Как передать доверие стека с одного компьютера на другой
Обновлено: 21.11.2024
Одной из наиболее распространенных сегодня форм криптографии является криптография с открытым ключом. Криптография с открытым ключом использует открытый ключ и закрытый ключ. Система работает путем шифрования информации с помощью открытого ключа. Затем информацию можно расшифровать только с помощью закрытого ключа.
Сертификат — это метод, используемый для распространения открытого ключа и другой информации о сервере и организации, которая за него отвечает. Сертификаты могут быть снабжены цифровой подписью Центра сертификации или ЦС. ЦС – это доверенная третья сторона, которая подтвердила точность информации, содержащейся в сертификате.
Типы сертификатов
Чтобы настроить безопасный сервер с использованием криптографии с открытым ключом, в большинстве случаев вы отправляете свой запрос на сертификат (включая свой открытый ключ), подтверждение личности вашей компании и оплату в центр сертификации. ЦС проверяет запрос сертификата и вашу личность, а затем отправляет обратно сертификат для вашего защищенного сервера. Кроме того, вы можете создать собственный самозаверяющий сертификат.
Примечание
Обратите внимание, что самозаверяющие сертификаты не следует использовать в большинстве производственных сред.
Браузеры (обычно) автоматически распознают подпись ЦС и разрешают безопасное соединение без запроса пользователя.
Когда ЦС выдает подписанный сертификат, он гарантирует подлинность организации, которая предоставляет веб-страницы для браузера.
Большинство программ, поддерживающих SSL/TLS, имеют список центров сертификации, чьи сертификаты они принимают автоматически. Если браузер встречает сертификат, авторизующий ЦС которого отсутствует в списке, браузер просит пользователя либо принять, либо отклонить соединение. Кроме того, другие приложения могут генерировать сообщение об ошибке при использовании самозаверяющего сертификата.
Процесс получения сертификата от ЦС довольно прост. Краткий обзор выглядит следующим образом:
Создайте пару открытого и закрытого ключей шифрования.
Создайте запрос на подпись сертификата на основе открытого ключа. Запрос сертификата содержит информацию о вашем сервере и компании, которая его размещает.
Отправьте запрос сертификата вместе с документами, подтверждающими вашу личность, в ЦС. Мы не можем сказать вам, какой центр сертификации выбрать. Ваше решение может быть основано на вашем прошлом опыте, опыте ваших друзей или коллег или исключительно на денежных факторах.
После того как вы выбрали ЦС, вам необходимо следовать инструкциям, которые они предоставляют, о том, как получить от них сертификат.
Когда центр сертификации убедится, что вы действительно тот, за кого себя выдаете, он отправит вам цифровой сертификат.
Установите этот сертификат на защищенный сервер и настройте соответствующие приложения для использования сертификата.
Создание запроса на подпись сертификата (CSR)
Независимо от того, получаете ли вы сертификат от ЦС или создаете собственный самозаверяющий сертификат, первым шагом является создание ключа.
Если сертификат будет использоваться сервисными демонами, такими как Apache, Postfix, Dovecot и т. д., часто подходит ключ без парольной фразы. Отсутствие парольной фразы позволяет запускать службы без ручного вмешательства, что обычно является предпочтительным способом запуска демона.
В этом разделе рассматривается создание ключа с парольной фразой и без него. Затем ключ без парольной фразы будет использоваться для создания сертификата, который можно использовать с различными сервисными демонами.
Предупреждение
Запуск защищенной службы без кодовой фразы удобен, поскольку вам не нужно будет вводить парольную фразу каждый раз при запуске защищенной службы. Но это небезопасно, и компрометация ключа означает также компрометацию сервера.
Чтобы сгенерировать ключи для запроса на подпись сертификата (CSR), выполните следующую команду из командной строки терминала:
Теперь вы можете ввести парольную фразу. В целях безопасности он должен содержать не менее восьми символов. Минимальная длина при указании -des3 составляет четыре символа. Лучше всего использовать цифры и/или знаки препинания, а не слова из словаря. Также помните, что ваша парольная фраза чувствительна к регистру.
Повторно введите кодовую фразу для подтверждения. После того, как вы введете его правильно, ключ сервера будет сгенерирован и сохранен в файле server.key.
Теперь создайте небезопасный ключ, без кодовой фразы, и перетасуйте имена ключей:
Небезопасный ключ теперь называется server.key , и вы можете использовать этот файл для создания CSR без кодовой фразы.
