ProHoster > وبلاگ > اداره > احراز هویت دو مرحله ای در سایت با استفاده از رمز USB. اکنون همچنین برای لینوکس
احراز هویت دو مرحله ای در سایت با استفاده از رمز USB. اکنون همچنین برای لینوکس
В یکی از مقالات قبلی ما ما در مورد اهمیت احراز هویت دو مرحله ای در پورتال های شرکتی شرکت ها صحبت کردیم. آخرین بار نحوه تنظیم احراز هویت ایمن در وب سرور IIS را نشان دادیم.
در نظرات، از ما خواسته شد تا دستورالعمل هایی را برای رایج ترین سرورهای وب برای لینوکس - nginx و Apache بنویسیم.
شما پرسیدید - ما نوشتیم.
شما برای شروع به چی نیاز دارید؟
هر توزیع مدرن لینوکس. من یک راه اندازی آزمایشی روی MX Linux 18.2_x64 انجام دادم. البته این یک توزیع سرور نیست، اما بعید است که تفاوتی برای دبیان وجود داشته باشد. برای سایر توزیعها، مسیرهای کتابخانههای پیکربندی ممکن است کمی متفاوت باشد.
رمز. ما به استفاده از مدل ادامه می دهیم روتوکن EDS PKI، که از نظر ویژگی های سرعت برای استفاده شرکتی ایده آل است.
برای کار با توکن در لینوکس، باید بسته های زیر را نصب کنید:
libccid libpcsclite1 pcscd pcsc-tools opensc
صدور گواهینامه
در مقالههای قبلی، ما به این واقعیت متکی بودیم که گواهیهای سرور و کلاینت با استفاده از Microsoft CA صادر میشوند. اما از آنجایی که ما همه چیز را در لینوکس راهاندازی میکنیم، روش دیگری برای صدور این گواهیها - بدون خروج از لینوکس - به شما خواهیم گفت.
ما از XCA به عنوان CA استفاده خواهیم کرد (https://hohnstaedt.de/xca/) که در هر توزیع لینوکس مدرن موجود است. تمام اقداماتی که در XCA انجام خواهیم داد را می توان در حالت خط فرمان با استفاده از ابزار OpenSSL و pkcs11-tool انجام داد، اما برای سادگی و وضوح بیشتر، آنها را در این مقاله ارائه نمی کنیم.
شروع
نصب:
$ apt-get install xca
و اجرا می کنیم:
$ xca
ما پایگاه داده خود را برای CA - /root/CA.xdb ایجاد می کنیم
توصیه می کنیم پایگاه داده Certificate Authority را در پوشه ای ذخیره کنید که فقط مدیر به آن دسترسی داشته باشد. این مهم برای محافظت از کلیدهای خصوصی گواهی های ریشه است که برای امضای سایر گواهی ها استفاده می شود.
کلیدها و گواهی CA ریشه ایجاد کنید
زیرساخت کلید عمومی (PKI) بر اساس یک سیستم سلسله مراتبی است. نکته اصلی در این سیستم مرجع صدور گواهی ریشه یا root CA است. ابتدا باید گواهی آن ایجاد شود.
ما یک کلید خصوصی RSA-2048 برای CA ایجاد می کنیم. برای انجام این کار، در برگه کلیدهای خصوصی فشار دادن کلید جدید و نوع مناسب را انتخاب کنید.
یک نام برای جفت کلید جدید تعیین کنید. اسمش را گذاشتم CA Key.
ما گواهینامه CA را با استفاده از جفت کلید ایجاد شده صادر می کنیم. برای انجام این کار، به تب بروید گواهینامه ها و کلیک کنید گواهی جدید.
حتما انتخاب کنید SHA-256، زیرا استفاده از SHA-1 دیگر نمی تواند ایمن در نظر گرفته شود.
حتما به عنوان الگو انتخاب کنید [پیشفرض] CA. فراموش نکنید که روی آن کلیک کنید همه را به کار ببر، در غیر این صورت الگو اعمال نمی شود.
