🥇Опитът от използването на технологията Rutoken за регистриране и оторизиране на потребители в системата (част 2)

Добър ден Да продължим с тази темаПредишната част можете да намерите на линка).

Днес преминаваме към практическата част. Нека започнем, като настроим нашия CA на базата на пълноценната криптографска библиотека с отворен код openSSL. Този алгоритъм е тестван с помощта на Windows 7.

С инсталиран openSSL можем да извършваме различни криптографски операции (като създаване на ключове и сертификати) чрез командния ред.

Алгоритъмът на действия е както следва:

Изтеглете инсталационната дистрибуция openssl-1.1.1g.
openSSL има различни версии. В документацията за Rutoken се казва, че се изисква openSSL версия 1.1.0 или по-нова. Използвах версия openssl-1.1.1g. Можете да изтеглите openSSL от официалния сайт, но за по-лесна инсталация трябва да намерите инсталационния файл за windows в мрежата. Направих това за теб: slproweb.com/products/Win32OpenSSL.html
Превъртете надолу страницата и изтеглете Win64 OpenSSL v1.1.1g EXE 63MB Installer.
Инсталирайте openssl-1.1.1g на компютъра.
Инсталирането трябва да се извърши по стандартния път, който автоматично се посочва в папката C: Program Files. Програмата ще бъде инсталирана в папката OpenSSL-Win64.
За да настроите openSSL така, както ви е необходимо, има файл openssl.cfg. Този файл се намира в пътя C:\Program Files\OpenSSL-Win64bin, ако сте инсталирали openSSL, както е описано в предишния параграф. Отидете в папката, където се съхранява openssl.cfg, и отворете този файл, като например използвате Notepad++.
Вероятно се досещате, че сертифициращият орган ще бъде конфигуриран по някакъв начин чрез промяна на съдържанието на файла openssl.cfg и сте абсолютно прав. Това изисква персонализиране на командата [ ca ]. Във файла openssl.cfg началото на текста, в който ще правим промени, може да бъде намерено като: [ ca ].
Сега ще дам пример за настройка с нейното описание:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
Сега трябва да създадем директория demoCA и поддиректории, както е показано в примера по-горе. И го поставете в тази директория по пътя, посочен в dir (имам /Users/username/bin/openSSLca/demoCA).

Много е важно да изпишете правилно dir - това е пътят до директорията, където ще се намира нашият сертификационен център. Тази директория трябва да се намира в /Users (тоест в акаунта на някой потребител). Ако поставите тази директория например в C: Program Files, системата няма да види файла с настройките на openssl.cfg (поне при мен беше така).

$dir - пътят, посочен в dir, се замества тук.

Друг важен момент е да създадете празен файл index.txt, без този файл командите „openSSL ca…“ няма да работят.

Трябва също така да имате сериен файл, основен частен ключ (ca.key), основен сертификат (ca.crt). Процесът на получаване на тези файлове ще бъде описан по-долу.
Ние свързваме алгоритмите за криптиране, предоставени от Rutoken.
Тази връзка се осъществява във файла openssl.cfg.
- На първо място, трябва да изтеглите необходимите алгоритми на Rutoken. Това са файловете rtengine.dll, rtpkcs11ecp.dll.
  За да направите това, изтеглете Rutoken SDK: www.rutoken.ru/developers/sdk.
  
  Rutoken SDK е всичко, което има за разработчиците, които искат да изпробват Rutoken. Има както отделни примери за работа с Rutoken на различни езици за програмиране, така и някои библиотеки. Нашите библиотеки rtengine.dll и rtpkcs11ecp.dll се намират съответно в Rutoken sdk на местоположението:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  Много важен момент. Библиотеките rtengine.dll, rtpkcs11ecp.dll не работят без инсталирания драйвер за Rutoken. Също така Rutoken трябва да бъде свързан към компютъра. (за инсталиране на всичко необходимо за Rutoken вижте предишната част на статията habr.com/en/post/506450)
- Библиотеките rtengine.dll и rtpkcs11ecp.dll могат да се съхраняват навсякъде в потребителския акаунт.
- Ние записваме пътищата до тези библиотеки в openssl.cfg. За да направите това, отворете файла openssl.cfg, поставете реда в началото на този файл:
```
openssl_conf = openssl_def
```
  В края на файла трябва да добавите:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - трябва да посочите вашия път до библиотеката rtengine.dll.
  MODULE_PATH - трябва да зададете вашия път до библиотеката rtpkcs11ecp.dll.
Добавяне на променливи на средата.
Не забравяйте да добавите променлива на средата, която указва пътя до конфигурационния файл openssl.cfg. В моя случай променливата OPENSSL_CONF беше създадена с пътя C:Program FilesOpenSSL-Win64binopenssl.cfg.

В променливата на пътя трябва да посочите пътя до папката, където се намира openssl.exe, в моя случай това е: C: Program FilesOpenSSL-Win64bin.
Сега можете да се върнете към стъпка 5 и да създадете липсващите файлове за директорията demoCA.
1. Първият важен файл, без който нищо няма да работи, е сериен. Това е файл без разширение, чиято стойност трябва да бъде 01. Можете сами да създадете този файл и да напишете вътре 01. Можете също да го изтеглите от Rutoken SDK по пътя sdk/openssl/rtengine/samples/tool/demoCA /.
  Директорията demoCA съдържа серийния файл, който е точно това, от което се нуждаем.
2. Създайте root частен ключ.
  За да направим това, ще използваме командата openSSL библиотека, която трябва да се изпълни директно от командния ред:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. Ние създаваме основен сертификат.
  За да направите това, използвайте следната команда на библиотеката openSSL:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  Моля, имайте предвид, че основният частен ключ, който беше генериран в предишната стъпка, е необходим за генериране на главния сертификат. Следователно командният ред трябва да се стартира в същата директория.
Всичко вече има всички липсващи файлове за пълната конфигурация на директорията demoCA. Поставете създадените файлове в директориите, посочени в точка 5.

Ще приемем, че след попълване на всичките 8 точки, нашият център за сертифициране е напълно конфигуриран.

В следващата част ще опиша как ще работим със сертифициращия орган, за да постигнем описаното в предишната част на статията.

Източник: www.habr.com

Опит в използването на технологията Rutoken за регистриране и оторизиране на потребители в системата (част 2)

Добавяне на нов коментар

Опит в използването на технологията Rutoken за регистриране и оторизиране на потребители в системата (част 2)

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар