Двуфакторна автентификация на сайта с помощта на USB токен. Вече и за Linux

В една от предишните ни статии говорихме за значението на двуфакторната автентификация в корпоративните портали на компаниите. Последния път демонстрирахме как да настроим защитено удостоверяване в уеб сървъра на IIS.

В коментарите ни помолиха да напишем инструкции за най-разпространените уеб сървъри за Linux - nginx и Apache.

Вие попитахте - ние написахме.

Какво ви трябва, за да започнете?

• Всяка съвременна Linux дистрибуция. Направих тестова настройка на MX Linux 18.2_x64. Това разбира се не е сървърна дистрибуция, но е малко вероятно да има разлики за Debian. За други дистрибуции пътищата до конфигурационните библиотеки може леко да се различават.
• Токен. Продължаваме да използваме модела Rutoken EDS PKI, което е идеално по отношение на скоростните характеристики за корпоративна употреба.
• За да работите с токен в Linux, трябва да инсталирате следните пакети:
  libccid libpcsclite1 pcscd pcsc-инструменти opensc

Издаване на удостоверения

В предишни статии разчитахме на факта, че сървърните и клиентските сертификати ще се издават чрез Microsoft CA. Но тъй като настройваме всичко в Linux, ще ви разкажем и за алтернативен начин за издаване на тези сертификати - без да напускате Linux.
Ще използваме XCA като CA (https://hohnstaedt.de/xca/), който е наличен във всяка съвременна Linux дистрибуция. Всички действия, които ще извършим в XCA, могат да бъдат извършени в режим на команден ред с помощта на помощните програми OpenSSL и pkcs11-tool, но за по-голяма простота и яснота няма да ги представим в тази статия.

Първи стъпки

1. Инсталирай:

   $ apt-get install xca

2. И бягаме:

   $ xca

3. Създаваме нашата база данни за CA - /root/CA.xdb
   Препоръчваме да съхранявате базата данни на сертифициращия орган в папка, където само администраторът има достъп. Това е важно за защита на личните ключове на основните сертификати, които се използват за подписване на всички други сертификати.

Създайте ключове и основен CA сертификат

Инфраструктурата с публичен ключ (PKI) се основава на йерархична система. Основното нещо в тази система е основният сертифициращ орган или root CA. Първо трябва да се създаде неговият сертификат.

1. Ние създаваме частен ключ RSA-2048 за CA. За да направите това, в раздела Частни ключове натискам New Key и изберете подходящия тип.
2. Задайте име за новата двойка ключове. Нарекох го CA Key.
3. Ние издаваме самия CA сертификат, като използваме създадената двойка ключове. За да направите това, отидете на раздела Сертификати и кликнете Нов сертификат.
4. Не забравяйте да изберете SHA-256, защото използването на SHA-1 вече не може да се счита за безопасно.
5. Не забравяйте да изберете като шаблон [по подразбиране] CA. Не забравяйте да кликнете върху Приложете всички, в противен случай шаблонът не се прилага.
6. В раздела Тема: изберете нашата двойка ключове. Там можете да попълните всички основни полета на сертификата.

Създаване на ключове и сертификат за https сървър

1. По подобен начин създаваме частен ключ RSA-2048 за сървъра, нарекох го Server Key.
2. Когато създаваме сертификат, избираме, че сертификатът на сървъра трябва да бъде подписан с CA сертификат.
3. Не забравяйте да изберете SHA-256.
4. Ние избираме като шаблон [по подразбиране] HTTPS_сървър. Кликнете върху Приложете всички.
5. След това на таб Тема: изберете нашия ключ и попълнете необходимите полета.

Създайте ключове и сертификат за потребителя

1. Частният ключ на потребителя ще бъде съхранен в нашия токен. За да работите с него, трябва да инсталирате библиотеката PKCS#11 от нашия уебсайт. За популярни дистрибуции, ние разпространяваме готови пакети, които се намират тук - https://www.rutoken.ru/support/download/pkcs/. Имаме и сборки за arm64, armv7el, armv7hf, e2k, mipso32el, които могат да бъдат изтеглени от нашия SDK - https://www.rutoken.ru/developers/sdk/. В допълнение към сборките за Linux, има и сборки за macOS, freebsd и android.
2. Добавяне на нов PKCS#11 доставчик към XCA. За да направите това, отидете в менюто Настроики към раздела Доставчик на PKCS#11.
3. Натискаме Добави и изберете пътя до библиотеката PKCS#11. В моя случай това е usrliblibrtpkcs11ecp.so.
4. Ще ни трябва форматиран Rutoken EDS PKI токен. Изтеглете помощната програма rtAdmin - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. Ние изпълняваме

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. Ние избираме ключа RSA-2048 за Rutoken EDS PKI като тип ключ. Нарекох този ключ клиентски ключ.

   

7. Въведете ПИН кода. И чакаме завършването на хардуерното генериране на двойката ключове

   

8. Създаваме сертификат за потребителя по аналогия със сървърния сертификат. Този път избираме шаблон [по подразбиране] HTTPS_клиент и не забравяйте да щракнете Приложете всички.
9. В раздела Тема: въведете информация за потребителя. Отговаряме положително на заявката за запазване на сертификата за токена.

В резултат на това на табл Сертификати в XCA трябва да получите нещо подобно.

Този минимален набор от ключове и сертификати е достатъчен, за да започнете да настройвате самите сървъри.

За да конфигурираме, трябва да експортираме CA сертификата, сертификата на сървъра и частния ключ на сървъра.

За да направите това, изберете желания запис в съответния раздел в XCA и щракнете Износ.

Nginx

Няма да пиша как да инсталирам и стартирам nginx сървър - има достатъчно статии по тази тема в интернет, да не говорим за официалната документация. Нека да преминем направо към настройването на HTTPS и двуфакторно удостоверяване с помощта на токен.

Добавете следните редове към сървърната секция в nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

Подробно описание на всички параметри, свързани с конфигурирането на ssl в nginx, можете да намерите тук - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Само накратко ще опиша тези, които си зададох:

• ssl_verify_client - указва, че веригата на доверие за сертификата трябва да бъде проверена.
• ssl_verify_depth - Определя дълбочината на търсене за надеждния основен сертификат във веригата. Тъй като нашият клиентски сертификат е незабавно подписан на основния сертификат, дълбочината е зададена на 1. Ако потребителският сертификат е подписан на междинен CA, тогава 2 трябва да бъде указано в този параметър и т.н.
• ssl_client_certificate - указва пътя до доверения основен сертификат, който се използва при проверка на доверието в сертификата на потребителя.
• ssl_certificate/ssl_certificate_key - посочете пътя до сървърния сертификат/личен ключ.

Не забравяйте да стартирате nginx -t, за да проверите дали няма правописни грешки в конфигурацията и дали всички файлове са на правилното място и т.н.

И това е всичко! Както можете да видите, настройката е много проста.

Проверява се дали работи във Firefox

Тъй като правим всичко изцяло в Linux, ще приемем, че нашите потребители също работят в Linux (ако имат Windows, тогава вижте инструкциите за настройка на браузъри в предишната статия.

1. Да стартираме Firefox.
2. Нека първо опитаме да влезем без токен. Получаваме тази снимка:

   

3. Хайде да отидем до за: предпочитанията # поверителност, и отиваме на Устройства за сигурност…
4. Натискаме Натоварванеза да добавите нов драйвер за устройство PKCS#11 и да посочите пътя до нашия librtpkcs11ecp.so.
5. За да проверите дали сертификатът е видим, можете да отидете на Сертификат мениджър. Ще бъдете подканени да въведете своя ПИН. След правилно въвеждане можете да проверите какво има в раздела Вашите сертификати нашият сертификат от токена се появи.
6. Сега да отидем с токена. Firefox ви подканва да изберете сертификат, който ще бъде избран за сървъра. Изберете нашия сертификат.

   

7. ПЕЧАЛБА!

   

Настройката се извършва веднъж и както можете да видите в прозореца за заявка за сертификат, можем да запазим избора си. След това, всеки път, когато влизаме в портала, ще трябва само да вмъкнем токен и да въведем ПИН кода на потребителя, който беше зададен по време на форматирането. След такова удостоверяване сървърът вече знае кой потребител е влязъл и вече не можете да създавате допълнителни прозорци за проверка, а незабавно да пуснете потребителя в неговия личен акаунт.

Apache

Точно както при nginx, никой не трябва да има проблеми с инсталирането на apache. Ако не знаете как да инсталирате този уеб сървър, просто използвайте официалната документация.

И започваме да настройваме нашия HTTPS и двуфакторно удостоверяване:

1. Първо трябва да активирате mod_ssl:

   $ a2enmod ssl

2. И след това активирайте HTTPS настройките по подразбиране на сайта:

   $ a2ensite default-ssl

3. Сега редактираме конфигурационния файл: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   Както можете да видите, имената на параметрите практически съвпадат с имената на параметрите в nginx, така че няма да ги обяснявам. Отново всеки, който се интересува от подробности, е добре дошъл в документацията.
   Сега рестартираме нашия сървър:

   $ service apache2 reload
   $ service apache2 restart

Както можете да видите, настройването на двуфакторно удостоверяване на всеки уеб сървър, независимо дали е на Windows или Linux, отнема максимум един час. А настройката на браузърите отнема около 5 минути. Много хора смятат, че настройването и работата с двуфакторна автентификация е трудно и неясно. Надявам се нашата статия да развенчае поне малко този мит.

В анкетата могат да участват само регистрирани потребители. Впиши се, Моля те.

Имате ли нужда от инструкции за настройка на TLS със сертификати съгласно GOST 34.10-2012:

• Да, TLS-GOST е много необходим

• Не, настройката с GOST алгоритми не е интересна

44 потребители гласуваха. 9 потребители се въздържаха.

Източник: www.habr.com