Maayong hapon Ipadayon nato kini nga hilisgutan).
Karon nagpadayon kita sa praktikal nga bahin. Magsugod ta pinaagi sa pag-set up sa atong CA base sa full-fledged open source cryptographic library openSSL. Kini nga algorithm gisulayan gamit ang windows 7.
Sa pag-instalar sa openSSL, makahimo kami og lain-laing mga cryptographic nga operasyon (sama sa paghimo og mga yawe ug mga sertipiko) pinaagi sa command line.
Ang algorithm sa mga aksyon mao ang mosunud:
- I-download ang pag-apod-apod sa pag-instalar openssl-1.1.1g.
Ang openSSL adunay lain-laing mga bersyon. Ang dokumentasyon para sa Rutoken nag-ingon nga ang openSSL nga bersyon 1.1.0 o mas bag-o gikinahanglan. Gigamit nako ang openssl-1.1.1g nga bersyon. Mahimo nimong i-download ang openSSL gikan sa opisyal nga site, apan alang sa usa ka dali nga pag-install, kinahanglan nimo pangitaon ang file sa pag-install alang sa windows sa net. Gibuhat ko kini alang kanimo:
Pag-scroll paubos sa panid ug i-download ang Win64 OpenSSL v1.1.1g EXE 63MB Installer. - I-install ang openssl-1.1.1g sa kompyuter.
Ang pag-instalar kinahanglan nga himuon sumala sa sumbanan nga agianan, nga awtomatiko nga gipakita sa C: Program Files folder. Ang programa i-install sa OpenSSL-Win64 folder. - Aron ma-set up ang openSSL sa paagi nga imong gikinahanglan, anaa ang openssl.cfg file. Kini nga payl nahimutang sa C:\Program Files\OpenSSL-Win64bin path kung imong gi-install ang openSSL sama sa gihulagway sa miaging paragraph. Adto sa folder diin gitipigan ang openssl.cfg ug ablihi kini nga file gamit ang, pananglitan, Notepad++.
- Tingali nakatag-an ka nga ang awtoridad sa sertipikasyon ma-configure sa usa ka paagi pinaagi sa pagbag-o sa sulud sa openssl.cfg file, ug husto ka. Nagkinahanglan kini og customization sa [ ca ] command. Sa openssl.cfg nga payl, ang sinugdanan sa teksto diin kita maghimog mga kausaban makita nga: [ ca ].
- Karon maghatag ako usa ka pananglitan sa usa ka setting nga adunay paghulagway niini:
[ ca ] default_ca = CA_default [ CA_default ] dir = /Users/username/bin/openSSLca/demoCA certs = $dir/certs crl_dir = $dir/crl database = $dir/index.txt new_certs_dir = $dir/newcerts certificate = $dir/ca.crt serial = $dir/private/serial crlnumber = $dir/crlnumber crl = $dir/crl.pem private_key = $dir/private/ca.key x509_extensions = usr_certKaron kinahanglan namong maghimo sa demoCA nga direktoryo ug mga subdirektoryo sama sa gipakita sa panig-ingnan sa ibabaw. Ug ibutang kini sa kini nga direktoryo subay sa agianan nga gitakda sa dir (ako adunay /Users/username/bin/openSSLca/demoCA).
Importante kaayo ang spelling sa dir sa saktong paagi - kini ang agianan paingon sa direktoryo diin mahimutang ang among certification center. Kini nga direktoryo kinahanglang mahimutang sa /Users (nga mao, sa account sa pipila ka user). Kung imong ibutang kini nga direktoryo, pananglitan, sa C: Program Files, dili makita sa sistema ang file nga adunay mga setting sa openssl.cfg (labing menos kini alang kanako).
$dir - ang agianan nga gitakda sa dir gipuli dinhi.
Ang laing importante nga punto mao ang paghimo og walay sulod nga index.txt file, kung wala kini nga file ang "openSSL ca ..." nga mga sugo dili molihok.
Kinahanglan usab nga adunay usa ka serial file, usa ka root private key (ca.key), usa ka root certificate (ca.crt). Ang proseso sa pagkuha niini nga mga file ihulagway sa ubos.
- Gikonektar namon ang mga algorithm sa pag-encrypt nga gihatag sa Rutoken.
Kini nga koneksyon mahitabo sa openssl.cfg file.- Una sa tanan, kinahanglan nimo nga i-download ang gikinahanglan nga mga algorithm sa Rutoken. Kini ang mga file rtengine.dll, rtpkcs11ecp.dll.
