🥇 সিস্টেমে ব্যবহারকারীদের নিবন্ধন এবং অনুমোদনের জন্য রুটোকেন প্রযুক্তি ব্যবহারের অভিজ্ঞতা (পর্ব ৩)

শুভ অপরাহ্ন চলুন এই বিষয় সঙ্গে অবিরতআগের অংশ লিঙ্কে পাওয়া যাবে).

আজ আমরা ব্যবহারিক অংশে এগিয়ে যাই। পূর্ণাঙ্গ ওপেন সোর্স ক্রিপ্টোগ্রাফিক লাইব্রেরি openSSL-এর উপর ভিত্তি করে আমাদের CA সেট আপ করে শুরু করা যাক। এই অ্যালগরিদমটি উইন্ডোজ 7 ব্যবহার করে পরীক্ষা করা হয়েছে।

OpenSSL ইনস্টল করার সাথে, আমরা কমান্ড লাইনের মাধ্যমে বিভিন্ন ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপ (যেমন কী এবং শংসাপত্র তৈরি) করতে পারি।

ক্রিয়াগুলির অ্যালগরিদম নিম্নরূপ:

ইনস্টলেশন ডিস্ট্রিবিউশন openssl-1.1.1g ডাউনলোড করুন।
openSSL এর বিভিন্ন সংস্করণ রয়েছে। রুটোকেনের জন্য ডকুমেন্টেশন বলেছে যে openSSL সংস্করণ 1.1.0 বা নতুন প্রয়োজন। আমি openssl-1.1.1g সংস্করণ ব্যবহার করেছি। আপনি অফিসিয়াল সাইট থেকে openSSL ডাউনলোড করতে পারেন, কিন্তু একটি সহজ ইনস্টলেশনের জন্য, আপনাকে নেট-এ উইন্ডোজের জন্য ইনস্টলেশন ফাইলটি খুঁজে বের করতে হবে। আমি আপনার জন্য এটি করেছি: slproweb.com/products/Win32OpenSSL.html
পৃষ্ঠাটি স্ক্রোল করুন এবং Win64 OpenSSL v1.1.1g EXE 63MB ইনস্টলার ডাউনলোড করুন।
কম্পিউটারে openssl-1.1.1g ইনস্টল করুন।
ইনস্টলেশনটি অবশ্যই স্ট্যান্ডার্ড পাথ অনুযায়ী করা উচিত, যা সি: প্রোগ্রাম ফাইল ফোল্ডারে স্বয়ংক্রিয়ভাবে নির্দেশিত হয়। প্রোগ্রামটি OpenSSL-Win64 ফোল্ডারে ইনস্টল করা হবে।
আপনার প্রয়োজন মত openSSL সেট আপ করার জন্য, openssl.cfg ফাইল আছে। এই ফাইলটি C:\Program Files\OpenSSL-Win64bin পাথে অবস্থিত যদি আপনি আগের অনুচ্ছেদে বর্ণিত openSSL ইনস্টল করেন। যে ফোল্ডারে openssl.cfg সংরক্ষিত আছে সেখানে যান এবং এই ফাইলটি খুলুন, উদাহরণস্বরূপ, Notepad++ ব্যবহার করে।
আপনি সম্ভবত অনুমান করেছেন যে openssl.cfg ফাইলের বিষয়বস্তু পরিবর্তন করে সার্টিফিকেশন অথরিটি কোনোভাবে কনফিগার করা হবে, এবং আপনি একেবারে সঠিক। এর জন্য [ca ] কমান্ডের কাস্টমাইজেশন প্রয়োজন। openssl.cfg ফাইলে, টেক্সটের শুরুতে যেখানে আমরা পরিবর্তন করব তা এইভাবে পাওয়া যাবে: [ ca ]।
এখন আমি তার বর্ণনা সহ একটি সেটিং এর একটি উদাহরণ দেব:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
