Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux
Π’ ΠΎΠ΄Π½ΠΎΠΉ ΠΈΠ· Π½Π°ΡˆΠΈΡ… ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰ΠΈΡ… статСй ΠΌΡ‹ рассказывали ΠΏΡ€ΠΎ Π²Π°ΠΆΠ½ΠΎΡΡ‚ΡŒ Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π½Π° ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΏΠΎΡ€Ρ‚Π°Π»Π°Ρ… ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π’ ΠΏΡ€ΠΎΡˆΠ»Ρ‹ΠΉ Ρ€Π°Π· ΠΌΡ‹ продСмонстрировали, ΠΊΠ°ΠΊ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΡƒΡŽ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ Π² web-сСрвСрС IIS.

Π’ коммСнтариях нас просили Π½Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ ΠΈΠ½ΡΡ‚Ρ€ΡƒΠΊΡ†ΠΈΡŽ для самых распространСнных web-сСрвСров ΠΏΠΎΠ΄ Linux β€” nginx ΠΈ Apache.

Π’Ρ‹ просили β€” ΠΌΡ‹ написали.

Π§Ρ‚ΠΎ Π½Π°Π΄ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π°Ρ‡Π°Ρ‚ΡŒ?

  • Π›ΡŽΠ±ΠΎΠΉ соврСмСнный дистрибутив Linux. Π― выполнял Ρ‚Π΅ΡΡ‚ΠΎΠ²ΡƒΡŽ настройку Π² MX Linux 18.2_x64. Π­Ρ‚ΠΎ ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎ Π½Π΅ сСрвСрный дистрибутив, Π½ΠΎ для Debian вряд Π»ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ ΠΊΠ°ΠΊΠΈΠ΅-Ρ‚ΠΎ отличия. Для Π΄Ρ€ΡƒΠ³ΠΈΡ… дистрибутивов ΠΌΠΎΠ³ΡƒΡ‚ слСгка Ρ€Π°Π·Π»ΠΈΡ‡Π°Ρ‚ΡŒΡΡ ΠΏΡƒΡ‚ΠΈ Π΄ΠΎ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΊΠΎΠ½Ρ„ΠΈΠ³ΠΎΠ².
  • Π’ΠΎΠΊΠ΅Π½. ΠœΡ‹ ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ модСль Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП PKI, которая идСально ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΈΡ‚ ΠΏΠΎ скоростным характСристикам для ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ примСнСния.
  • Для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠΌ Π² Linux Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹:
    libccid libpcsclite1 pcscd pcsc-tools opensc

Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

ВыписываниС сСртификатов

Π’ ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰ΠΈΡ… ΡΡ‚Π°Ρ‚ΡŒΡΡ… ΠΌΡ‹ ΠΎΠΏΠΈΡ€Π°Π»ΠΈΡΡŒ Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ сСртификаты сСрвСра ΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π±ΡƒΠ΄ΡƒΡ‚ Π²Ρ‹ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒΡΡ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Microsoft CA. Но Ρ€Π°Π· ΡƒΠΆ ΠΌΡ‹ настраиваСм всС Π² Linux, Ρ‚ΠΎ Π·Π°ΠΎΠ΄Π½ΠΎ расскаТСм ΠΏΡ€ΠΎ Π°Π»ΡŒΡ‚Π΅Ρ€Π½Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ способ выписывания этих сСртификатов β€” Π½Π΅ покидая Linux.
Π’ качСствС CA Π±ΡƒΠ΄Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ XCA (https://hohnstaedt.de/xca/), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ доступСн Π² любом соврСмСнном дистрибутивС Linux. ВсС дСйствия, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΡ‹ Π±ΡƒΠ΄Π΅ΠΌ ΡΠΎΠ²Π΅Ρ€ΡˆΠ°Ρ‚ΡŒ Π² XCA ΠΌΠΎΠΆΠ½ΠΎ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ ΠΈ Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ OpenSSL ΠΈ pkcs11-tool, Π½ΠΎ для большСй простоты ΠΈ наглядности Π² этой ΡΡ‚Π°Ρ‚ΡŒΠ΅ ΠΌΡ‹ ΠΈΡ… ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π½Π΅ Π±ΡƒΠ΄Π΅ΠΌ.

Начало Ρ€Π°Π±ΠΎΡ‚Ρ‹

  1. УстанавливаСм:
    $ apt-get install xca
  2. И запускаСм:
    $ xca
  3. Π‘ΠΎΠ·Π΄Π°Ρ‘ΠΌ Π½Π°ΡˆΡƒ Π±Π°Π·Ρƒ Π΄Π°Π½Π½Ρ‹Ρ… для CA β€” /root/CA.xdb
    ΠœΡ‹ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌ Ρ…Ρ€Π°Π½ΠΈΡ‚ΡŒ Π±Π°Π·Ρƒ Π΄Π°Π½Π½Ρ‹Ρ… Certificate Authority Π² ΠΏΠ°ΠΏΠΊΠ΅, ΠΊΡƒΠ΄Π° Π΅ΡΡ‚ΡŒ доступ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρƒ администратора. Π­Ρ‚ΠΎ Π²Π°ΠΆΠ½ΠΎ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΊΠΎΡ€Π½Π΅Π²Ρ‹Ρ… сСртификатов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для подписывания всСх ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Ρ… сСртификатов.

Π‘ΠΎΠ·Π΄Π°Ρ‘ΠΌ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈ сСртификат root CA

Π’ основС инфраструктуры ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ (PKI) Π»Π΅ΠΆΠΈΡ‚ иСрархичСская систСма. Π“Π»Π°Π²Π½Ρ‹ΠΌ Π² этой систСмС являСтся ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Ρ†Π΅Π½Ρ‚Ρ€ сСртификации ΠΈΠ»ΠΈ root CA. Π•Π³ΠΎ сСртификат ΠΈ Π½Π°Π΄ΠΎ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ Π² ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ.

  1. Π‘ΠΎΠ·Π΄Π°Ρ‘ΠΌ для CA Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ RSA-2048. Для этого Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Private Keys Π½Π°ΠΆΠΈΠΌΠ°Π΅ΠΌ New Key ΠΈ Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΉ Ρ‚ΠΈΠΏ.
  2. Π—Π°Π΄Π°Ρ‘ΠΌ имя для Π½ΠΎΠ²ΠΎΠΉ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ ΠΏΠ°Ρ€Ρ‹. Π― Π΅Ρ‘ Π½Π°Π·Π²Π°Π» β€” CA Key.
  3. ВыписываСм сам сСртификат CA, с использованиСм созданной ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ ΠΏΠ°Ρ€Ρ‹. Для этого ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΈΠΌ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΡƒ Certificates ΠΈ Π½Π°ΠΆΠΈΠΌΠ°Π΅ΠΌ New Certificate.
  4. ΠžΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ SHA-256, ΠΏΠΎΡ‚ΠΎΠΌΡƒ Ρ‡Ρ‚ΠΎ использованиС SHA-1 ΡƒΠΆΠ΅ Π½Π΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒΡΡ бСзопасным.
  5. Π’ качСствС шаблона ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ [default] CA. НС Π·Π°Π±ΡƒΠ΄ΡŒΡ‚Π΅ Π½Π°ΠΆΠ°Ρ‚ΡŒ Π½Π° Apply all, ΠΈΠ½Π°Ρ‡Π΅ шаблон Π½Π΅ примСняСтся.
  6. На Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Subject Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π½Π°ΡˆΡƒ ΠΊΠ»ΡŽΡ‡Π΅Π²ΡƒΡŽ ΠΏΠ°Ρ€Ρƒ. Π’Π°ΠΌ ΠΆΠ΅ Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π·Π°ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ всС основныС поля сСртификата.

Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

Π‘ΠΎΠ·Π΄Π°Ρ‘ΠΌ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈ сСртификат https-сСрвСра

  1. Аналогичным ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ создаём для сСрвСра Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ RSA-2048, я Π΅Π³ΠΎ Π½Π°Π·Π²Π°Π» β€” Server Key.
  2. ΠŸΡ€ΠΈ создании сСртификата Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ, Ρ‡Ρ‚ΠΎ сСртификат сСрвСра Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΠΎΠ΄ΠΏΠΈΡΠ°Ρ‚ΡŒ Π½Π° сСртификатС CA.
  3. НС Π·Π°Π±Ρ‹Π²Π°Π΅ΠΌ Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ SHA-256.
  4. Π’ качСствС шаблона Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ [default] HTTPS_server. Π–ΠΌΡ‘ΠΌ Π½Π° Apply all.
  5. ПослС Ρ‡Π΅Π³ΠΎ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Subject Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ наш ΠΊΠ»ΡŽΡ‡ ΠΈ заполняСм Π½ΡƒΠΆΠ½Ρ‹Π΅ поля.

Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

Π‘ΠΎΠ·Π΄Π°Ρ‘ΠΌ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈ сСртификат для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ

  1. Π—Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π±ΡƒΠ΄Π΅Ρ‚ Ρ…Ρ€Π°Π½ΠΈΡ‚ΡŒΡΡ Π½Π° нашСм Ρ‚ΠΎΠΊΠ΅Π½Π΅. Для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с Π½ΠΈΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ PKCS#11 Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΡƒ с нашСго сайта. Для популярных дистрибутивов ΠΌΡ‹ распространяСм Π³ΠΎΡ‚ΠΎΠ²Ρ‹Π΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π»Π΅ΠΆΠ°Ρ‚ Ρ‚ΡƒΡ‚ β€” https://www.rutoken.ru/support/download/pkcs/. Π£ нас Ρ‚Π°ΠΊΠΆΠ΅ Π΅ΡΡ‚ΡŒ сборки для arm64, armv7el, armv7hf, e2k, mipso32el, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠΆΠ½ΠΎ Π²Π·ΡΡ‚ΡŒ Π² нашСм SDK β€” https://www.rutoken.ru/developers/sdk/. ΠšΡ€ΠΎΠΌΠ΅ сборок для linux Ρ‚Π°ΠΊΠΆΠ΅ Π΅ΡΡ‚ΡŒ сборки для macOS, freebsd ΠΈ android.
  2. ДобавляСм Π½ΠΎΠ²Ρ‹ΠΉ PKCS#11 Provider Π² XCA. Для этого ΠΈΠ΄Ρ‘ΠΌ Π² мСню Options Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΡƒ PKCS#11 Provider.
  3. Π–ΠΌΡ‘ΠΌ Add ΠΈ Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ ΠΏΡƒΡ‚ΡŒ Π΄ΠΎ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ PKCS#11. Π’ ΠΌΠΎΡ‘ΠΌ случаС это usrliblibrtpkcs11ecp.so.
  4. Нам понадобится ΠΎΡ‚Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ Ρ‚ΠΎΠΊΠ΅Π½ Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП PKI. Π‘ΠΊΠ°Ρ‡ΠΈΠ²Π°Π΅ΠΌ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρƒ rtAdmin β€” https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
  5. ВыполняСм
    $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-ΠΊΠΎΠ΄ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ>
  6. Π’ качСствС Ρ‚ΠΈΠΏΠ° ΠΊΠ»ΡŽΡ‡Π° Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ β€” ΠΊΠ»ΡŽΡ‡ RSA-2048 Π½Π° Π ΡƒΡ‚ΠΎΠΊΠ΅Π½ ЭЦП PKI. Π― Π½Π°Π·Π²Π°Π» этот ΠΊΠ»ΡŽΡ‡ Client Key.

    Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

  7. Π’Π²ΠΎΠ΄ΠΈΠΌ PIN-ΠΊΠΎΠ΄. И ΠΆΠ΄Ρ‘ΠΌ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠΉ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ ΠΏΠ°Ρ€Ρ‹

    Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

  8. Π‘Π΅Ρ€Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ создаём ΠΏΠΎ Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с сСртификатом сСрвСра. На этот Ρ€Π°Π· Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ шаблон [default] HTTPS_client ΠΈ Π½Π΅ Π·Π°Π±Ρ‹Π²Π°Π΅ΠΌ Π½Π°ΠΆΠ°Ρ‚ΡŒ Apply all.
  9. На Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Subject Π²Π²ΠΎΠ΄ΠΈΠΌ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅. На запрос ΠΎ сохранСнии сСртификата Π½Π° Ρ‚ΠΎΠΊΠ΅Π½ ΠΎΡ‚Π²Π΅Ρ‡Π°Π΅ΠΌ ΡƒΡ‚Π²Π΅Ρ€Π΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ.

Π’ ΠΈΡ‚ΠΎΠ³Π΅ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Π‘Π΅Ρ€Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚Ρ‹ Π² XCA Π΄ΠΎΠ»ΠΆΠ½Π° ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒΡΡ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ такая ΠΊΠ°Ρ€Ρ‚ΠΈΠ½ΠΊΠ°.

Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux
Π­Ρ‚ΠΎΠ³ΠΎ минимального Π½Π°Π±ΠΎΡ€Π° ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΈ сСртификатов достаточно для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€ΠΈΡΡ‚ΡƒΠΏΠ°Ρ‚ΡŒ ΠΊ настройкС нСпосрСдствСнно сСрвСров.

Для настройки Π½Π°ΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ экспорт сСртификата Π£Π¦, сСртификата сСрвСра ΠΈ Π·Π°ΠΊΡ€Ρ‹Ρ‚ΠΎΠ³ΠΎ ΠΊΠ»ΡŽΡ‡Π° сСрвСра.

Для этого Π½Π°Π΄ΠΎ Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ Π½ΡƒΠΆΠ½ΡƒΡŽ запись Π½Π° ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π΅ΠΉ Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Π² XCA ΠΈ Π½Π°ΠΆΠ°Ρ‚ΡŒ Export.

Nginx

Как ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΈ Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ nginx-сСрвСр, ΠΏΠΈΡΠ°Ρ‚ΡŒ Π½Π΅ Π±ΡƒΠ΄Ρƒ β€” Π½Π° эту Ρ‚Π΅ΠΌΡƒ достаточно статСй Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π΅, Π½Π΅ говоря ΡƒΠΆΠ΅ ΠΎΠ± ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ†ΠΈΠΈ. ΠŸΡ€ΠΈΡΡ‚ΡƒΠΏΠΈΠΌ сразу ΠΊ настройкС HTTPS ΠΈ Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠΎ Ρ‚ΠΎΠΊΠ΅Π½Ρƒ.

ДобавляСм Π² ΡΠ΅ΠΊΡ†ΠΈΡŽ server Π² nginx.conf ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ строки:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎΠ΅ описаниС всСх ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ², ΠΊΠ°ΡΠ°ΡŽΡ‰ΠΈΡ…ΡΡ настройки ssl Π² nginx ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΉΡ‚ΠΈ Ρ‚ΡƒΡ‚ β€” https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Π― лишь ΠΊΠΎΡ€ΠΎΡ‚ΠΊΠΎ ΠΎΠΏΠΈΡˆΡƒ Ρ‚Π΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ сам Π·Π°Π΄Π°Π»:

