{"id":14907,"date":"2023-09-25T12:49:01","date_gmt":"2023-09-25T19:49:01","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=14907"},"modified":"2023-10-18T03:04:29","modified_gmt":"2023-10-18T10:04:29","slug":"securing-couchbase-with-tls-certificates-part-2","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/pt\/securing-couchbase-with-tls-certificates-part-2\/","title":{"rendered":"Protegendo a comunica\u00e7\u00e3o com certificados TLS: Um guia definitivo para o Couchbase Server (Parte 2 de 3)"},"content":{"rendered":"

Na parte 1 desta s\u00e9rie de 3 partes, aprendemos sobre os componentes do TLS<\/a>Na parte 2, veremos como os componentes do TLS interagem entre si. Em Parte 3<\/a> Neste guia, veremos como os componentes s\u00e3o usados no Couchbase Server.<\/span><\/p>\n

Processo de assinatura de certificados<\/h2>\n

Se voc\u00ea estiver gerenciando sua pr\u00f3pria autoridade de certifica\u00e7\u00e3o interna ou usando um fornecedor comercial estabelecido, como DigiCert, GlobalSign ou GoDaddy, o primeiro est\u00e1gio \u00e9 gerar uma solicita\u00e7\u00e3o de assinatura de certificado. Sempre que um novo certificado ou um certificado de substitui\u00e7\u00e3o precisa ser emitido, a entidade que solicita o certificado gera um par de chaves que consiste em uma chave privada e uma chave p\u00fablica, normalmente usando o pacote OpenSSL. Em um cluster do Couchbase Server, a entidade seria um n\u00f3 individual do Couchbase Server. A chave privada \u00e9 mantida em seguran\u00e7a pela entidade, enquanto a chave p\u00fablica \u00e9 inclu\u00edda em uma solicita\u00e7\u00e3o de assinatura de certificado (CSR) que \u00e9 enviada \u00e0 CA. Normalmente, isso \u00e9 realizado com uma CA intermedi\u00e1ria e n\u00e3o com uma CA raiz.\u00a0<\/span><\/p>\n

\"\"<\/p>\n

Ao receber a CSR, a CA verifica a identidade da entidade empregando v\u00e1rios m\u00e9todos de valida\u00e7\u00e3o, como valida\u00e7\u00e3o de dom\u00ednio ou valida\u00e7\u00e3o de organiza\u00e7\u00e3o. Depois que a identidade \u00e9 confirmada, a CA gera uma assinatura digital usando sua chave privada, que vincula a chave p\u00fablica da entidade \u00e0s suas informa\u00e7\u00f5es de identidade. Esse certificado assinado \u00e9 ent\u00e3o devolvido \u00e0 entidade.<\/span><\/p>\n

Valida\u00e7\u00e3o de certificados<\/span><\/h2>\n

Para validar um certificado, a parte confi\u00e1vel (por exemplo, um navegador da Web) precisa garantir que o certificado seja genu\u00edno e emitido por uma CA confi\u00e1vel. Esse processo envolve uma s\u00e9rie de etapas, incluindo os quatro est\u00e1gios a seguir.<\/span><\/p>\n

\u00c2ncora de confian\u00e7a<\/span><\/h3>\n

\"\"<\/h3>\n

A parte confi\u00e1vel, por exemplo, um navegador da Web, possui um conjunto pr\u00e9-instalado de certificados raiz confi\u00e1veis, tamb\u00e9m conhecidos como \u00e2ncoras de confian\u00e7a. Esses certificados pertencem a CAs conhecidas e cont\u00eam suas chaves p\u00fablicas, o que serve como base de confian\u00e7a.<\/span><\/p>\n

Quando um cliente ou servidor recebe um certificado durante o handshake SSL\/TLS, ele verifica se a assinatura digital do certificado pode ser validada por qualquer uma das \u00e2ncoras de confian\u00e7a instaladas no sistema. Se a cadeia de certificados puder ser rastreada at\u00e9 uma \u00e2ncora de confian\u00e7a, o certificado \u00e9 considerado genu\u00edno e a conex\u00e3o TLS prossegue com confian\u00e7a.\u00a0<\/span><\/p>\n

Caminho de certifica\u00e7\u00e3o<\/span><\/h3>\n

\"\"<\/p>\n

Ao estabelecer uma conex\u00e3o criptografada TLS, a parte confi\u00e1vel (navegador da Web) examina o caminho de certifica\u00e7\u00e3o do certificado, que inclui uma cadeia de certificados que come\u00e7a com o certificado emitido e vai at\u00e9 uma \u00e2ncora de confian\u00e7a. Cada certificado na cadeia \u00e9 assinado pelo certificado subsequente, chegando, por fim, a uma \u00e2ncora de confian\u00e7a.<\/span><\/p>\n

Verifica\u00e7\u00e3o de assinatura<\/span><\/h3>\n

A parte confi\u00e1vel (navegador da Web) usa a chave p\u00fablica de cada certificado no caminho da certifica\u00e7\u00e3o para verificar a assinatura digital do pr\u00f3ximo certificado. Esse processo continua at\u00e9 que a \u00e2ncora de confian\u00e7a seja alcan\u00e7ada.<\/span><\/p>\n

A assinatura digital \u00e9 um valor criptogr\u00e1fico criado pela AC usando sua chave privada, vinculando o conte\u00fado do certificado \u00e0 identidade da AC. O cliente usa a chave p\u00fablica da CA para descriptografar a assinatura digital e, se a descriptografia corresponder ao conte\u00fado do certificado, a assinatura ser\u00e1 considerada v\u00e1lida. Essa valida\u00e7\u00e3o confirma que o certificado n\u00e3o foi adulterado e foi de fato emitido pela autoridade de certifica\u00e7\u00e3o confi\u00e1vel.\u00a0<\/span><\/p>\n

Verifica\u00e7\u00f5es de confian\u00e7a e expira\u00e7\u00e3o<\/span><\/h3>\n

A parte confi\u00e1vel verifica se a \u00e2ncora de confian\u00e7a est\u00e1 inclu\u00edda em seus certificados raiz confi\u00e1veis pr\u00e9-instalados. Ela tamb\u00e9m verifica a data de expira\u00e7\u00e3o de cada certificado para garantir que ele ainda seja v\u00e1lido.<\/span><\/p>\n

\"\"<\/p>\n


\n<\/span>Se todo o caminho de certifica\u00e7\u00e3o for validado com \u00eaxito e a \u00e2ncora de confian\u00e7a for confi\u00e1vel, a parte confi\u00e1vel considera o certificado genu\u00edno e prossegue com a conex\u00e3o segura. Com o Couchbase Server 7.2.x, essa cadeia pode ter 10 certificados.<\/span><\/p>\n

Neste exemplo, as autoridades de certifica\u00e7\u00e3o raiz confi\u00e1veis integradas no navegador da Web s\u00e3o apenas nomes inventados, mas voc\u00ea pode ver uma lista real. As CAs confi\u00e1veis pr\u00e9-autorizadas do Firefox s\u00e3o vinculado a partir de seu wiki<\/a><\/span>. Se o seu certificado for gerado por uma CA que n\u00e3o seja emitida por uma das CAs confi\u00e1veis integradas, primeiro ser\u00e1 necess\u00e1rio adicionar o certificado p\u00fablico da CA como uma entidade confi\u00e1vel ao seu sistema operacional e navegador antes de poder usar os certificados emitidos por essa CA.<\/span><\/p>\n

Agora que j\u00e1 vimos os componentes envolvidos no TLS e como eles funcionam, na parte 3, veremos Como o TLS funciona no Couchbase Server<\/a>.<\/span><\/p>\n