ProHoster > Blag > Riarachán > Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux
В ceann de na hailt a bhí againn roimhe seo labhair muid faoin tábhacht a bhaineann le fíordheimhniú dhá fhachtóir ar thairseacha corparáideacha cuideachtaí. An uair dheireanach a léirigh muid conas fíordheimhniú slán a bhunú ar fhreastalaí gréasáin IIS.

Sna tuairimí, iarradh orainn treoracha a scríobh do na freastalaithe gréasáin is coitianta le haghaidh Linux - nginx agus Apache.

D'iarr tú - scríobh muid.

Cad atá uait le tosú?

  • Aon dáileadh Linux nua-aimseartha. Rinne mé socrú tástála ar MX Linux 18.2_x64. Ar ndóigh ní dáileadh freastalaí é seo, ach ní dócha go mbeidh aon difríochtaí ann do Debian. I gcás dáiltí eile, féadfaidh na cosáin chuig na leabharlanna cumraíochta a bheith beagán difriúil.
  • Comhartha. Leanaimid orainn ag úsáid an mhúnla Rutoken EDS PKI, atá oiriúnach i dtéarmaí tréithe luas le húsáid chorparáideach.
  • Chun oibriú le comhartha i Linux, ní mór duit na pacáistí seo a leanas a shuiteáil:
    libccid libpcsclite1 pcscd pcsc-uirlisí opensc

Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

Deimhnithe a eisiúint

In ailt roimhe seo, bhíomar ag brath ar an bhfíric go n-eiseofar deimhnithe freastalaí agus cliant ag baint úsáide as Microsoft CA. Ach ós rud é go bhfuil gach rud á bhunú againn i Linux, inseoimid duit freisin faoi bhealach eile chun na deimhnithe seo a eisiúint - gan Linux a fhágáil.
Úsáidfimid XCA mar CA (https://hohnstaedt.de/xca/), atá ar fáil ar aon dáileadh Linux nua-aimseartha. Is féidir na gníomhartha go léir a dhéanfaimid in XCA a dhéanamh i mód na n-orduithe ag baint úsáide as na fóntais OpenSSL agus pkcs11-tool, ach ar mhaithe le simplíocht agus soiléireacht níos mó, ní chuirfimid i láthair iad san Airteagal seo.

Ag Tosú

  1. Suiteáil: 
    $ apt-get install xca
  2. Agus ritheann muid: 
    $ xca
  3. Cruthaímid ár mbunachar sonraí le haghaidh CA - /root/CA.xdb
    Molaimid bunachar sonraí an Údaráis Teastais a stóráil i bhfillteán nach bhfuil rochtain ach ag an riarthóir air. Tá sé seo tábhachtach chun eochracha príobháideacha na ndeimhnithe fréamhacha a chosaint, a úsáidtear chun gach deimhniú eile a shíniú.

Cruthaigh eochracha agus fréimhe CA deimhniú

Tá bonneagar eochair phoiblí (PKI) bunaithe ar chóras ordlathach. Is é an rud is mó sa chóras seo ná an t-údarás deimhniúcháin fréimhe nó an fhréamh CA. Ní mór a theastas a chruthú ar dtús.

  1. Cruthaímid eochair phríobháideach RSA-2048 don ÚD. Chun seo a dhéanamh, ar an táb Eochracha Príobháideacha bhrú Eochair nua agus roghnaigh an cineál cuí.
  2. Socraigh ainm don phéire eochrach nua. D'iarr mé CA Eochair air.
  3. Eisímid an teastas CA féin, ag baint úsáide as an péire eochair cruthaithe. Chun seo a dhéanamh, téigh go dtí an cluaisín Deimhnithe agus cliceáil Teastas Nua.
  4. Bí cinnte a roghnú SHA-256, toisc nach féidir úsáid a bhaint as SHA-1 a mheas sábháilte a thuilleadh.
  5. Bí cinnte a roghnú mar theimpléad [réamhshocraithe] CA. Ná déan dearmad cliceáil ar Iarratas a dhéanamh ar fad, ar shlí eile ní chuirtear an teimpléad i bhfeidhm.
  6. Sa chluaisín ábhar roghnaigh ár péire eochair. Is féidir leat príomhréimsí an deimhnithe go léir a líonadh ansin.

Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

Eochracha agus teastas freastalaí https a chruthú

  1. Ar an mbealach céanna, cruthaímid eochair phríobháideach RSA-2048 don fhreastalaí, d'iarr mé Eochair Freastalaí air.
  2. Agus deimhniú á chruthú againn, roghnaímid nach mór an teastas freastalaí a shíniú le teastas CA.
  3. Ná déan dearmad a roghnú SHA-256.
  4. Roghnaimid mar theimpléad [réamhshocraithe] HTTPS_server. Cliceáil ar Iarratas a dhéanamh ar fad.
  5. Ansin ar an táb ábhar roghnaigh ár n-eochair agus líon isteach na réimsí riachtanacha.

Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

Cruthaigh eochracha agus teastas don úsáideoir

  1. Stórálfar eochair phríobháideach an úsáideora ar ár n-chomhartha. Chun oibriú leis, ní mór duit an leabharlann PKCS#11 a shuiteáil ónár suíomh Gréasáin. Le haghaidh dáiltí coitianta, dáilimid pacáistí réamhdhéanta, atá lonnaithe anseo - https://www.rutoken.ru/support/download/pkcs/. Tá tionóil againn freisin le haghaidh arm64, armv7el, armv7hf, e2k, mipso32el, ar féidir iad a íoslódáil ónár SDK - https://www.rutoken.ru/developers/sdk/. Chomh maith le tionóil le haghaidh Linux, tá tionóil ann freisin do macOS, freebsd agus android.
  2. Soláthraí PKCS#11 nua á chur le XCA. Chun seo a dhéanamh, téigh go dtí an roghchlár Roghanna go dtí an táb Soláthraí PKCS#11.
  3. Brúimid Cuir agus roghnaigh an cosán go dtí an leabharlann PKCS#11. I mo chás is usrliblibrtpkcs11ecp.so é.
  4. Beidh comhartha Rutoken EDS PKI formáidithe uainn. Íoslódáil an clár rtadmin https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
  5. Déanaimid 
    $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>
  6. Roghnaimid an eochair RSA-2048 don Rutoken EDS PKI mar an cineál eochair. Ghlaoigh mé ar an gCliant Eochair seo.

    Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

  7. Cuir isteach an cód PIN. Agus táimid ag fanacht le críochnú giniúna crua-earraí an phéire eochair

    Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

  8. Cruthaímid teastas don úsáideoir de réir analaí le teastas an fhreastalaí. An uair seo roghnóimid teimpléad [réamhshocraithe] HTTPS_client agus ná déan dearmad cliceáil Iarratas a dhéanamh ar fad.
  9. Sa chluaisín ábhar cuir isteach faisnéis faoin úsáideoir. Tugaimid freagra dearfach ar an iarratas chun an deimhniú don chomhartha a shábháil.

Mar thoradh air sin, ar an táb Teastais in XCA ba cheart duit rud mar seo a fháil.

Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux
Is leor an tacar íosta eochracha agus teastas seo chun na freastalaithe a shocrú iad féin.

Chun é a chumrú, ní mór dúinn an teastas CA, teastas an fhreastalaí agus eochair phríobháideach an fhreastalaí a onnmhairiú.

Chun seo a dhéanamh, roghnaigh an iontráil atá ag teastáil ar an táb comhfhreagrach in XCA agus cliceáil Easpórtáil.

Nginx

Ní scríobhfaidh mé faoi conas freastalaí nginx a shuiteáil agus a rith - tá go leor altanna ar an ábhar seo ar an Idirlíon, gan trácht ar an doiciméadú oifigiúil. Rachaimid díreach chuig HTTPS agus fíordheimhniú dhá fhachtóir a bhunú ag baint úsáide as comhartha.

Cuir na línte seo a leanas leis an rannán freastalaí i nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

Is féidir cur síos mionsonraithe ar na paraiméadair go léir a bhaineann le ssl a chumrú i nginx a fháil anseo - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Ní dhéanfaidh mé ach cur síos gairid orthu siúd a d'iarr mé orm féin:

  • ssl_verify_client - sonraítear gur gá slabhra muiníne an deimhnithe a fhíorú.
  • ssl_verify_depth - Sainmhíníonn sé an doimhneacht cuardaigh don teastas fréimhe iontaofa sa slabhra. Ós rud é go bhfuil ár dteastas cliant sínithe láithreach ar an teastas fréimhe, socraítear an doimhneacht go 1. Má tá an deimhniú úsáideora sínithe ar CA idirmheánach, ansin ní mór 2 a shonrú sa pharaiméadar seo, agus mar sin de.
  • ssl_client_certificate - sonraíonn sé an cosán chuig an teastas fréimhe iontaofa, a úsáidtear nuair a bhíonn muinín i dteastas an úsáideora á seiceáil.
  • ssl_certificate/ssl_certificate_key - léirigh an cosán chuig teastas an fhreastalaí/eochair phríobháideach.

