Я хотел бы «закрепить» сертификат или хотя бы центр сертификации для соединений AnyConnect. Учитывая количество SSL и скомпрометированных центров сертификации, я хочу убедиться, что только сертификаты, подписанные определенным центром сертификации, будут приняты клиентом AnyConnect как действительные при установке соединения с VPN.
Как это сделать на ASA 5510?
Я ничего не знаю о вашем оборудовании Cisco, но, вообще говоря, у любого клиента SSL будут установлены копии открытого ключа для центров сертификации, которым он доверяет. Я предполагаю, что ваш комплект Cisco такой же, но я не могу помочь вам с тем, как установить конкретный сертификат, которого у него еще нет.
Если ваша система полагается на общедоступную инфраструктуру CA, то в случае взлома CA мало что поможет. В этот момент злоумышленник MITM может подписать свой собственный ключ, и вы мало что можете сделать, чтобы определить, был ли этот ключ подписан законно или нет. Если у злоумышленника есть ключ CA, нет никакой разницы между ними и ключом, подписанным CA с использованием того же ключа. Единственное, что вы можете сделать, это убедиться, что у вас есть механизм для отслеживания отзывов, которые могут быть выданы для сертификатов CA.
Если вы хотите принимать только сертификаты, подписанные определенным ЦС (ограничивая вашу подверженность компрометации другим ЦС), вы можете удалить все сертификаты ЦС, кроме того, которому вы доверяете.
Многие SSL-соединения с известным набором устройств (и, следовательно, это вероятно для продукта VPN) хранят реестр с отпечатком каждого сертификата клиента или подписывают сертификаты клиента с помощью ключа, хранящегося на сервере (т. Е. Сервер является его собственным CA). в этих случаях нет необходимости во внешнем CA, но должна быть система для безопасной выдачи или подписи сертификатов. Это кажется вероятным для вашего продукта VPN, но, как я уже сказал, я не знаю оборудования Cisco. Однако если у вас есть такая архитектура, ключевым моментом является то, что компрометация общедоступных центров сертификации вас вряд ли будет беспокоить.
Если у вас есть система, в которой ваш VPN-сервер сам подписывает сертификаты, то наличие клиентских сертификатов, подписанных вашим собственным ЦС, ничем не хуже, чем проверка клиентских сертификатов в каком-то реестре, что и является вашим списком закрепленных сертификатов. .