ProHoster > Blogi > Haldamine > Rutokeni tehnoloogia kasutamise kogemus süsteemis kasutajate registreerimiseks ja autoriseerimiseks (3. osa)

Rutokeni tehnoloogia kasutamise kogemus süsteemis kasutajate registreerimiseks ja autoriseerimiseks (3. osa)

Head päeva!

Eelmises osas Oleme edukalt loonud oma sertifitseerimiskeskuse. Kuidas saab see meie eesmärkidel kasulik olla?

Kohaliku sertifitseerimisasutuse abil saame väljastada sertifikaate ja kontrollida ka nendel sertifikaatidel olevaid allkirju.

Kasutajale sertifikaadi väljastamisel kasutab sertifitseerimisasutus spetsiaalset taotlust Pkcs#10 sertifikaadi väljastamiseks, mille failivorming on ‘.csr’. See päring sisaldab kodeeritud jada, mida sertifitseerimisasutus teab, kuidas õigesti sõeluda. Päring sisaldab nii kasutaja avalikku võtit kui ka andmeid sertifikaadi (kasutaja andmetega assotsiatiivne massiiv) koostamiseks.

Järgmises artiklis vaatame, kuidas sertifikaadi taotlust vastu võtta, ja selles artiklis tahan anda sertifitseerimisasutuse peamised käsud, mis aitavad meil oma ülesannet taustapoolel täita.

Nii et kõigepealt peame looma sertifikaadi. Selleks kasutame käsku:

openssl ca -batch -in user.csr -out user.crt

ca on openSSL-i käsk, mis on seotud sertifitseerimisasutusega,
-partii – tühistab sertifikaadi loomisel kinnitustaotlused.
user.csr — sertifikaadi loomise taotlus (csr-vormingus fail).
user.crt - sertifikaat (käsu tulemus).

Selle käsu toimimiseks peab sertifitseerimisasutus olema konfigureeritud täpselt nii, nagu kirjeldatud artikli eelmises osas. Vastasel juhul peate täiendavalt määrama sertifitseerimisasutuse juursertifikaadi asukoha.

Sertifikaadi kinnitamise käsk:

openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.file

cms on openSSL-i käsk, mida kasutatakse andmete allkirjastamiseks, kontrollimiseks, krüptimiseks ja muudeks krüptograafilisteks toiminguteks, kasutades openSSL-i.

-verify - sel juhul kontrollime sertifikaati.

authenticate.cms – fail, mis sisaldab andmeid, mis on allkirjastatud eelmise käsuga välja antud sertifikaadiga.

-informeeri PEM - kasutatakse PEM-vormingut.

-CA-fail /Kasutajad/……/demoCA/ca.crt – juursertifikaadi tee. (ilma selleta käsk minu jaoks ei töötanud, kuigi failis openssl.cfg olid kirjutatud ca.crt teed)

-out data.file — saadan dekrüpteeritud andmed faili data.file.

Taustaküljel sertifitseerimisasutuse kasutamise algoritm on järgmine:

  • Kasutaja registreerimine:
    1. Saame taotluse luua sertifikaat ja salvestada see faili user.csr.
    2. Salvestame selle artikli esimese käsu faili laiendiga .bat või .cmd. Käitame seda faili koodist, olles eelnevalt salvestanud sertifikaadi loomise taotluse faili user.csr. Saame faili user.crt sertifikaadiga.
    3. Loeme faili user.crt ja saadame selle kliendile.

  • Kasutaja autoriseerimine:
    1. Võtame kliendilt vastu allkirjastatud andmed ja salvestame need faili authenticate.cms.
    2. Salvestage selle artikli teine ​​käsk faili laiendiga .bat või .cmd. Käitame selle faili koodist, olles eelnevalt salvestanud allkirjastatud andmed serverist autentimiste.cms-i. Saame dekrüpteeritud andmetega faili data.file.
    3. Loeme faili data.file ja kontrollime nende andmete kehtivust. Kirjeldatakse, mida täpselt kontrollida esimeses artiklis. Kui andmed on kehtivad, loetakse kasutaja autoriseerimine õnnestunuks.

Nende algoritmide rakendamiseks saate kasutada mis tahes programmeerimiskeelt, mida taustaprogrammi kirjutamiseks kasutatakse.

Järgmises artiklis vaatleme, kuidas Retokeni pistikprogrammiga töötada.

Tänan teid tähelepanu eest!

Allikas: www.habr.com

Lisa kommentaar