Чтобы создать CSR, выполните следующую команду в командной строке терминала:
Появится запрос на ввод парольной фразы. Если вы введете правильную кодовую фразу, вам будет предложено ввести название компании, имя сайта, идентификатор электронной почты и т. д.Как только вы введете все эти данные, ваш CSR будет создан и сохранен в файле server.csr.
Теперь вы можете отправить этот файл CSR в центр сертификации для обработки. ЦС будет использовать этот файл CSR и выдавать сертификат. С другой стороны, вы можете создать самозаверяющий сертификат, используя этот CSR.
Создание самозаверяющего сертификата
Чтобы создать самозаверяющий сертификат, выполните следующую команду в командной строке терминала:
Приведенная выше команда предложит вам ввести парольную фразу. Как только вы введете правильную кодовую фразу, ваш сертификат будет создан и сохранен в файле server.crt.
Предупреждение
Если ваш защищенный сервер будет использоваться в производственной среде, вам, вероятно, потребуется сертификат, подписанный ЦС. Не рекомендуется использовать самоподписанный сертификат.
Установка сертификата
Вы можете установить файл ключа server.key и файл сертификата server.crt или файл сертификата, выданный вашим ЦС, выполнив следующие команды в командной строке терминала:
Центр сертификации
Если службам в вашей сети требуется несколько самозаверяющих сертификатов, возможно, стоит приложить дополнительные усилия для настройки собственного внутреннего центра сертификации (ЦС). Использование сертификатов, подписанных вашим собственным ЦС, позволяет различным службам, использующим сертификаты, легко доверять другим службам, использующим сертификаты, выпущенные тем же ЦС.
Сначала создайте каталоги для хранения сертификата ЦС и связанных файлов:
Для работы ЦС требуется несколько дополнительных файлов: один для отслеживания последнего серийного номера, использованного ЦС, каждый сертификат должен иметь уникальный серийный номер, а еще один файл для записи выпущенных сертификатов:
Третий файл — это файл конфигурации ЦС. Хотя это и не является строго необходимым, это очень удобно при выдаче нескольких сертификатов. Отредактируйте /etc/ssl/openssl.cnf и в [ CA_default ] измените:
Далее создайте самозаверяющий корневой сертификат:
Затем вам будет предложено ввести сведения о сертификате.
Теперь установите корневой сертификат и ключ:
Теперь вы готовы начать подписывать сертификаты. Первым необходимым элементом является запрос на подпись сертификата (CSR), подробности см. в разделе Создание запроса на подпись сертификата (CSR). Получив CSR, введите следующее, чтобы сгенерировать сертификат, подписанный ЦС:
После ввода пароля для ключа ЦС вам будет предложено подписать сертификат и снова зафиксировать новый сертификат. Затем вы должны увидеть довольно большое количество выходных данных, связанных с созданием сертификата.
Последующие сертификаты будут называться 02.pem , 03.pem и т. д.
Наконец, скопируйте новый сертификат на хост, которому он нужен, и настройте соответствующие приложения для его использования. Расположение по умолчанию для установки сертификатов — /etc/ssl/certs. Это позволяет нескольким службам использовать один и тот же сертификат без слишком сложных прав доступа к файлам.
Для приложений, которые можно настроить на использование сертификата ЦС, необходимо также скопировать файл /etc/ssl/certs/cacert.pem в каталог /etc/ssl/certs/ на каждом сервере.
Ссылки
Дополнительную информацию об OpenSSL см. на главной странице OpenSSL.
Кроме того, O’Reilly’s Network Security with OpenSSL является хорошим подробным справочником.
У меня есть файл p12. Это было создано из DigiCert p7b.
Когда я импортирую это в свой личный магазин на одном компьютере (сервер Windows, используя сертификаты mmc), он показывает мне одну цепочку, когда я просматриваю путь.
Используя тот же файл, я импортирую его в свой личный магазин на другом компьютере (тоже с Windows, используя сертификаты mmc). На этом я вижу другой путь (и в этом случае у него просроченный прыжок)
В частности, на два перехода выше моего сертификата возникает расхождение.
Почему это происходит? Могу ли я что-нибудь сделать, чтобы повлиять на эту цепочку (помните, что это тот же p12, который создает разные пути)?
Я также должен сказать, что я не эксперт в этой области. Я разработчик, который решает эти проблемы безопасности, когда это необходимо.