در برگه موضوع جفت کلید ما را انتخاب کنید در آنجا می توانید تمام فیلدهای اصلی گواهی را پر کنید.
ایجاد کلید و گواهی سرور https
به روشی مشابه، یک کلید خصوصی RSA-2048 برای سرور ایجاد می کنیم که من آن را Server Key نامیدم.
هنگام ایجاد یک گواهی، انتخاب می کنیم که گواهی سرور باید با گواهی CA امضا شود.
انتخاب را فراموش نکنید SHA-256.
ما به عنوان یک الگو انتخاب می کنیم [پیشفرض] HTTPS_server. کلیک کنید همه را به کار ببر.
سپس روی زبانه موضوع کلید ما را انتخاب کرده و فیلدهای مورد نیاز را پر کنید.
کلید و گواهی را برای کاربر ایجاد کنید
کلید خصوصی کاربر در توکن ما ذخیره می شود. برای کار با آن، باید کتابخانه PKCS#11 را از وب سایت ما نصب کنید. برای توزیع های محبوب، ما بسته های آماده را توزیع می کنیم که در اینجا قرار دارد - https://www.rutoken.ru/support/download/pkcs/. ما همچنین مجموعه هایی برای arm64، armv7el، armv7hf، e2k، mipso32el داریم که می توانند از SDK ما دانلود شوند - https://www.rutoken.ru/developers/sdk/. علاوه بر اسمبلی برای لینوکس، مجموعه هایی برای macOS، freebsd و اندروید نیز وجود دارد.
افزودن یک ارائه دهنده PKCS#11 جدید به XCA. برای انجام این کار، به منو بروید گزینه به برگه ارائه دهنده PKCS#11.
فشار می دهیم اضافه کردن و مسیر کتابخانه PKCS#11 را انتخاب کنید. در مورد من usrliblibrtpkcs11ecp.so است.
ما کلید RSA-2048 را برای Rutoken EDS PKI به عنوان نوع کلید انتخاب می کنیم. من این کلید را Client Key نامیدم.
کد پین را وارد کنید. و ما منتظر تکمیل تولید سخت افزار جفت کلید هستیم
ما یک گواهی برای کاربر با قیاس با گواهی سرور ایجاد می کنیم. این بار یک قالب را انتخاب می کنیم [پیشفرض] HTTPS_client و فراموش نکنید که کلیک کنید همه را به کار ببر.
در برگه موضوع اطلاعات مربوط به کاربر را وارد کنید ما به درخواست ذخیره گواهی برای توکن پاسخ مثبت می دهیم.
در نتیجه، در برگه گواهینامه ها در XCA شما باید چیزی شبیه به این دریافت کنید.
این حداقل مجموعه کلیدها و گواهی ها برای شروع راه اندازی خود سرورها کافی است.
برای پیکربندی، باید گواهی CA، گواهی سرور و کلید خصوصی سرور را صادر کنیم.
برای انجام این کار، ورودی مورد نظر را در تب مربوطه در XCA انتخاب کرده و کلیک کنید صادرات.
Nginx
من نحوه نصب و اجرای سرور nginx را نمی نویسم - مقالات کافی در مورد این موضوع در اینترنت وجود دارد، نه به ذکر اسناد رسمی. بیایید مستقیماً به راهاندازی HTTPS و احراز هویت دو مرحلهای با استفاده از یک توکن بپردازیم.
فقط مواردی را که از خودم پرسیدم به اختصار شرح می دهم:
ssl_verify_client - مشخص می کند که زنجیره اعتماد گواهی باید تأیید شود.
ssl_verify_depth - عمق جستجو را برای گواهی ریشه قابل اعتماد در زنجیره تعریف می کند. از آنجایی که گواهی مشتری ما بلافاصله در گواهی ریشه امضا می شود، عمق روی 1 تنظیم می شود. اگر گواهی کاربر در یک CA میانی امضا شده باشد، باید 2 در این پارامتر مشخص شود و غیره.
ssl_client_certificate - مسیر گواهی ریشه قابل اعتماد را مشخص می کند که هنگام بررسی اعتماد به گواهی کاربر استفاده می شود.
ssl_certificate/ssl_certificate_key - مسیر گواهی سرور/کلید خصوصی را مشخص کنید.