এখন আমাদের ডেমোসিএ ডিরেক্টরি এবং সাবডিরেক্টরি তৈরি করতে হবে যেমন উপরের উদাহরণে দেখানো হয়েছে। এবং dir-এ উল্লিখিত পাথ বরাবর এই ডিরেক্টরিতে রাখুন (আমার কাছে /Users/username/bin/openSSLca/demoCA আছে)।
dir সঠিকভাবে বানান করা খুবই গুরুত্বপূর্ণ - এটি সেই ডিরেক্টরির পথ যেখানে আমাদের সার্টিফিকেশন কেন্দ্র অবস্থিত হবে। এই ডিরেক্টরিটি অবশ্যই /ব্যবহারকারীদের (অর্থাৎ কিছু ব্যবহারকারীর অ্যাকাউন্টে) অবস্থিত। আপনি যদি এই ডিরেক্টরিটি স্থাপন করেন, উদাহরণস্বরূপ, সি: প্রোগ্রাম ফাইলে, সিস্টেমটি openssl.cfg সেটিংস সহ ফাইলটি দেখতে পাবে না (অন্তত এটি আমার জন্য এমন ছিল)।
$dir - dir-এ নির্দিষ্ট পথটি এখানে প্রতিস্থাপিত হয়েছে।
আরেকটি গুরুত্বপূর্ণ বিষয় হল একটি খালি index.txt ফাইল তৈরি করা, এই ফাইলটি ছাড়া "openSSL ca …" কমান্ড কাজ করবে না।
আপনার একটি সিরিয়াল ফাইল, একটি রুট প্রাইভেট কী (ca.key), একটি রুট সার্টিফিকেট (ca.crt) থাকতে হবে। এই ফাইল প্রাপ্তির প্রক্রিয়া নীচে বর্ণনা করা হবে.
আমরা রুটোকেন দ্বারা প্রদত্ত এনক্রিপশন অ্যালগরিদমগুলিকে সংযুক্ত করি।
এই সংযোগটি openssl.cfg ফাইলে সঞ্চালিত হয়।
- প্রথমত, আপনাকে প্রয়োজনীয় রুটোকেন অ্যালগরিদম ডাউনলোড করতে হবে। এগুলো হল rtengine.dll, rtpkcs11ecp.dll ফাইল।
  এটি করতে, Rutoken SDK ডাউনলোড করুন: www.rutoken.ru/developers/sdk.
  Rutoken SDK হল সেই সব ডেভেলপারদের জন্য যারা রুটোকেন ব্যবহার করে দেখতে চান। বিভিন্ন প্রোগ্রামিং ভাষায় রুটোকেনের সাথে কাজ করার জন্য উভয়ই পৃথক উদাহরণ রয়েছে এবং কিছু লাইব্রেরি উপস্থাপন করা হয়েছে। আমাদের লাইব্রেরি rtengine.dll এবং rtpkcs11ecp.dll যথাক্রমে রুটোকেন sdk-এ অবস্থিত:
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  একটি খুব গুরুত্বপূর্ণ পয়েন্ট. লাইব্রেরি rtengine.dll, rtpkcs11ecp.dll রুটোকেনের জন্য ইনস্টল করা ড্রাইভার ছাড়া কাজ করে না। এছাড়াও রুটোকেন অবশ্যই কম্পিউটারের সাথে সংযুক্ত থাকতে হবে। (রুটোকেনের জন্য আপনার প্রয়োজনীয় সমস্ত কিছু ইনস্টল করার জন্য, নিবন্ধের পূর্ববর্তী অংশটি দেখুন habr.com/en/post/506450)
- rtengine.dll এবং rtpkcs11ecp.dll লাইব্রেরিগুলি ব্যবহারকারীর অ্যাকাউন্টের যে কোনও জায়গায় রাখা যেতে পারে।
- আমরা openssl.cfg-এ এই লাইব্রেরির পাথ লিখি। এটি করার জন্য, openssl.cfg ফাইলটি খুলুন, এই ফাইলের শুরুতে লাইনটি রাখুন:
```
openssl_conf = openssl_def
```