Не могли бы вы изучить этот файл p12? Есть ли у него сертификаты выдающих ЦС? Для этого можно использовать XCA. Я предполагаю, что где-то в цепочке сертификации есть сертификат, прошедший перекрестную сертификацию. Также на одной из ваших машин вы, вероятно, вручную импортировали другую цепочку. Было бы неплохо протестировать импорт этого p12 на новых установках Windows. Бьюсь об заклад, что цепочка сертификатов будет такой же.
2 ответа 2
У меня была такая же проблема. Два разных сервера Windows 2008 r2, один и тот же сертификат. После стандартного исправления ОС один из серверов отправлял только первый уровень цепочки доверия сертификатов (номер 0), поэтому клиент openssl выдавал ошибку с сообщением: ошибка проверки: num=21:невозможно проверить первый сертификат
Понятия не имею, в чем была основная причина. я пытался
- переназначить сертификат в IIS
- повторно импортировать сертификат
- перезапустите IIS
безуспешно. Что, наконец, помогло решить проблему, так это перезагрузка сервера.
Закрытие этого. Я все еще немного не понимаю, почему все работало так, как они работали, но некоторые вещи имели смысл. Похоже, что .p12 был создан из p7b, который включал некоторые промежуточные сертификаты. Один из включенных промежуточных продуктов был плохим. Это объясняет, почему цепочка была плохой на одной машине.
Все еще не знаю, как мне удалось увидеть хорошую цепь на другой машине, но я понимаю, почему увидел плохую. Кажется, хорошая цепочка была случайностью, а плохой цепочки следовало ожидать (изначально я предполагал обратное).
Я создал новый файл .p12 без промежуточных звеньев. Убраны все плохие промежуточные файлы, которые ранее были импортированы из первого файла .p12 как в хранилище пользователей службы, так и в хранилищах локальных машин. Кажется, теперь все работает, как и ожидалось, с одной и той же действительной цепочкой на всех машинах.
Выполните следующие действия, чтобы добавить сертификаты в личную папку в хранилище сертификатов на каждом клиентском компьютере. Сертификаты необходимо добавить в папку «Личные» в хранилище «Сертификаты — текущий пользователь».
Если ваши сертификаты не распространяются через доверенный центр сертификации предприятия, вы должны импортировать корневой сертификат центра сертификации на клиентские компьютеры. В противном случае ваши персональные сертификаты работать не будут. Импортируйте сертификат центра сертификации в папку "Доверенные корневые центры сертификации" в узле "Сертификаты (локальный компьютер)".
Чтобы добавить сертификаты в хранилище сертификатов
Нажмите «Пуск», а затем «Выполнить». Введите mmc и нажмите OK.
В диалоговом окне Console1 нажмите «Файл», а затем нажмите «Добавить/удалить оснастку».
В диалоговом окне "Добавить/удалить оснастку" нажмите "Добавить".
В диалоговом окне "Добавить автономную оснастку" нажмите "Сертификаты", а затем нажмите "Добавить".
В диалоговом окне оснастки "Сертификаты" щелкните Моя учетная запись пользователя, а затем нажмите Готово.
В диалоговом окне "Добавить автономную оснастку" нажмите "Сертификаты", а затем нажмите "Добавить".
В диалоговом окне оснастки "Сертификаты" нажмите "Учетная запись компьютера" и нажмите "Далее".
В диалоговом окне "Выбор компьютера" убедитесь, что выбран "Локальный компьютер", и нажмите "Готово".
В диалоговом окне "Добавить автономную оснастку" нажмите "Закрыть".
В диалоговом окне "Добавить/удалить оснастку" нажмите "ОК".
На корневой панели консоли диалогового окна Console1 разверните папку Сертификаты – папки текущего пользователя.
В разделе Сертификаты — Текущий пользователь разверните Личный.
Щелкните правой кнопкой мыши "Сертификаты", выберите "Все задачи" и нажмите "Импорт".
На странице "Вас приветствует мастер импорта сертификатов" нажмите "Далее".
На странице "Файл для импорта" нажмите "Обзор".
В диалоговом окне "Открыть" перейдите в папку с файлом, в котором вы сохранили сертификат, выберите "Все файлы" для параметра "Тип файлов", выберите сертификат, который хотите импортировать, и нажмите "Открыть".
На странице "Файл для импорта" нажмите "Далее".