فراموش نکنید که nginx -t را اجرا کنید تا بررسی کنید که هیچ غلط املایی در پیکربندی وجود نداشته باشد و همه فایلها در جای مناسب قرار داشته باشند و غیره.
و این همه است! همانطور که می بینید، راه اندازی بسیار ساده است.
بیایید ابتدا سعی کنیم بدون رمز وارد شوید. ما این تصویر را دریافت می کنیم:
ما ادامه می دهیم درباره: تنظیمات # حریم خصوصی، و ما به دستگاه های امنیتی …
فشار می دهیم باربرای اضافه کردن یک درایور دستگاه PKCS#11 جدید و تعیین مسیر به librtpkcs11ecp.so ما.
برای بررسی اینکه گواهی قابل مشاهده است، می توانید به مدیر گواهینامه. از شما خواسته می شود که پین خود را وارد کنید. پس از ورودی صحیح، می توانید آنچه را که در برگه است بررسی کنید گواهی های شما گواهی ما از توکن ظاهر شد.
حالا بیایید با توکن برویم. فایرفاکس از شما می خواهد گواهینامه ای را انتخاب کنید که برای سرور انتخاب می شود. گواهی ما را انتخاب کنید
سود!
راه اندازی یک بار انجام می شود و همانطور که در پنجره درخواست گواهی می بینید، می توانیم انتخاب خود را ذخیره کنیم. پس از این، هر بار که وارد پورتال میشویم، فقط باید یک توکن وارد کنیم و پین کد کاربر را که در هنگام قالببندی مشخص شده است وارد کنیم. پس از چنین احراز هویتی، سرور از قبل میداند که کدام کاربر وارد شده است و دیگر نمیتوانید پنجرههای اضافی برای تأیید ایجاد کنید، اما بلافاصله کاربر را به حساب شخصی خود اجازه دهید.
آپاچی
درست مانند nginx، هیچ کس نباید مشکلی در نصب آپاچی داشته باشد. اگر نمی دانید چگونه این وب سرور را نصب کنید، فقط از اسناد رسمی استفاده کنید.
و ما شروع به تنظیم HTTPS و احراز هویت دو مرحله ای خود می کنیم:
ابتدا باید mod_ssl را فعال کنید:
$ a2enmod ssl
و سپس تنظیمات پیش فرض HTTPS سایت را فعال کنید:
$ a2ensite default-ssl
اکنون فایل پیکربندی را ویرایش می کنیم: /etc/apache2/sites-enabled/default-ssl.conf:
SSLEngine on
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/sites-enabled/Server.crt
SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
SSLVerifyClient require
SSLVerifyDepth 10
همانطور که می بینید، نام پارامترها عملا با نام پارامترها در nginx مطابقت دارد، بنابراین من آنها را توضیح نمی دهم. باز هم، هر کسی که علاقه مند به جزئیات باشد، به مستندات خوش آمد می گوید.
اکنون سرور خود را مجددا راه اندازی می کنیم:
$ service apache2 reload
$ service apache2 restart
همانطور که می بینید، تنظیم احراز هویت دو مرحله ای در هر وب سرور، چه در ویندوز یا لینوکس، حداکثر یک ساعت است. و راه اندازی مرورگرها حدود 5 دقیقه طول می کشد. بسیاری از مردم فکر می کنند که راه اندازی و کار با احراز هویت دو مرحله ای دشوار و نامشخص است. امیدوارم مقاله ما حداقل کمی این افسانه را از بین ببرد.
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.
آیا به دستورالعمل هایی برای تنظیم TLS با گواهینامه ها مطابق با GOST 34.10-2012 نیاز دارید: