🥇Опитът от използването на технологията Rutoken за регистриране и оторизиране на потребители в системата (част 3)

Добър ден!

В предишната част Успешно създадохме собствен сертификационен център. С какво може да бъде полезно за нашите цели?

Използвайки местен сертифициращ орган, ние можем да издаваме сертификати и също така да проверяваме подписите върху тези сертификати.

Когато издава сертификат на потребител, сертифициращият орган използва специална заявка за сертификат Pkcs#10, която има файлов формат „.csr“. Тази заявка съдържа кодирана последователност, която сертифициращият орган знае как да анализира правилно. Заявката съдържа както публичния ключ на потребителя, така и данни за създаване на сертификат (асоциативен масив с данни за потребителя).

Ще разгледаме как да получим заявка за сертификат в следващата статия, а в тази статия искам да дам основните команди на сертифициращия орган, които ще ни помогнат да изпълним задачата си от страна на бекенда.

Така че първо трябва да създадем сертификат. За целта използваме командата:

openssl ca -batch -in user.csr -out user.crt

ca е командата openSSL, която се отнася до сертифициращия орган,
-batch - отменя заявките за потвърждение при генериране на сертификат.
user.csr — искане за създаване на сертификат (файл във формат .csr).
user.crt - сертификат (резултат от командата).

За да работи тази команда, сертифициращият орган трябва да бъде конфигуриран точно както е описано в предишната част на статията. В противен случай ще трябва допълнително да посочите местоположението на основния сертификат на сертифициращия орган.

Команда за проверка на сертификата:

openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.file

cms е openSSL команда, която се използва за подписване, проверка, криптиране на данни и други криптографски операции с помощта на openSSL.

-verify - в този случай ние проверяваме сертификата.

authenticate.cms - файл, съдържащ данни, подписани със сертификата, издаден от предишната команда.

-inform PEM - използва се PEM формат.

-CAfile /Users/……/demoCA/ca.crt - път до главния сертификат. (без това командата не работи за мен, въпреки че пътищата до ca.crt бяха записани във файла openssl.cfg)

-out data.file — изпращам декриптираните данни във файла data.file.

Алгоритъмът за използване на сертифициращ орган от задната част е както следва:

Регистрация на потребител:
1. Получаваме заявка за създаване на сертификат и запазването му във файла user.csr.
2. Записваме първата команда от тази статия във файл с разширение .bat или .cmd. Изпълняваме този файл от код, като преди това сме запазили заявката за създаване на сертификат във файла user.csr. Получаваме файл със сертификата user.crt.
3. Ние четем файла user.crt и го изпращаме на клиента.
Упълномощаване на потребител:
1. Получаваме подписани данни от клиента и ги запазваме във файла authenticate.cms.
2. Запазете втората команда от тази статия във файл с разширение .bat или .cmd. Изпълняваме този файл от кода, като преди това сме запазили подписаните данни от сървъра в authenticate.cms. Получаваме файл с дешифрирани данни data.file.
3. Ние четем data.file и проверяваме тези данни за валидност. Описано е какво точно да се провери в първата статия. Ако данните са валидни, тогава авторизацията на потребителя се счита за успешна.

За да приложите тези алгоритми, можете да използвате всеки език за програмиране, който се използва за писане на бекенда.

В следващата статия ще разгледаме как да работим с плъгина Retoken.

Спасибо за внимание!

Източник: www.habr.com

Опит в използването на технологията Rutoken за регистриране и оторизиране на потребители в системата (част 3)

Добавяне на нов коментар

Опит в използването на технологията Rutoken за регистриране и оторизиране на потребители в системата (част 3)

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар