Entschlüsseln Sie den TLS-Verkehr mit Zertifikaten und privaten Schlüsseln
Sie können weitergeleiteten TLS-Verkehr entschlüsseln, indem Sie den privaten Schlüssel und das Serverzertifikat hochladen, die mit diesem Verkehr verknüpft sind. Das Zertifikat und der Schlüssel werden über eine HTTPS-Verbindung von einem Webbrowser auf das ExtraHop-System hochgeladen.
Nach dem Upload werden private Schlüssel verschlüsselt und auf dem ExtraHop-System gespeichert. Um sicherzustellen , dass private Schlüssel nicht auf andere Systeme übertragbar sind, werden sie mit einem internen Schlüssel verschlüsselt, der spezifische Informationen für das System enthält, auf das sie hochgeladen wurden.
Die Trennung der Rechte wird durchgesetzt, sodass nur der TLS-Entschlüsselungsprozess auf dem System auf die privaten Schlüssel zugreifen kann. Sie können zwar über die Verwaltungseinstellungen neue private Schlüssel hinzufügen, aber Sie können nicht auf gespeicherte private Schlüssel zugreifen.
| Hinweis: | Ihr Verkehr muss mit einem verschlüsselt sein unterstützte Verschlüsselungssuite. Erfahre mehr über TLS-Entschlüsselung. |
Laden Sie ein PEM-Zertifikat und einen privaten RSA-Schlüssel hoch
| Hinweis: | Sie können einen kennwortgeschützten Schlüssel exportieren, um ihn Ihrem ExtraHop-System hinzuzufügen,
indem Sie den folgenden Befehl in einem Programm wie OpenSSL ausführen:
openssl rsa -in yourcert.pem -out new.key |
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Erfassen.
- klicken SSL-Entschlüsselung.
- In der Entschlüsselung des privaten Schlüssels Abschnitt, wählen Sie das Kontrollkästchen für Private Schlüssel erforderlich.
- Klicken Sie Speichern.
- In der Private Schlüssel Abschnitt, klicken Schlüssel hinzufügen.
- In der Name Feld, geben Sie einen beschreibenden Namen zur Identifizierung dieses Zertifikats und Schlüssels ein.
- Löschen Sie das Aktiviert Checkbox, wenn Sie dieses TLS-Zertifikat deaktivieren möchten.
- In der Zertifikat Feld, fügen Sie das Public-Key-Zertifikat ein.
- In der Privater Schlüssel Feld, fügen Sie den privaten RSA-Schlüssel ein.
- Klicken Sie Hinzufügen.
Nächste Maßnahme
Fügen Sie die verschlüsselten Protokolle hinzu Sie möchten mit diesem Zertifikat entschlüsseln.Laden Sie eine PKCS #12 /PFX-Datei hoch
PKCS #12 /PFX-Dateien werden in einem sicheren Container auf dem ExtraHop-System archiviert und enthalten sowohl öffentliche als auch private Schlüsselpaare, auf die nur mit einem Passwort zugegriffen werden kann.
| Hinweis: | Um private Schlüssel aus einem Java KeyStore in eine PKCS #12 -Datei zu exportieren, führen Sie den
folgenden Befehl auf Ihrem Server aus, wobei javakeystore.jks ist der
Pfad Ihres
Java-KeyStores:keytool -importkeystore -srckeystore javakeystore.jks -destkeystore pkcs.p12 -srcstoretype jks -deststoretype pkcs12 |
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Sie Erfassen.
- Klicken Sie SSL-Entschlüsselung.
- In der Entschlüsselung des privaten Schlüssels Abschnitt, wählen Sie das Kontrollkästchen für Private Schlüssel erforderlich.
- Klicken Sie Speichern.
- In der Private Schlüssel Abschnitt, klicken Sie Schlüssel hinzufügen.
- In der PKCS #12 /PFX-Datei mit Passwort hinzufügen Abschnitt, geben Sie im Feld Beschreibung einen beschreibenden Namen zur Identifizierung dieses Zertifikats und Schlüssels ein.
- Löschen Sie das Aktiviert Checkbox, wenn Sie dieses TLS-Zertifikat deaktivieren möchten.
- Für PKCS #12 /PFX-Datei, klicken Sie Stöbern.
- Navigieren Sie zu der Datei, wählen Sie sie aus und klicken Sie dann auf Offen.