На странице "Хранилище сертификатов" убедитесь, что установлен флажок "Поместить все сертификаты в следующее хранилище", убедитесь, что в поле "Хранилище сертификатов" отображается пункт "Личное", а затем нажмите "Далее".
На странице "Завершение работы мастера импорта сертификатов" нажмите "Готово".
В диалоговом окне мастера импорта сертификатов, указывающем на успешный импорт, нажмите OK.
Повторите шаги с 13 по 20 для всех остальных сертификатов, которые вы будете использовать при восстановлении сообщения и новой отправке.
ACM – это региональная служба. Сертификаты, выданные ACM, можно использовать только с ресурсами AWS в том же регионе, что и ваш сервис ACM. Кроме того, общедоступные сертификаты ACM нельзя экспортировать для использования с внешними ресурсами, поскольку закрытые ключи недоступны для пользователей и управляются исключительно AWS. Следовательно, когда ваша архитектура становится большой и сложной, включая несколько учетных записей и ресурсов, распределенных по разным регионам, вы должны вручную запрашивать и развертывать отдельные сертификаты в каждом регионе и учетной записи, чтобы использовать функции ACM. Итак, возникает вопрос, как можно упростить задачу получения и развертывания сертификатов ACM для нескольких учетных записей.
Предлагаемое решение (показано на рис. 1) развертывает наборы стеков AWS CloudFormation для создания необходимых ресурсов, таких как роли AWS Identity and Access Management и функции Lambda в учетных записях AWS. Роли IAM предоставляют функциям Lambda необходимые разрешения. Функцию можно разместить в виде пакета развертывания в корзине Amazon Simple Storage Service (Amazon S3) по вашему выбору, которая затем запрашивает сертификаты ACM от вашего имени и обеспечивает их проверку.
Рисунок 1. Схема архитектуры
Прежде чем я опишу реализацию, давайте рассмотрим важные аспекты сертификата ACM с момента его запроса до момента, когда он доступен для использования.
Важные аспекты сертификата ACM
Вы можете выбрать только один вариант проверки домена — его нельзя изменить в течение всего срока действия сертификата. ACM использует тот же вариант проверки для проверки домена при обновлении сертификата.
В этом посте я расскажу о проверке через DNS. Проверка через DNS может быть автоматизирована, что помогает достичь конечной цели — иметь общедоступные сертификаты AWS в нескольких учетных записях AWS и регионах. Приступим.
Проверить DNS с помощью Lambda
Во время проверки DNS ACM создает новую запись CNAME для доменов, для которых запрашивается сертификат. Затем ACM проверяет наличие записей.
Примечание. Чтобы реализовать сценарий использования этого поста, вам необходимо использовать Amazon Route 53 в качестве поставщика услуг DNS. Это связано с тем, что функция Lambda не может обнаруживать и понимать сторонние DNS-серверы и не может заполнять записи на них. Убедитесь, что настройка DNS для домена, для которого вы запрашиваете сертификат, настроена на Route 53.
Функция Lambda, которую запускает стек CloudFormation, заполняет записи CNAME из сертификатов, запрошенных в нескольких учетных записях и регионах, в одну зону размещения Route 53. Роль выполнения функции Lambda в различных учетных записях предполагает роль IAM в родительской учетной записи для внесения изменений в размещенную зону и добавления необходимых записей.
Вот несколько моментов, которые необходимо учитывать при работе с лямбда-функцией:
- Все сертификаты выдаются для всех доменов. Нет возможности развертывать сертификаты для разных доменов в разных учетных записях. является глобальным сервисом. Каждый сертификат ACM в учетной записи имеет одну и ту же запись CNAME имя и значение независимо от региона, из которого запрашивается сертификат, поскольку все записи CNAME одинаковы для домена в учетная запись. Это означает, что вам нужно заполнить запись CNAME для учетной записи только один раз, независимо от количества регионов, для которых вы запрашиваете сертификаты.
Однако вы не используете функцию Lambda напрямую, вместо этого вы используете автоматизацию через AWS CloudFormation. Используя AWS CloudFormation, вы можете создавать настраиваемые сценарии, называемые стеками, в формате JSON или YAML для развертывания ресурсов AWS в определенном порядке. AWS CloudFormation предлагает еще одну функциональность, известную как StackSets. Стеки CloudFormation можно использовать только в той учетной записи и регионе, в которых они запущены. Наборы стеков дают вам возможность автоматически развертывать один и тот же стек в разных учетных записях и регионах в этих учетных записях. Давайте посмотрим, как AWS CloudFormation вписывается во все, что я уже обсуждал.