  • ssl_verify_client β€” ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ довСрия ΠΊ сСртификату.
  • ssl_verify_depth β€” опрСдСляСт Π³Π»ΡƒΠ±ΠΈΠ½Ρƒ поиска Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½ΠΎΠ³ΠΎ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠ³ΠΎ сСртификата Π² Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ΅. Π’Π°ΠΊ ΠΊΠ°ΠΊ Ρƒ нас сСртификат ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° сразу подписан Π½Π° ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΌ сСртификатС, Ρ‚ΠΎ ΠΈ Π³Π»ΡƒΠ±ΠΈΠ½Π° Π·Π°Π΄Π°Π½Π° β€” 1. Если сСртификат ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ подписываСтся Π½Π° ΠΏΡ€ΠΎΠΌΠ΅ΠΆΡƒΡ‚ΠΎΡ‡Π½ΠΎΠΌ CA, Ρ‚ΠΎ Π² этом ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π΅ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ 2, ΠΈ Ρ‚Π°ΠΊ Π΄Π°Π»Π΅Π΅.
  • ssl_client_certificate β€” ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ ΠΏΡƒΡ‚ΡŒ Π΄ΠΎ Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½ΠΎΠ³ΠΎ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠ³ΠΎ сСртификата, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ΅ довСрия ΠΊ сСртификату ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.
  • ssl_certificate/ssl_certificate_key β€” ΡƒΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ ΠΏΡƒΡ‚ΡŒ Π΄ΠΎ сСртификата/Π·Π°ΠΊΡ€Ρ‹Ρ‚ΠΎΠ³ΠΎ ΠΊΠ»ΡŽΡ‡Π° сСрвСра.

НС Π·Π°Π±Ρ‹Π²Π°Π΅ΠΌ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ nginx -t, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π² ΠΊΠΎΠ½Ρ„ΠΈΠ³Π΅ Π½Π΅Ρ‚ ΠΎΠΏΠ΅Ρ‡Π°Ρ‚ΠΎΠΊ, Π° всС Ρ„Π°ΠΉΠ»ΠΈΠΊΠΈ Π»Π΅ΠΆΠ°Ρ‚ Π³Π΄Π΅ Π½Π°Π΄ΠΎ ΠΈ Ρ‚Π°ΠΊ Π΄Π°Π»Π΅Π΅.

И собствСнно всё! Как Π²ΠΈΠ΄ΠΈΡ‚Π΅ настройка ΠΎΡ‡Π΅Π½ΡŒ простая.

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΡΠ΅ΠΌ Ρ€Π°Π±ΠΎΡ‚Ρƒ Π² Firefox

Π Π°Π· ΡƒΠΆ ΠΌΡ‹ всё ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π΄Π΅Π»Π°Π΅ΠΌ Π² Linux, Ρ‚ΠΎ Π±ΡƒΠ΄Π΅ΠΌ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ ΠΈ наши ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Ρ‚ΠΎΠΆΠ΅ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ Π² Linux (Ссли Ρƒ Π½ΠΈΡ… Windows, Ρ‚ΠΎ смотритС ΠΈΠ½ΡΡ‚Ρ€ΡƒΠΊΡ†ΠΈΡŽ ΠΏΠΎ настройкС Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ² Π² ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅ΠΉ ΡΡ‚Π°Ρ‚ΡŒΠ΅.

  1. ЗапускаСм Firefox.
  2. ΠŸΠΎΠΏΡ€ΠΎΠ±ΡƒΠ΅ΠΌ Π² Π½Π°Ρ‡Π°Π»Π΅ Π·Π°ΠΉΡ‚ΠΈ Π±Π΅Π· Ρ‚ΠΎΠΊΠ΅Π½Π°. ΠŸΠΎΠ»ΡƒΡ‡Π°Π΅ΠΌ Π²ΠΎΡ‚ Ρ‚Π°ΠΊΡƒΡŽ ΠΊΠ°Ρ€Ρ‚ΠΈΠ½ΠΊΡƒ:

    Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

  3. Π—Π°Ρ…ΠΎΠ΄ΠΈΠΌ Π½Π° about:preferences#privacy, ΠΈ ΠΈΠ΄Ρ‘ΠΌ Π² Security Devices…
  4. Π–ΠΌΡ‘ΠΌ Load, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ Π½ΠΎΠ²Ρ‹ΠΉ PKCS#11 Device Driver ΠΈ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅ΠΌ ΠΏΡƒΡ‚ΡŒ Π΄ΠΎ нашСй librtpkcs11ecp.so.
  5. Для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ сСртификат видится ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΉΡ‚ΠΈ Π² Certificate Manager. ΠžΡ‚ΠΎΠ±Ρ€Π°Π·ΠΈΡ‚ΡΡ запрос Π½Π° Π²Π²ΠΎΠ΄ PIN-ΠΊΠΎΠ΄Π°. ПослС ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ Π²Π²ΠΎΠ΄Π° ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π½Π° Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ Your Certificates появился наш сСртификат с Ρ‚ΠΎΠΊΠ΅Π½Π°.
  6. Π’Π΅ΠΏΠ΅Ρ€ΡŒ Π·Π°Ρ…ΠΎΠ΄ΠΈΠΌ с Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠΌ. Firefox ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ сСртификат, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ Π²Ρ‹Π±Ρ€Π°Π½ Π½Π° сСрвСр. Π’Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ наш сСртификат.

    Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

  7. PROFIT!

    Двухфакторная аутСнтификация Π½Π° сайтС с использованиСм USB-Ρ‚ΠΎΠΊΠ΅Π½Π°. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈ для Linux

Настройка выполняСтся ΠΎΠ΄ΠΈΠ½ Ρ€Π°Π·, ΠΈ ΠΊΠ°ΠΊ Π²ΠΈΠ΄Π½ΠΎ Π² ΠΎΠΊΠ½Π΅ запроса Π½Π° сСртификат ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ ΡΠΎΡ…Ρ€Π°Π½ΠΈΡ‚ΡŒ наш Π²Ρ‹Π±ΠΎΡ€. ПослС этого ΠΏΡ€ΠΈ ΠΊΠ°ΠΆΠ΄ΠΎΠΌ Π²Ρ…ΠΎΠ΄Π΅ Π½Π° ΠΏΠΎΡ€Ρ‚Π°Π» Π½Π°ΠΌ Π½Π°Π΄ΠΎ Π±ΡƒΠ΄Π΅Ρ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π²ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Ρ‚ΠΎΠΊΠ΅Π½ ΠΈ ввСсти PIN-ΠΊΠΎΠ΄ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±Ρ‹Π» Π·Π°Π΄Π°Π½ ΠΏΡ€ΠΈ Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠΈ. ПослС Ρ‚Π°ΠΊΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ сСрвСр ΡƒΠΆΠ΅ Π·Π½Π°Π΅Ρ‚ ΠΊΠ°ΠΊΠΎΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Π½Π° Π½Π΅Π³ΠΎ Π·Π°ΡˆΡ‘Π» ΠΈ ΠΌΠΎΠΆΠ½ΠΎ большС Π½Π΅ Π΄Π΅Π»Π°Ρ‚ΡŒ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΎΠΊΠΎΠ½ для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ, Π° сразу ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² Π΅Π³ΠΎ Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ°Π±ΠΈΠ½Π΅Ρ‚.

Apache

Π’Π°ΠΊ ΠΆΠ΅ ΠΊΠ°ΠΊ ΠΈ с nginx ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ с установкой apache Π½ΠΈ Ρƒ ΠΊΠΎΠ³ΠΎ Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π²ΠΎΠ·Π½ΠΈΠΊΠ½ΡƒΡ‚ΡŒ. Если ΠΆΠ΅ Π²Ρ‹ Π½Π΅ Π·Π½Π°Π΅Ρ‚Π΅, ΠΊΠ°ΠΊ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ этот web-сСрвСр, просто Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ΡΡŒ ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ†ΠΈΠ΅ΠΉ.

