我想“钉住”证书或至less是AnyConnect连接的证书颁发机构。 考虑到SSL传输的数量和被破坏的CA的数量,我希望确保在build立到VPN的连接时,只有由某个CA签名的证书被AnyConnect客户端接受为有效。
如何在ASA 5510上做到这一点?
我对您的思科设备一无所知,但一般而言,任何SSL客户端都会为其所信任的CA安装公钥的副本。 我认为你的思科工具包是相同的,但我不能帮助你如何安装它还没有的特定证书。
如果您的系统依赖于公共CA基础架构,那么如果CA受到威胁,则没有多大帮助。 在这一点上,MITM攻击者可以签署自己的密钥,而且你很难区分这个密钥是否被合法签名。 如果攻击者拥有CA密钥,则它们与CA使用相同密钥签名的密钥之间没有区别。 你唯一能做的就是确保你有一个跟踪可能为CA证书颁发的撤销的机制。
如果您只想接受由特定CA签名的证书(限制您受到其他CA受到攻击的风险),则可以删除除您信任的CA之外的所有CA证书。
很多与一套已知的设备进行SSL通信(因此这可能是一个VPN产品),使用每个客户端证书的指纹来保存registry,或者用服务器所持有的密钥来签署客户端证书(即服务器是自己的CA)。 在这种情况下,不需要外部CA,但必须有一个安全地签发或签署证书的系统。 这对您的VPN产品来说似乎很可能,但正如我所说,我不知道思科设备。 如果你有这样的架构,关键是公共CA的妥协不太可能让你担心。
如果您有一个系统,您的VPN服务器自己签署证书,那么通过您自己的CA签署客户端证书就像检查某种registry的客户端证书一样好,这就是您的固定证书列表将有效地。