- In der Passwort Feld, geben Sie das Passwort für die PKCS #12 /PFX-Datei ein.
- Klicken Sie Hinzufügen.
- Klicken Sie OK.
Nächste Maßnahme
Fügen Sie die verschlüsselten Protokolle hinzu Sie möchten mit diesem Zertifikat entschlüsseln.Verschlüsselte Protokolle hinzufügen
Sie müssen jedes Protokoll, das Sie entschlüsseln möchten, für jedes hochgeladene Zertifikat hinzufügen.
Unterstützte TLS-Verschlüsselungssammlungen
Das ExtraHop-System kann TLS-Verkehr entschlüsseln, der mit PFS- oder RSA-Cipher-Suites verschlüsselt wurde. Alle unterstützten Cipher-Suites können entschlüsselt werden, indem der Session Key Forwarder auf einem Server installiert und das ExtraHop-System konfiguriert wird.
Cipher Suites für RSA können den Datenverkehr auch mit einem Zertifikat und einem privaten Schlüssel entschlüsseln — mit oder ohne Sitzungsschlüsselweiterleitung.
Entschlüsselungsmethoden
Die folgende Tabelle enthält eine Liste von Cipher-Suites, die das ExtraHop-System kann entschlüsseln zusammen mit den
unterstützten Entschlüsselungsoptionen.
- PFS + GPP: das ExtraHop-System kann diese Verschlüsselungssammlungen mit Sitzungsschlüsselweiterleitung entschlüsseln und Zuordnung von globalem Protokoll zu Port
- PFS + Zertifikat: Das ExtraHop-System kann diese Cipher-Suites mit Sitzungsschlüsselweiterleitung entschlüsseln und Zertifikat und privater Schlüssel
- RSA + Zertifikat: das ExtraHop-System kann diese Cipher-Suites ohne Weiterleitung des Sitzungsschlüssels entschlüsseln, solange Sie die Datei hochgeladen haben Zertifikat und privater Schlüssel
| Hex-Wert | Vorname (IANA) | Nome (OpenSSL) | Unterstützte Entschlüsselung |
|---|---|---|---|
| 0 x 04 | TLS_RSA_MIT_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0 x 05 | TLS_RSA_MIT_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0 x 0A | TLS_RSA_MIT_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0 x 16 | TLS_DHE_RSA_MIT_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
| 0x2F | TLS_RSA_MIT_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0 x 33 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
| 0x35 | TLS_RSA_MIT_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0x39 | TLS_DHE_RSA_MIT_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
| 0x3C | TLS_RSA_MIT_AES_128_CBC_SHA256 | AES128-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0x3D | TLS_RSA_MIT_AES_256_CBC_SHA256 | AES256-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0x67 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
| 0x6 B | TLS_DHE_RSA_MIT_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | PFS + GPP PFS + Zertifikat |
| 0x9C | TLS_RSA_MIT_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0x9D | TLS_RSA_MIT_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
| 0x9E | TLS_DHE_RSA_MIT_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
| 0x9F | TLS_DHE_RSA_MIT_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
| 0 x 1301 | TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | PFS + GPP PFS + Zertifikat |
| 0 x 1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | PFS + GPP PFS + Zertifikat |
| 0 x 1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | PFS + GPP PFS + Zertifikat |
| 0xC007 | TLS_ECDHE_ECDSA_MIT_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS + GPP |
| 0xC008 | TLS_ECDHE_ECDSA_MIT_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS + GPP |
| 0xC009 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS + GPP |
| 0xC00A | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS + GPP |
| 0xC011 | TLS_ECDHE_RSA_MIT_RC4_128_SHA | ECDHE-RSA-RC4-SHA | PFS + GPP PFS + Zertifikat |
| 0xC012 | TLS_ECDHE_RSA_MIT_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
| 0xC013 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
| 0xC014 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
| 0xC023 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS + GPP |
| 0xC024 | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS + GPP |
| 0xC027 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
| 0xC028 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | PFS + GPP PFS + Zertifikat |
| 0xC02B | TLS_ECDHE_ECDSA_MIT_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS + GPP |
| 0xC02C | TLS_ECDHE_ECDSA_MIT_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS + GPP |
| 0xC02F | TLS_ECDHE_RSA_MIT_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
| 0xC030 | TLS_ECDHE_RSA_MIT_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
| 0xCCA9 | TLS_ECDHE_ECDSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS + GPP |
| 0xCCAA | TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?