Развертывание ресурсов в нескольких аккаунтах и регионах
Давайте посмотрим, как AWS CloudFormation может помочь вам распространить это решение на несколько аккаунтов и регионов. Используя два стека CloudFormation, вы можете развернуть следующие ресурсы AWS:
- Стеки CloudFormation
- Роли функций Lambda для доступа между аккаунтами Lambda
- Сертификаты ACM
Примечание. С этого момента я буду обсуждать только необходимые условия и шаги, необходимые для развертывания решения. Вы можете перейти по включенным гиперссылкам, чтобы узнать больше об обсуждаемых услугах и концепциях.
Route 53 и IAM — это глобальные сервисы, поэтому вам не нужно создавать эти ресурсы в каждом регионе. Следующая реализация была разбита на два стека CloudFormation. Один для развертывания глобальных ресурсов, а второй стек в качестве стека, установленного для развертывания ресурсов межаккаунтных и межрегиональных.
Предварительные требования перед развертыванием стеков
Важно понимать родственные и дочерние отношения между аккаунтами, которые используются в следующем рабочем процессе. Родительская учетная запись — это место, где развернуты стеки. Набор стеков развертывает отдельные стеки в каждой дочерней учетной записи, где необходимы ресурсы сертификата. Вот предварительные условия, которые необходимо настроить перед развертыванием стека:
- DNS вашего домена должен быть настроен в зоне хостинга Route 53 в родительской учетной записи.
- У вас должна быть корзина Amazon S3 для хранения пакета развертывания Lambd. Набор стека AWS CloudFormation извлекает пакет развертывания из корзины, который добавляется в качестве параметра при запуске набора стека.
- Поскольку корзина находится в родительской учетной записи, необходимо изменить политику корзины, чтобы добавить ARN ролей IAM стека AWS CloudFormation для нескольких учетных записей, что позволяет стеку получить доступ к корзине и получить пакет развертывания Lambda. Чтобы это работало, необходимо убедиться, что политика сегмента разрешает доступ к нескольким аккаунтам.
- Для запуска наборов стека необходимо выполнить несколько предварительных условий, связанных с разрешениями IAM для нескольких учетных записей. См. Предварительные требования для операций набора стека.
После выполнения предварительных требований вы можете развернуть два стека CloudFormation. Один развертывает стек Global-resources, а другой развертывает стек Cross-account.
Развертывание глобального стека ресурсов
Позвольте мне показать вам, как развернуть глобальный стек ресурсов. Стек Global-resources создает роль IAM в родительской учетной записи и прикрепляет к ней необходимые разрешения. Чтобы начать работу, войдите в консоль управления AWS и перейдите на домашнюю страницу сервиса AWS CloudFormation. Вы можете использовать шаблон стека Глобальные ресурсы, заданный непосредственно во время установки.
Чтобы развернуть глобальный стек ресурсов
- Разверните стек с именем Global-resources (стек можно развернуть в любом регионе AWS). Вы должны развернуть этот стек в родительской учетной записи. Этот стек состоит из роли IAM родительской учетной записи: эта роль принимается ролью выполнения Lambda из других дочерних учетных записей для заполнения записей CNAME сертификатов ACM в размещенной зоне родительской учетной записи.
Примечание. Убедитесь, что у роли AWS CloudFormation достаточно прав для выполнения этих действий.
- TrustedAccounts — дочерние учетные записи, указанные в политике доверия роли.
- HostedZoneId — этот идентификатор размещенной зоны используется для создания политики IAM для роли родительской учетной записи.
Ниже приведен шаблон Global-resources CloudFormation:
Развертывание стека для нескольких аккаунтов
Когда стек Global-resources находится в состоянии CREATE_COMPLETE, вы можете развернуть второй стек. Стек между учетными записями развертывает остальные ресурсы, которые необходимо создать во всех регионах и учетных записях AWS, где вы хотите развернуть сертификаты.
Чтобы развернуть стек нескольких аккаунтов
- Перед развертыванием набора стеков загрузите этот пакет развертывания и загрузите его в корзину Amazon S3. Не создавайте новую папку — объектный ключ — в корзине для хранения этого пакета. Загрузите его прямо под корневым префиксом. Запишите, к какому региону относится это сегмент.