Aron mahimo kini, i-download ang Rutoken SDK: .Ang Rutoken SDK naa ra para sa mga developer nga gustong mosulay sa Rutoken. Adunay parehas nga managsama nga mga pananglitan alang sa pagtrabaho kauban ang Rutoken sa lainlaing mga sinultian nga programming, ug gipresentar ang pipila nga mga librarya. Ang among mga librarya rtengine.dll ug rtpkcs11ecp.dll nahimutang sa Rutoken sdk, matag usa, sa lokasyon:
sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dllUsa ka importante kaayo nga punto. Ang mga librarya rtengine.dll, rtpkcs11ecp.dll dili molihok kung wala ang na-install nga drayber alang sa Rutoken. Usab ang Rutoken kinahanglan nga konektado sa kompyuter. (alang sa pag-instalar sa tanan nga imong gikinahanglan alang sa Rutoken, tan-awa ang miaging bahin sa artikulo )
- Ang rtengine.dll ug rtpkcs11ecp.dll nga mga librarya mahimong tipigan bisan asa sa user account.
- Gisulat namo ang mga agianan paingon niining mga librarya sa openssl.cfg. Aron mahimo kini, ablihi ang openssl.cfg file, ibutang ang linya sa sinugdanan niini nga file:
openssl_conf = openssl_defSa katapusan sa file kinahanglan nimo idugang:
[ openssl_def ] engines = engine_section [ engine_section ] rtengine = gost_section [ gost_section ] dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP default_algorithms = CIPHERS, DIGEST, PKEY, RANDdynamic_path - kinahanglan nimong ipiho ang imong agianan padulong sa rtengine.dll library.
MODULE_PATH - kinahanglan nimo nga ibutang ang imong agianan sa rtpkcs11ecp.dll library.
- Una sa tanan, kinahanglan nimo nga i-download ang gikinahanglan nga mga algorithm sa Rutoken. Kini ang mga file rtengine.dll, rtpkcs11ecp.dll.
- Pagdugang mga variable sa palibot.
Siguroha nga magdugang ug environment variable nga nagtino sa agianan paingon sa openssl.cfg configuration file. Sa akong kaso, ang OPENSSL_CONF variable gimugna uban sa dalan C: Program FilesOpenSSL-Win64binopenssl.cfg.
Sa variable nga agianan, kinahanglan nimo nga ipiho ang agianan sa folder diin nahimutang ang openssl.exe, sa akong kaso kini: C: Program FilesOpenSSL-Win64bin.
- Karon mahimo ka nga mobalik sa lakang 5 ug paghimo sa nawala nga mga file alang sa demoCA nga direktoryo.
- Ang una nga hinungdanon nga file kung wala kini walaβy mahimo mao ang serial. Kini usa ka file nga walay extension, ang bili niini kinahanglan nga 01. Mahimo nimo kini nga file sa imong kaugalingon ug isulat ang 01 sa sulod. Mahimo usab nimo kini i-download gikan sa Rutoken SDK subay sa dalan sdk/openssl/rtengine/samples/tool/demoCA /.
Ang demoCA nga direktoryo naglangkob sa serial file, nga mao gayud ang atong gikinahanglan. - Paghimo og root private key.
Aron mahimo kini, atong gamiton ang openSSL library command, nga kinahanglang ipadagan direkta sa command line:openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key - Naghimo kami usa ka sertipiko sa ugat.
Aron mahimo kini, gamita ang mosunod nga openSSL library command:openssl req -utf8 -x509 -key ca.key -out ca.crtPalihug timan-i nga ang gamut nga pribado nga yawe, nga nahimo sa miaging lakang, gikinahanglan aron makamugna ang gamut nga sertipiko. Busa, ang command line kinahanglan nga gilansad sa parehas nga direktoryo.
Ang tanan karon adunay tanan nga nawala nga mga file alang sa kompleto nga pag-configure sa direktoryo sa demoCA. Ibutang ang gibuhat nga mga file sa mga direktoryo nga gipakita sa punto 5.
- Ang una nga hinungdanon nga file kung wala kini walaβy mahimo mao ang serial. Kini usa ka file nga walay extension, ang bili niini kinahanglan nga 01. Mahimo nimo kini nga file sa imong kaugalingon ug isulat ang 01 sa sulod. Mahimo usab nimo kini i-download gikan sa Rutoken SDK subay sa dalan sdk/openssl/rtengine/samples/tool/demoCA /.
Atong isipon nga human makompleto ang tanang 8 puntos, ang atong certification center hingpit nga na-configure.
Sa sunod nga bahin, akong ihulagway kung giunsa namo pagtrabaho ang awtoridad sa sertipikasyon aron matuman ang gihulagway sa .
Source: www.habr.com