Ná déan dearmad nginx -t a rith chun a sheiceáil nach bhfuil aon typos sa chumraíocht, agus go bhfuil gach comhad san áit cheart, agus mar sin de.

Agus sin uile! Mar a fheiceann tú, tá an socrú an-simplí.

Ag seiceáil go bhfuil sé ag obair i Firefox

Ós rud é go ndéanaimid gach rud go hiomlán i Linux, glacfaimid leis go n-oibríonn ár n-úsáideoirí freisin i Linux (má tá Windows acu, ansin féach na treoracha chun brabhsálaithe a bhunú san alt roimhe seo.

  1. Seolfaimid Firefox.
  2. Déanaimis iarracht logáil isteach gan comhartha ar dtús. Faighimid an pictiúr seo:

    Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

  3. Leanaimid ar aghaidh faoi: roghanna # príobháideachas, agus téann muid go dtí Gléasanna Slándála…
  4. Brúimid Luchtaighchun Tiománaí Gléas PKCS#11 nua a chur leis agus an cosán chuig ár librtpkcs11ecp.so a shonrú.
  5. Chun a sheiceáil go bhfuil an teastas le feiceáil, is féidir leat dul go dtí Bainisteoir na dTeastas. Tabharfar leid duit do UAP a chur isteach. Tar éis ionchur ceart, is féidir leat a sheiceáil cad atá ar an táb Do Theastais tháinig ár dteastas ón chomhartha le feiceáil.
  6. Anois, a ligean ar dul leis an comhartha. Molann Firefox duit teastas a roghnú a roghnófar don fhreastalaí. Roghnaigh ár dteastas.

    Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

  7. PROFIT!

    Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux

Déantar an socrú uair amháin, agus mar a fheiceann tú i bhfuinneog an iarratais ar dheimhniú, is féidir linn ár rogha a shábháil. Tar éis seo, gach uair a logálaimid isteach sa tairseach, ní bheidh orainn ach comhartha a chur isteach agus an cód PIN úsáideora a sonraíodh le linn formáidithe a chur isteach. Tar éis fíordheimhnithe den sórt sin, tá a fhios ag an bhfreastalaí cheana féin cén úsáideoir a logáil isteach agus ní féidir leat aon fhuinneoga breise a chruthú le haghaidh fíoraithe a thuilleadh, ach lig an t-úsáideoir isteach ina chuntas pearsanta láithreach.

Apache

Díreach cosúil le nginx, níor cheart go mbeadh aon fhadhb ag duine ar bith apache a shuiteáil. Mura bhfuil a fhios agat conas an freastalaí gréasáin seo a shuiteáil, bain úsáid as an doiciméadú oifigiúil.

Agus cuirimid tús lenár bhfíordheimhniú HTTPS agus dhá fhachtóir a bhunú:

  1. Ar dtús is gá duit mod_ssl a ghníomhachtú: 
    $ a2enmod ssl
  2. Agus ansin cumasaigh socruithe réamhshocraithe HTTPS an tsuímh: 
    $ a2ensite default-ssl
  3. Anois cuirimid an comhad cumraíochta in eagar: /etc/apache2/sites-enabled/default-ssl.conf: 
        SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10

    Mar a fheiceann tú, tá ainmneacha na bparaiméadar i gcomhthráth go praiticiúil le hainmneacha na bparaiméadar i nginx, mar sin ní mhíneoidh mé iad. Arís, tá fáilte roimh aon duine a bhfuil suim acu sna sonraí chuig na doiciméid.
    Anois déanaimid ár bhfreastalaí a atosú:

    $ service apache2 reload
$ service apache2 restart

    4. Mar a fheiceann tú, tógann sé uair an chloig ar a mhéad chun fíordheimhniú dhá fhachtóir a bhunú ar aon fhreastalaí gréasáin, cibé acu ar Windows nó Linux. Agus tógann sé timpeall 5 nóiméad brabhsálaithe a bhunú. Síleann go leor daoine go bhfuil sé deacair agus doiléir fíordheimhniú dhá fhachtóir a bhunú agus oibriú leis. Tá súil agam go gcuireann ár n-alt an miotas seo chun cinn, beagán ar a laghad.

Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. Sínigh isteach, le do thoil.

An bhfuil treoracha uait chun TLS a bhunú le deimhnithe de réir GOST 34.10-2012:

  • Sea, tá TLS-GOST an-riachtanach

  • Níl sé suimiúil tiúnadh le halgartaim GOST

Vótáil 44 úsáideoir. Staon 9 úsáideoir.

Foinse: will.com

Add a comment