- Перейдите к консоли AWS CloudFormation, чтобы развернуть стек для нескольких аккаунтов. Вы развертываете стек для нескольких учетных записей как набор стеков, который можно развернуть в любом регионе. Чтобы развернуть набор стека, необходимо указать следующие параметры:
- HostedZone – идентификатор зоны размещения, в которой размещен ваш домен.
- DomainNameParameter — тот же параметр, что и в предыдущем стеке.
- S3BucketNameParameter — имя корзины, в которой размещен пакет развертывания.
- SubjectAlternativeNames — это дополнительные доменные имена, для которых вы хотите создать сертификаты. Добавляйте только субдомены вашей зоны хостинга. Маршрут 53 не позволяет создавать записи CNAME, не применимые к домену.
- Регионы — разные регионы AWS, в которых развернуты эти сертификаты. Обратите внимание, что сертификаты находятся в том же регионе и в других аккаунтах. Вы можете ввести несколько регионов в виде кода региона, разделенного запятыми.
- RoleARN: роль IAM, созданная стеком глобальной учетной записи (выходные данные RoleARN предыдущего стека).
- Разверните набор стека либо в отдельных аккаунтах (разрешения на самообслуживание), либо в аккаунтах в организациях AWS (разрешения, управляемые сервисом). Дополнительные сведения о необходимых разрешениях см. в разделе Предварительные требования для операций с наборами стека.
- Если вы выбираете разрешения для самообслуживания, перед переходом к следующему шагу обязательно выберите роль родительской учетной записи в разделе роли администратора IAM ARN (необязательный раздел) и роль выполнения в разделе имени роли выполнения IAM.
- Если вы выбираете разрешения, управляемые сервисом, обязательно включите доверенный доступ для наборов стеков AWS CloudFormation из консоли AWS Organizations.
- Выберите регион, в котором вы хотите развернуть этот стек. В этом разделе выберите регион, в котором была создана корзина Amazon S3. Если вы развернете это в любом другом регионе, стек выйдет из строя.
Примечание. Это может не совпадать с регионом, в котором находится сертификат.
Ниже приведен шаблон CloudFormation для нескольких аккаунтов:
На этом настройка нескольких аккаунтов завершена. Все CNAME сертификатов между учетными записями теперь заполняются в размещенной зоне родительской учетной записи, и сертификаты проверяются после успешного глобального заполнения записей CNAME, что в идеале занимает всего несколько минут. По завершении настройки вы можете удалить
стеки CloudFormation.
Примечание. При удалении стеков CloudFormation сертификаты ACM и соответствующие наборы записей Route 53 остаются. Это необходимо для предотвращения несоответствия. Другие ресурсы, такие как функции Lambda и роли IAM, удаляются.
Обзор
В этом посте я показал вам, как использовать Lambda и AWS CloudFormation для автоматизации создания сертификатов ACM в вашей среде AWS. Автоматизация упрощает создание сертификата за счет выполнения задач, которые обычно выполняются вручную. Сертификаты теперь можно использовать с другими ресурсами AWS для поддержки ваших вариантов использования. Вы можете узнать больше о том, как использовать сертификаты ACM с интегрированными сервисами, такими как балансировщики нагрузки AWS, и использовать альтернативные доменные имена с дистрибутивами Amazon CloudFront.
Если у вас есть отзывы об этом сообщении, отправьте их в разделе комментариев ниже. Если у вас есть вопросы по этому сообщению, начните новую тему на форуме AWS Certificate Manager или обратитесь в службу поддержки AWS.
Хотите больше инструкций по безопасности AWS, новостей и анонсов функций? Следите за нами в Твиттере.
Пракхар Малик
Пракхар — инженер службы поддержки облачных вычислений, работающий в группе безопасности AWS. Он работает в Amazon уже около двух лет, неустанно работая, помогая клиентам решать технические проблемы. Вне работы он тесно связан с музыкой, заядлый геймер и всегда любит держать гитару рядом с собой.
В соответствии с Законом о сокращении налогов и создании рабочих мест в 2020 году каждый человек может перевести до 11 580 000 долларов США без уплаты налога на дарение или наследство. Эта щедрая сумма освобождения истечет в конце 2025 года, а это означает, что в 2026 году сумма освобождения истечет, и она вернется к 5 000 000 долларов США с учетом инфляции. Многие клиенты обеспокоены тем, что в новом политическом климате эта сумма освобождения от налога на дарение и имущество будет уменьшаться раньше и дальше.
Супружеские трасты с пожизненным доступом (SLAT) — это безотзывный траст, созданный супругом-донором при жизни в интересах супруга-бенефициара. Хотя супруг-донор отказывается от доступа к подаренным активам, супруг-бенефициар имеет доступ к трастовым активам. Пока супруг-донор и супруг-бенефициар состоят в браке, супруг-донор по-прежнему имеет косвенный доступ к трастовым активам. Траст предназначен для использования освобожденной суммы супруга-донора, пока она еще доступна.
Есть много соображений, которые следует обсудить перед созданием SLAT, например следующие:
Налоги на подарки и наследство
Подарки, а также любые будущие благодарности защищены трастом от будущих налогов на подарки и наследство. Налоговое управление издало правила, которые были предназначены для устранения потенциального возврата, разрешая имущество супруга-донора использовать большую из льгот по налогу на наследство на момент смерти супруга-донора или сумму освобождения от налога на наследство на момент смерти. подарок.
Однако в примерах в правилах сумма освобождения от налога на наследство применяется только к подаренной сумме, поэтому, если супруг-донор дарит часть суммы освобождения, а не полную сумму освобождения, в зависимости от стоимости имущество, а затем освобождение в случае смерти супруга-донора, могут быть уплачены налоги на наследство.
Должна быть подана налоговая декларация о подарке, в которой сообщается о подарке и используется сумма освобождения от налога на наследство для стоимости подарка.
Активы, переданные в доверительное управление, сохраняют основу для переноса от супруга-донора и не получают повышения в базе в случае смерти супруга-донора.
У супруга-донора может быть право заменить имущество на равную стоимость, что позволит супругу-донору заменить наличные деньги в траст в обмен на активы с низкой базой. В случае смерти супруга-донора активы, хранящиеся на имя супруга-донора, получат увеличение базовой стоимости.
Налоги на пропуск поколения
Субсидия SLAT может быть предназначена для хранения трастовых активов для будущих поколений, а сумма, освобожденная от уплаты налога на поколение, может быть распределена на готовые подарки. Освобождение от налога на добавленную стоимость должно быть указано в декларации о налоге на дарение, отражающей подарок в фонд для будущих поколений.
Подоходный налог
Прежде чем создавать и финансировать SLAT, необходимо проконсультироваться с бухгалтером, чтобы проанализировать последствия предлагаемых переводов для подоходного налога.
В течение жизни супруга-донора любой доход, полученный от активов траста, например дивиденды, проценты и прирост капитала, облагается налогом у супруга-донора (лица, предоставившего траст). В то время как супруг-донор платит подоходный налог, активы траста по существу растут без уплаты налогов.
Передача активов в траст не облагается подоходным налогом.Однако продажа этих активов трастом в более поздний срок облагает подоходным налогом супруга-донора в соответствии с правилами траста доверителя.
Каждый год имущество супруга-донора дополнительно уменьшается без уплаты налога на дарение, поскольку супруг-донор несет ответственность за уплату подоходного налога для траста.
Траст может заявить, что Доверительный управляющий имеет право по собственному усмотрению возместить супругу-донору уплату подоходного налога.
После смерти супруга-донора траст перестанет облагаться налогом как траст доверителя и будет облагаться налогом как отдельная организация.
Бенефициары
Первичным бенефициаром является супруг(а) супруга-донора. После развода или смерти супруга-бенефициара супруг-донор больше не имеет косвенного доступа к трастовым фондам и доходам.
Другие члены семьи, например дети и внуки, могут быть указаны в качестве текущих или оставшихся бенефициаров.
Когда потомки указаны в качестве текущих бенефициаров, выплаты потомкам из траста не являются подарками, и, таким образом, при передаче не взимается налог на дарение.
Защита активов
Активы, подаренные супругом-донором, недоступны большинству кредиторов супруга-донора. Если независимый доверительный управляющий действует по принципу единоличного усмотрения, то большинство кредиторов бенефициаров не могут получить доступ к активам траста.
Однако в соответствии с Единым законом о мошеннической передаче активов кредитор супруга-донора может получить доступ к активам, если даритель знал или должен был знать о требовании кредитора и передал активы, чтобы избежать платежа.
Доверенные лица
Супруг/супруга-донор не может быть доверенным лицом. Супруга-донор не может осуществлять владение или контроль над активами. Супруг-бенефициар может выступать в качестве доверенного лица при условии, что распределение ограничено установленным уровнем здоровья, образования, содержания или поддержки. Независимый доверительный управляющий может распределять активы по любой причине.
Супруг-донор, супруг-бенефициар или оставшиеся бенефициары могут удалить и заменить доверительного управляющего, если новый доверительный управляющий является независимым.
Финансовые прогнозы
Прежде чем создавать и финансировать SLAT, финансовый консультант должен создать прогнозы, моделирующие различные сценарии дарения, чтобы определить, какая сумма может быть передана в доверительное управление, а какая должна быть сохранена супругом-донором, чтобы гарантировать, что супруг-донор сохранил адекватные активы. жить комфортно после подарка.
Супруга-донор должна рассмотреть возможность приобретения страховки жизни супруга-бенефициара, чтобы компенсировать любой дефицит дохода. Необходимо проконсультироваться со страховым агентом по вопросам страхования жизни, страхования по инвалидности и страхования на случай длительного ухода.
Если супруг-донор обеспокоен тем, что ему может понадобиться доступ к трастовым фондам в будущем, то траст может предоставить кому-либо ограниченное право назначения, которое может быть осуществлено в пользу супруга-донора. Однако после реализации активы будут находиться в налогооблагаемом имуществе супруга-донора без суммы освобождения от налога на наследство, чтобы защитить его в случае смерти.
Доверительное финансирование
Доверительный фонд может владеть любым активом, но следует внимательно отнестись к тому, какие активы он должен владеть. Супруга-донор должна финансировать траст только за счет активов, зарегистрированных на его личное имя. Супруга-донор может передать активы, которые быстро вырастут в цене, удалив стоимость из его или ее имущества.
Подаренные активы сохраняют переносимую основу дарителя и не получают повышения в базе после смерти дарителя. Таким образом, супруг/супруга-донор не должен дарить активы, которые были заменой имущества при равноценном обмене, или другие подобные активы с очень низкой базой.
Траст может иметь полисы страхования жизни. Существующие полисы, переданные в траст, подпадают под действие правила возврата налога на наследство, если супруг-донор умирает в течение трех лет после передачи. Положения о доверительном управлении, предусматривающие военный вычет для любых страховых полисов, подпадающих под действие правил возврата, отсрочат уплату налога на наследство до смерти пережившего супруга. Каждый год супруг-донор будет вносить взносы в траст для доверительного управляющего для выплаты страховых взносов. Чтобы квалифицировать премиальные платежи для ежегодной суммы, исключающей налог на дарение, траст должен предоставить право на снятие средств бенефициарам, широко известное как уведомления Крамми. Вместо этого, если траст имеет достаточные активы для выплаты страховых взносов по страхованию жизни, нет необходимости вносить ежегодный взнос в траст со стороны супруга-донора или отправлять уведомления Крамми.
Траст может владеть недвижимостью. Чтобы владеть недвижимостью, траст должен иметь достаточно средств для оплаты расходов и содержания собственности. Если супруг-донор проживает в собственности, то супруг-донор должен платить арендную плату по справедливой рыночной стоимости.При продаже имущества супруг-донор может не претендовать на сумму исключения для проживания при продаже основного места жительства. Если недвижимость заложена, то передача в доверительное управление приведет к срабатыванию пункта о продаже, а вексель будет подлежать оплате в полном объеме. Большинство кредиторов не будут давать ссуды трастам, поэтому маловероятно, что траст подпадает под рефинансирование.
Доктрина взаимного доверия
Когда два человека создают трасты в интересах друг друга, суд может рассматривать каждую сторону так, как если бы он или она создали траст для своей собственной выгоды, и, следовательно, включить активы траста в имущество супруга-донора. Чтобы избежать этого нежелательного результата налога на наследство, если пара решает создать трасты друг для друга, то трасты должны быть разными. У трастов могут быть разные попечители, бенефициары, стандарты распределения, сроки распределения, сроки создания или активы, которыми владеют трасты.
Развод
Только клиенты с крепкими браками должны использовать SLAT. Если пара разводится, супруг-донор теряет косвенный доступ к трастовым активам через супруга-бенефициара.
Пожалуйста, свяжитесь с нами, если вы хотите обсудить, какую пользу может принести вам супружеский доверительный фонд с пожизненным доступом.
Читайте также: