在网络内部使用证书管理的情况下,需要管理以下内容:
- 证书颁发机构(CA):选择合适的CA,或者建立自己的CA来颁发证书。
- 证书申请和签发:对于需要使用证书的实体,需要进行证书申请和签发,并将签发的证书部署到相关系统中。
- 证书更新和吊销:需要定期更新证书,确保证书的有效性,并在必要时吊销证书,以保证网络安全。
- 证书存储和管理:需要安全地存储和管理证书,以避免证书泄露和被恶意使用。
- 证书验证和信任管理:需要对收到的证书进行验证,确保证书的合法性和真实性,并建立信任链,以便于在网络中进行安全通信。
这些管理措施可以提高网络安全性,并确保证书的有效性和可靠性。
发现方式
1、获取局域网/指定IP端内活动的主机IP
2、扫描活动主机IP的指定端口,获取证书信息
网络发现工具
namp
测试服务器:192.168.6.100
快速发现活动的主机IP
nmap -sP 192.168.6.0/24
端口扫描-sS (TCP SYN扫描)
nmap -sS 192.168.6.0/24
只扫描指定端口, 例如
-p U:53,111,137,T:21-25,80,139,8080
将扫描UDP 端口53,111,和137,同时扫描列出的TCP端口
证书扫描工具
tls-scan
测试服务器:192.168.6.121
./tls-scan -c 192.168.6.120 --session-print --timeout=5 --sleep=1000 --pretty
./tls-scan -c www.jimisec.com --session-print --timeout=5 --sleep=1000 --all --pretty
| -c --cacert= | Root CA file for certificate validation. By default the program attempts to load ca-bundle.crt file from current directory. |
|---|---|
| -u --session-print | Print SSL session in PEM format to stderr. This is currently not included in the JSON output, but print seperately. This flag woould be useful if you wanted to pass SSL session to --session-file to test session reuse. |
| -t --timeout= | Timeout per connection (in seconds). Note that is is per connection and for cipher scans, tls-scan makes several connections to the same server. Default: 10. |
| -S --sleep= | Add milliseconds delay between the connection. Only for --cipher-enum and --version-enum options. Useful to manage server rate-limits. The max sleep value is 60000 (1 minute). Default: 0. |
| -a --all | Shortcut for --version-enum, --cipher-enum and --session-reuse options. This scan can take longer time to complete. Also note if the server employs some form of rate-limiting, your scan may fail. |
| -n --pretty | Pretty print; add newline (\n) between record fields. |
