×

برای ورود به صفحه‌ی فارسی وب‌سایت ابر آروان کلیک کنید

Remote Private Key Offloading

Remote Private Key Offloading

ArvanCloud's "OpenSesame" ist eine effektive Lösung für das Remote Private Key Offloading.

Der Schutz des privaten Schlüssels ist eine entscheidende Herausforderung für Kunden wie Online-Finanzdienstleister, Broker, Banken und Fintech-Startups, die sich mit wichtigen Daten in ihrem Unternehmen befassen. Manchmal hindern rechtliche oder gar technische Hindernisse diese Kunden daran, ihren privaten Schlüssel an die CDN-Anbieter weiterzugeben.
ArvanCloud hat die OpenSesame-Lösung entwickelt, um eine sichere Verbindung auf TLS-Basis bereitzustellen und diesen spezifischen Kunden höchste Sicherheit und Geschwindigkeit zu garantieren, ohne dass sie ihren privaten Schlüssel benötigen.

EDGE SERVERKEYSERVER

Warum OpenSesame nutzen?

OpenSesame von ArvanCloud handhabt den TLS-Prozess so, dass der größte Teil dieses Prozesses auf den Edge-Servern von ArvanCloud stattfindet und ein Teil dieses Prozesses, der mit der Überprüfung des privaten Schlüssels zusammenhängt, an den Herkunftsserver weitergeleitet wird, wo sich der private Schlüssel befindet.
Durch die Verwendung von OpenSesame können Finanz- und Bankkunden alle ArvanCloud-Services wie CDN, DDoS Protection und sichere Verbindungen auf TLS-Basis nutzen, ohne dass sie ihren privaten Schlüssel an die Edge-Server von ArvanCloud weitergeben müssen.

Wie funktioniert OpenSesame?

Durch die Implementierung von Änderungen in Nginx und OpenSSL und die Entwicklung der OpenSesame-Funktion ist es ArvanCloud gelungen, die Überprüfung des privaten Schlüssels aus der Ferne durchzuführen und sich mit dem Ursprungsserver zu verbinden, ohne den privaten Schlüssel vom Kunden erhalten zu müssen.
Die Anforderung, eine sichere Verbindung mit OpenSesame herzustellen, besteht darin, eine sichere Verbindung zwischen den ArvanCloud-Servern und den Ursprungs-Servern des Kunden herzustellen. Der Herkunftsserver des Kuden, der den privaten Schlüssel hat, kann diesen Schlüssel an jede anfragende Person weitergeben. Daher ist es notwendig sicherzustellen, dass dieser Schlüssel nicht an Dritte weitergegeben wird, sondern nur an die Edge-Server von ArvanCloud.

So funktioniert die OpenSesame-Funktion:

one

Der Benutzer ist mit dem nächsten ArvanCloud-Edge-Server über den Anycast-Server von ArvanCloud verbunden und sendet das verschlüsselte Pre-Master-Secret mit dem öffentlichen Schlüssel an den Edge-Server.

two

Der Edge-Server von ArvanCloud sendet diese Nachricht mit seinem Zertifikat an den Herkunftsserver des Kunden. Nach dem Empfang dieser Nachricht authentifiziert der Ursprungsserver den ArvanCloud-Server, entschlüsselt die verschlüsselte Nachricht mit dem Premaster-Secret und sendet das Passwort über einen sicheren Tunnel an den Edge-Server von ArvanCloud.

three

Der Edge-Server erhält Zugriff auf das Pre-Master-Secret und erhält den Session Key. Dadurch entsteht eine sichere Verbindung zwischen dem Edge-Server und dem Benutzer.

open-sesame-performance

Die höchste Geschwindigkeit ist garantiert

ArvanCloud ist bestrebt, Websites und den Zugriff der Nutzer auf die Inhalte der Websites in kürzester Zeit zu beschleunigen. Dies gilt auch für Websites, die OpenSesame von ArvanCloud verwenden.
Mit anderen Worten, die Geschwindigkeit des Zugriffs auf die Inhalte einer Website, die die OpenSesame-Funktion von ArvanCloud verwendet, sollte gleich der Upload-Geschwindigkeit einer Website sein, die diese Funktion nicht nutzt. Die geografische Verteilung der Server von ArvanCloud in verschiedenen Rechenzentren stellt diese Anforderung in den Schatten. Wie Sie in der folgenden Abbildung sehen können, müssen bei Nichtnutzung von CDN-Diensten alle Anfragen von jedem Punkt der Welt an den Herkunftsserver der Website gesendet werden, und die geografische Entfernung zwischen den Nutzern und dem Herkunftsserver der Website beeinflusst entscheidend die Geschwindigkeit oder die Verzögerung des Zugriffs auf den Inhalt der Website.

ORIGINSERVERSSL ConnectionWithout ArvanCloud

Bei der Nutzung von CDN-Diensten mit der Verteilung von Website-Inhalten auf den Edge-Servern von ArvanCloud in mehreren Rechenzentren wird die Anfrage des Benutzers aus dem nächstgelegenen Rechenzentrum beantwortet. Dadurch wird die Anfrage des Benutzers in kürzester Zeit beantwortet.

Der gleiche Prozess gilt für die Verwendung von OpenSesame. Das bedeutet, dass die Verbindung der Website-Besucher mit ArvanCloud Edge-Servern anstelle der Originalserver hergestellt wird, so dass die Benutzer die Antwort vom nächsten Rechenzentrum erhalten. Die einzige verzögerte Verbindung hängt mit der Verbindung zwischen ArvanCloud Edge-Servern und dem Herkunftsserver der Website während des TLS Handshake zusammen.

ORIGINSERVERSSL ConnectionWith ArvanCloudArvanCloud

Wie im obigen Bild dargestellt, erfordert die TLS-Verbindung zwischen dem Besucher und dem Herkunftsserver der Website einen Roundtrip, wenn er das ArvanCloud CDN nicht verwendet. Bei Verwendung von ArvanCloud's OpenSesame wird jedoch die Verbindung zwischen dem Website-Besucher und dem Edge-Server von Arvancloud in kürzester Zeit hergestellt und die TLS-Verbindung zwischen dem Edge-Server von ArvanCloud und dem Origin-Server erfordert nur einen Trip. Dadurch wird der Zugriff des Besuchers auf die Inhalte der Website in kürzester Zeit ermöglicht.

Der Grund für einen Roundtrip ist der permanente Verbindungsaufbau zwischen dem Edge-Server von Arvancloud und dem Originalserver der Website. Der Edge-Server von ArvanCloud speichert diese Verbindung nach der ersten Verbindung mit dem Originalserver zum ersten Mal, und die Anfragen der späteren Website-Besucher werden über die gleiche Verbindung aufgebaut und beantwortet.