SSL-certificaten en Bomgar Privileged Access

In deze gids leert u over de rol van SSL-certifaten in Bomgar: waar zijn ze voor nodig en hoe worden ze gebruikt.

Wat is SSL?

SSL (Secure Socket Layer, beveiligde socket-laag) is een beveiligingsprotocol dat versleuteling gebruikt om ervoor te zorgen dat gegevens beveiligd over het internet worden overgedragen. Een SSL-certificaat is een klein digitaal bestand dat bestaat uit een sleutelpaar: publieke en een privésleutel bevat, samen met een “onderwerp”, de identiteit van de eigenaar van het certificaat. Deze sleutels functioneren zodanig, dat er een beveiligde, versleutelde verbinding tussen de twee partijen kan worden opgebouwd. Als bijvoorbeeld een browser en een server een beveiligde verbinding moeten opbouwen, dan is een SSL-certificaat nodig. In feite werkt een SSL-certificaat als een gecertificeerd, digitaal bewijs van uw online identiteit.

Voordat Bomgar u een aangepast softwarelicentiepakket kan leveren, moet op uw Bomgar Box een geldig SSL-certificaat zijn geïnstalleerd dat met de hostnaam overeenkomt die u voor uw Bomgar site hebt geselecteerd.

Als het SSL-certificaat correct is geïnstalleerd, dan kan ermee de identiteit van uw Bomgar site worden gevalideerd en kan software zoals webbrowsers en Bomgar clients beveiligde, versleutelde verbindingen opbouwen.

 

Wat is een certificaat-autoriteit?

De CA of uitgevende certificeringsinstantie geeft meerdere certificaten in een certificaatketen uit waarmee kan worden aangetoond dat het certificaat van uw site door de CA is uitgegeven. Dit wordt gevalideerd door middel van een combinatie van een publieke en een privésleutel. De privésleutel moet worden gevalideerd met de publieke sleutel, beschikbaar voor alle bezoekers van uw site, om de authenticiteit van de certificaatketen te verifiëren. De certificaatketen bestaat meestal uit drie typen certificaten:

Basiscertificaat: het certificaat dat de certificaat-autoriteit identificeert.

Tussenliggende basiscertificaten: certificaten die door een tussenliggende CA digitaal zijn getekend en uitgegeven. Een dergelijke CA wordt ook wel een ondertekenende CA of een onderliggende CA genoemd.

Identiteitscertificaat: een certificaat dat een publieke sleutelwaarde koppelt aan een echte entiteit zoals een persoon, computer of webserver.

Als uw SSL-certificaat niet met de hostnaam van uw Bomgar site overeenkomt, dan krijgen uw gebruikers beveiligingsfouten. De juiste manier om dit op te lossen is om een SSL-certificaat te krijgen dat door een derde partij, een certificaat-autoriteit (CA), is ondertekend.

Als tijdelijke oplossing kunt u een zelf-ondertekend certificaat aanmaken, maar dit is geen oplossing voor alle fouten die kunnen ontstaan als u geen door een CA ondertekend certificaat hebt. Als uw site het standaard meegeleverde certificaat gebruikt of zelfs als uw site een zelf-ondertekend certificaat gebruikt, dan krijgen gebruikers die toegang proberen te krijgen tot uw Bomgar site nog steeds een waarschuwing dat uw site niet vertrouwd is. Bovendien kunnen bepaalde software-clients zonder een door een CA ondertekend certificaat helemaal niet functioneren. Bomgar software-clients die absoluut de verhoogde beveiliging van een door een CA ondertekend certificaat nodig hebben, zijn:

  • Toegangsconsoles op iOS en Android
  • Linux software-clients (toegangsconsoles, clients op eindpunten)

Hoe verkrijg ik een door een CA ondertekend SSL-certificaat?

Om een geldig door een CA ondertekend SSL-certificaat te verkrijgen, moet u een verzoek voor ondertekening van een certificaat (CSR) aanmaken en indienen zoals beschreven in 'Aanmaken van een certificaat ondertekend door een certificeringsinstantie voor uw PA-apparaat'. Het CSR bevat de publieke sleutel uit uw Bomgar Box en de onderscheiden naam van uw apparaat.

Nadat het CSR is aangemaakt, genereert het apparaat een unieke privésleutel en slaat die op. U moet het CSR dan naar een CA zenden zonder de privésleutel. De CA valideert de identiteit van uw site en zendt een ondertekend certificaat naar u terug, dat u op uw Bomgar Box moet installeren.

Als het nieuwe certificaat in Bomgar wordt geïnstalleerd, dan wordt de privésleutel automatisch aan het nieuwe certificaat gekoppeld, waarna het apparaat klaar staat om versleuteld verkeer van externe clients, zoals toegangsconsoles en webbrowsers, te decoderen. De privésleutel en het bijbehorende certificaat kunnen tussen servers worden overgedragen (bijv. van een IIS-server naar een Bomgar Box). Maar als u ze ooit kwijt raakt, dan is het niet meer mogelijk om versleuteld verkeer te decoderen en kan de integriteit van het apparaat niet meer worden gevalideerd. Het certificaat moet dan worden vervangen.

Verzend de privésleutel nooit via internet en beveilig het altijd met een sterk wachtwoord.

Om de volledige functionaliteit van de Bomgar software tot uw beschikking te hebben en beveiligingsrisico's te voorkomen, is het van het grootste belang dat u zo snel mogelijk een geldig door een CA ondertekend SSL-certificaat verkrijgt.

U kunt een SSL-certificaat van een commerciële of openbare certificaat-autoriteit verkrijgen of van een interne CA-server, als uw organisatie die gebruikt. Bomgar vereist niet dat klanten een certificaat van een geselecteerde lijst certificaat-autoriteiten verkrijgen.

Bomgar vereist geen speciaal type certificaat. Bomgar accepteert certificaten met jokertekens, subject alternative name (SAN) certificaten, Unified Communications (UC) certificaten, Extended Validation (EV) certificaten enz., naast standaard certificaten.

In de secties in deze gids wordt uitgelegd hoe u een certificaat de eerste keer aanvraagt en uploadt, hoe u een certificaat naar extra Bomgar Boxen kopieert, hoe u een verlopen certificaat vernieuwt en hoe u een certificaat vervangt door een certificaat van een andere certificaat-autoriteit.