add or Import CRL Để thêm hoặc import một CRL mới
  • Ở phần Method chọn Create an Internal Certificate Revocation List
  • Descriptive name Được sử dụng để xác định CRL trong danh sách xung quanh GUI. Nó thường là lựa chọn tốt nhất để bao gồm một tham chiếu đến tên của CA và/hoặc mục đích của CRL.
  • Ở mục Certificate Authority Chúng ta lựa chọn CA để sử dụng.
  • Click Save để lưu

pfsense 20 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

Trình duyệt sẽ quay trở lại danh sách CRL, và Certificate Revocation mới sẽ được hiển thị

pfsense 21 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

3.2 Import an Existing Certificate Revocation List

Để import CRL từ nguồn bên ngoài vào:

  • Từ System > Cert Manager, chọn tab Certificate Revocation
  • Click Add or Import CRL Để thêm hoặc import một CRL mới
  • Ở mục Method chọn Import an Existing Certificate Revocation List
  • Descriptive name Được sử dụng để xác định CRL trong danh sách xung quanh GUI. Nó thường là lựa chọn tốt nhất để bao gồm một tham chiếu đến tên của CA và/hoặc mục đích của CRL.
  • Ở mục Certificate Authority Chúng ta lựa chọn CA để sử dụng.
  • Nhập CRL data Nó thường nằm trong một tập tin kết thúc bằng .crl. Nó sẽ là dữ liệu văn bản thuần túy kèm theo trong một khối, ví dụ như:

-----BEGIN X509 CRL-----
[A bunch of random-looking base64-encoded data]
-----END X509 CRL-----

  • Click Save để kết thúc quá trình import

Nếu xuất hiện lỗi, hãy làm theo hướng dẫn trên màn hình để khắc phục sự cố rồi thử lại. Lỗi phổ biến nhất là không dán đúng phần của dữ liệu CRL. Đảm bảo nhập toàn bộ khối, bao gồm đầu trang và cuối trang dữ liệu xung quanh được mã hóa.

pfsense 22 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

3.3 Export a Certificate Revocation List

Từ System > Cert Manager chọn tab Certificate Revocation ở đây danh sách CRL được hiển thị ở đây. CRL cũng có thể được export.

Để export CRL, click icon Export CRL. File CRL sẽ được tải xuống với tên mô tả của CRL làm tên tệp và phần đuôi sẽ là .crl.

pfsense 23 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

3.4 Delete a Certificate Revocation List

  • Kiểm tra các khu vực có thể sử dụng CRL, chẳng hạn như OpenVPN.
  • Xóa các mục nhập bằng CRL hoặc chọn CRL khác thay thế.
  • Từ System > Cert Manager click tab Certificate Revocation
  • Danh sách CRL sẽ được liệt kê, hẫy tìm CRL cần xoá
  • Click icon Delete CRL để xoá CRL
  • Click OK để xác nhận

Nếu lỗi xuất hiện, hãy làm theo hướng dẫn trên màn hình để khắc phục sự cố rồi thử lại.

pfsense 24 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

3.5 Revoke a Certificate

CRL bị thu hồi chứng chỉ thì sẽ không còn hữu ích nữa. Chứng chỉ bị thu hồi bằng cách thêm chứng chỉ vào CRL:

  • Từ System > Cert Manager click tab Certificate Revocation
  • Danh sách CRL sẽ được liệt kê, hãy tìm CRL cần edit
  • Click icon edit CRL. Một màn hình sẽ được hiển thị liệt kê mọi chứng chỉ hiện đã bị thu hồi và một điều khiển để thêm chứng chỉ mới.
  • Chọn chứng chỉ được hiển thị từ mục Choose a Certificate to Revoke

pfsense 25 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

  • Reason Chọn lý do từ danh sách thả xuống để cho biết lý do tại sao chứng chỉ bị thu hồi. Thông tin này không ảnh hưởng đến hiệu lực của chứng chỉ mà nó chỉ mang tính chất thông tin. Tùy chọn này có thể được để ở giá trị mặc định là No Status.
  • Click Add và chứng chỉ sẽ được thêm vào CRL.

pfsense 26 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

Chứng chỉ cũng có thể xoá khỏi CRL bằng màn hình này:

  • Từ System > Cert Manager click tab Certificate Revocation
  • Danh sách CRL sẽ được liệt kê, hãy tìm CRL cần edit
  • Click icon edit CRL
  • Ở phần Currently Revoked Certificates for CRL. Tìm chứng chỉ trong danh sách này và click icon Delete this certificates from CRL.

pfsense 27 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

 

  • Click OK để xác nhận.

pfsense 28 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 10)

 

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x