  ফাইলের শেষে আপনাকে যোগ করতে হবে:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - আপনাকে অবশ্যই rtengine.dll লাইব্রেরিতে আপনার পথ নির্দিষ্ট করতে হবে।
  MODULE_PATH - আপনাকে rtpkcs11ecp.dll লাইব্রেরিতে আপনার পথ লিখতে হবে।
পরিবেশ ভেরিয়েবল যোগ করা হচ্ছে।
একটি এনভায়রনমেন্ট ভেরিয়েবল যোগ করতে ভুলবেন না যা openssl.cfg কনফিগারেশন ফাইলের পাথ নির্দিষ্ট করে। আমার ক্ষেত্রে, OPENSSL_CONF ভেরিয়েবলটি C:Program FilesOpenSSL-Win64binopenssl.cfg পাথ দিয়ে তৈরি করা হয়েছিল।
পাথ ভেরিয়েবলে, আপনাকে অবশ্যই যে ফোল্ডারে openssl.exe অবস্থিত তার পাথ নির্দিষ্ট করতে হবে, আমার ক্ষেত্রে এটি হল: C: Program FilesOpenSSL-Win64bin।
এখন আপনি ধাপ 5 এ ফিরে যেতে পারেন এবং ডেমোসিএ ডিরেক্টরির জন্য অনুপস্থিত ফাইলগুলি তৈরি করতে পারেন।
1. প্রথম গুরুত্বপূর্ণ ফাইল যা ছাড়া কিছুই কাজ করবে না সিরিয়াল। এটি একটি এক্সটেনশন ছাড়াই একটি ফাইল, যার মান 01 হওয়া উচিত৷ আপনি নিজে এই ফাইলটি তৈরি করতে পারেন এবং ভিতরে 01 লিখতে পারেন৷ আপনি এটিকে sdk/openssl/rtengine/samples/tool/demoCA পথ বরাবর Rutoken SDK থেকে ডাউনলোড করতে পারেন৷ /।
  ডেমোসিএ ডিরেক্টরিতে সিরিয়াল ফাইল রয়েছে, যা আমাদের প্রয়োজন।
2. একটি রুট ব্যক্তিগত কী তৈরি করুন।
  এটি করার জন্য, আমরা openSSL লাইব্রেরি কমান্ড ব্যবহার করব, যা সরাসরি কমান্ড লাইনে চালাতে হবে:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. আমরা একটি রুট সার্টিফিকেট তৈরি করি।
  এটি করার জন্য, নিম্নলিখিত openSSL লাইব্রেরি কমান্ড ব্যবহার করুন:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  অনুগ্রহ করে মনে রাখবেন যে রুট প্রাইভেট কী, যা পূর্ববর্তী ধাপে তৈরি করা হয়েছিল, রুট সার্টিফিকেট তৈরি করতে প্রয়োজন। অতএব, কমান্ড লাইন একই ডিরেক্টরিতে চালু করা আবশ্যক।
ডেমোসিএ ডিরেক্টরির সম্পূর্ণ কনফিগারেশনের জন্য এখন সবকিছুতে অনুপস্থিত সমস্ত ফাইল রয়েছে। বিন্দু 5 এ নির্দেশিত ডিরেক্টরিগুলিতে তৈরি করা ফাইলগুলি রাখুন।

আমরা অনুমান করব যে সমস্ত 8 পয়েন্ট সম্পূর্ণ করার পরে, আমাদের শংসাপত্র কেন্দ্র সম্পূর্ণরূপে কনফিগার করা হয়েছে।

পরবর্তী অংশে, আমি বর্ণনা করব কীভাবে আমরা শংসাপত্র কর্তৃপক্ষের সাথে কাজ করব যাতে যা বর্ণনা করা হয়েছিল তা সম্পন্ন করার জন্য নিবন্ধের আগের অংশ.

উত্স: www.habr.com

সিস্টেমে ব্যবহারকারীদের নিবন্ধন ও অনুমোদনের জন্য রুটোকেন প্রযুক্তি ব্যবহারের অভিজ্ঞতা (অংশ 2)