А ΠΌΡ‹ приступаСм ΠΊ настройкС нашСго HTTPS ΠΈ Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ:

  1. Для Π½Π°Ρ‡Π°Π»Π° Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ mod_ssl:
    $ a2enmod ssl
  2. А Π·Π°Ρ‚Π΅ΠΌ Π²ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ настройки HTTPS сайта ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ:
    $ a2ensite default-ssl
  3. Π’Π΅ΠΏΠ΅Ρ€ΡŒ Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΈΡ€ΡƒΠ΅ΠΌ Ρ„Π°ΠΉΠ» ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ: /etc/apache2/sites-enabled/default-ssl.conf:
        SSLEngine on
        SSLProtocol all -SSLv2
    
        SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
        SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
    
        SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
    
        SSLVerifyClient require
        SSLVerifyDepth  10

    Как Π²ΠΈΠ΄ΠΈΡ‚Π΅, названия Ρƒ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² практичСски совпадаСт с названиями ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² Π² nginx, поэтому ΠΏΠΎΡΡΠ½ΡΡ‚ΡŒ я ΠΈΡ… Π½Π΅ Π±ΡƒΠ΄Ρƒ. ΠžΠΏΡΡ‚ΡŒ ΠΆΠ΅ ΠΊΠΎΠΌΡƒ интСрСсны подробности β€” Π΄ΠΎΠ±Ρ€ΠΎ ΠΏΠΎΠΆΠ°Π»ΠΎΠ²Π°Ρ‚ΡŒ Π² Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ†ΠΈΡŽ.
    Π’Π΅ΠΏΠ΅Ρ€ΡŒ пСрСзапускаСм наш сСрвСр:

    $ service apache2 reload
    $ service apache2 restart

  4. Как Π²ΠΈΠ΄ΠΈΡ‚Π΅ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΡƒΡŽ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ Π½Π° любом Π²Π΅Π±-сСрвСрС, Ρ‡Ρ‚ΠΎ Π² Windows, Ρ‡Ρ‚ΠΎ Π² Linux Π΄Π΅Π»ΠΎ ΠΎΠ΄Π½ΠΎΠ³ΠΎ часа максимум. А настройка Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ² Π·Π°Π½ΠΈΠΌΠ°Π΅Ρ‚ ΠΎΠΊΠΎΠ»ΠΎ 5 ΠΌΠΈΠ½ΡƒΡ‚. МногиС ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ настройка ΠΈ Ρ€Π°Π±ΠΎΡ‚Π° с Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΠΎΠΉ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠ΅ΠΉ это слоТно ΠΈ нСпонятно. НадСюсь наша ΡΡ‚Π°Ρ‚ΡŒΡ Ρ…ΠΎΡ‚ΡŒ Π½Π΅ΠΌΠ½ΠΎΠ³ΠΎ, Π½ΠΎ Ρ€Π°Π·Π²Π΅Π½Ρ‡ΠΈΠ²Π°Π΅Ρ‚ этот ΠΌΠΈΡ„.

Волько зарСгистрированныС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΡƒΡ‡Π°ΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Π² опросС. Π’ΠΎΠΉΠ΄ΠΈΡ‚Π΅, поТалуйста.

НуТна Π»ΠΈ инструкция ΠΏΠΎ настройкС Ρ€Π°Π±ΠΎΡ‚Ρ‹ TLS с сСртификатами Π½Π° Π“ΠžΠ‘Π’ 34.10-2012:

  • Π”Π°, TLS-Π“ΠžΠ‘Π’ ΠΎΡ‡Π΅Π½ΡŒ Π½ΡƒΠΆΠ΅Π½

  • НСт, настройка с Π“ΠžΠ‘Π’-Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ°ΠΌΠΈ Π½Π΅ интСрСсна

ΠŸΡ€ΠΎΠ³ΠΎΠ»ΠΎΡΠΎΠ²Π°Π»ΠΈ 44 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Π’ΠΎΠ·Π΄Π΅Ρ€ΠΆΠ°Π»ΠΈΡΡŒ 9 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com