ProHoster > Blag > Riarachán > Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux
Fíordheimhniú dhá fhachtóir ar an suíomh ag baint úsáide as comhartha USB. Anois freisin le haghaidh Linux
В ceann de na hailt a bhí againn roimhe seo labhair muid faoin tábhacht a bhaineann le fíordheimhniú dhá fhachtóir ar thairseacha corparáideacha cuideachtaí. An uair dheireanach a léirigh muid conas fíordheimhniú slán a bhunú ar fhreastalaí gréasáin IIS.
Sna tuairimí, iarradh orainn treoracha a scríobh do na freastalaithe gréasáin is coitianta le haghaidh Linux - nginx agus Apache.
D'iarr tú - scríobh muid.
Cad atá uait le tosú?
Aon dáileadh Linux nua-aimseartha. Rinne mé socrú tástála ar MX Linux 18.2_x64. Ar ndóigh ní dáileadh freastalaí é seo, ach ní dócha go mbeidh aon difríochtaí ann do Debian. I gcás dáiltí eile, féadfaidh na cosáin chuig na leabharlanna cumraíochta a bheith beagán difriúil.
Comhartha. Leanaimid orainn ag úsáid an mhúnla Rutoken EDS PKI, atá oiriúnach i dtéarmaí tréithe luas le húsáid chorparáideach.
Chun oibriú le comhartha i Linux, ní mór duit na pacáistí seo a leanas a shuiteáil:
libccid libpcsclite1 pcscd pcsc-uirlisí opensc
Deimhnithe a eisiúint
In ailt roimhe seo, bhíomar ag brath ar an bhfíric go n-eiseofar deimhnithe freastalaí agus cliant ag baint úsáide as Microsoft CA. Ach ós rud é go bhfuil gach rud á bhunú againn i Linux, inseoimid duit freisin faoi bhealach eile chun na deimhnithe seo a eisiúint - gan Linux a fhágáil.
Úsáidfimid XCA mar CA (https://hohnstaedt.de/xca/), atá ar fáil ar aon dáileadh Linux nua-aimseartha. Is féidir na gníomhartha go léir a dhéanfaimid in XCA a dhéanamh i mód na n-orduithe ag baint úsáide as na fóntais OpenSSL agus pkcs11-tool, ach ar mhaithe le simplíocht agus soiléireacht níos mó, ní chuirfimid i láthair iad san Airteagal seo.
Ag Tosú
Suiteáil:
$ apt-get install xca
Agus ritheann muid:
$ xca
Cruthaímid ár mbunachar sonraí le haghaidh CA - /root/CA.xdb
Molaimid bunachar sonraí an Údaráis Teastais a stóráil i bhfillteán nach bhfuil rochtain ach ag an riarthóir air. Tá sé seo tábhachtach chun eochracha príobháideacha na ndeimhnithe fréamhacha a chosaint, a úsáidtear chun gach deimhniú eile a shíniú.
Cruthaigh eochracha agus fréimhe CA deimhniú
Tá bonneagar eochair phoiblí (PKI) bunaithe ar chóras ordlathach. Is é an rud is mó sa chóras seo ná an t-údarás deimhniúcháin fréimhe nó an fhréamh CA. Ní mór a theastas a chruthú ar dtús.
Cruthaímid eochair phríobháideach RSA-2048 don ÚD. Chun seo a dhéanamh, ar an táb Eochracha Príobháideacha bhrú Eochair nua agus roghnaigh an cineál cuí.
Socraigh ainm don phéire eochrach nua. D'iarr mé CA Eochair air.
Eisímid an teastas CA féin, ag baint úsáide as an péire eochair cruthaithe. Chun seo a dhéanamh, téigh go dtí an cluaisín Deimhnithe agus cliceáil Teastas Nua.
Bí cinnte a roghnú SHA-256, toisc nach féidir úsáid a bhaint as SHA-1 a mheas sábháilte a thuilleadh.
Bí cinnte a roghnú mar theimpléad [réamhshocraithe] CA. Ná déan dearmad cliceáil ar Iarratas a dhéanamh ar fad, ar shlí eile ní chuirtear an teimpléad i bhfeidhm.
Sa chluaisín ábhar roghnaigh ár péire eochair. Is féidir leat príomhréimsí an deimhnithe go léir a líonadh ansin.
Eochracha agus teastas freastalaí https a chruthú
Ar an mbealach céanna, cruthaímid eochair phríobháideach RSA-2048 don fhreastalaí, d'iarr mé Eochair Freastalaí air.
Agus deimhniú á chruthú againn, roghnaímid nach mór an teastas freastalaí a shíniú le teastas CA.
Ná déan dearmad a roghnú SHA-256.
Roghnaimid mar theimpléad [réamhshocraithe] HTTPS_server. Cliceáil ar Iarratas a dhéanamh ar fad.
Ansin ar an táb ábhar roghnaigh ár n-eochair agus líon isteach na réimsí riachtanacha.
Cruthaigh eochracha agus teastas don úsáideoir
Stórálfar eochair phríobháideach an úsáideora ar ár n-chomhartha. Chun oibriú leis, ní mór duit an leabharlann PKCS#11 a shuiteáil ónár suíomh Gréasáin. Le haghaidh dáiltí coitianta, dáilimid pacáistí réamhdhéanta, atá lonnaithe anseo - https://www.rutoken.ru/support/download/pkcs/. Tá tionóil againn freisin le haghaidh arm64, armv7el, armv7hf, e2k, mipso32el, ar féidir iad a íoslódáil ónár SDK - https://www.rutoken.ru/developers/sdk/. Chomh maith le tionóil le haghaidh Linux, tá tionóil ann freisin do macOS, freebsd agus android.
Soláthraí PKCS#11 nua á chur le XCA. Chun seo a dhéanamh, téigh go dtí an roghchlár Roghanna go dtí an táb Soláthraí PKCS#11.
Brúimid Cuir agus roghnaigh an cosán go dtí an leabharlann PKCS#11. I mo chás is usrliblibrtpkcs11ecp.so é.
Roghnaimid an eochair RSA-2048 don Rutoken EDS PKI mar an cineál eochair. Ghlaoigh mé ar an gCliant Eochair seo.
Cuir isteach an cód PIN. Agus táimid ag fanacht le críochnú giniúna crua-earraí an phéire eochair
Cruthaímid teastas don úsáideoir de réir analaí le teastas an fhreastalaí. An uair seo roghnóimid teimpléad [réamhshocraithe] HTTPS_client agus ná déan dearmad cliceáil Iarratas a dhéanamh ar fad.
Sa chluaisín ábhar cuir isteach faisnéis faoin úsáideoir. Tugaimid freagra dearfach ar an iarratas chun an deimhniú don chomhartha a shábháil.
Mar thoradh air sin, ar an táb Teastais in XCA ba cheart duit rud mar seo a fháil.
Is leor an tacar íosta eochracha agus teastas seo chun na freastalaithe a shocrú iad féin.
Chun é a chumrú, ní mór dúinn an teastas CA, teastas an fhreastalaí agus eochair phríobháideach an fhreastalaí a onnmhairiú.
Chun seo a dhéanamh, roghnaigh an iontráil atá ag teastáil ar an táb comhfhreagrach in XCA agus cliceáil Easpórtáil.
Nginx
Ní scríobhfaidh mé faoi conas freastalaí nginx a shuiteáil agus a rith - tá go leor altanna ar an ábhar seo ar an Idirlíon, gan trácht ar an doiciméadú oifigiúil. Rachaimid díreach chuig HTTPS agus fíordheimhniú dhá fhachtóir a bhunú ag baint úsáide as comhartha.
Cuir na línte seo a leanas leis an rannán freastalaí i nginx.conf:
Ní dhéanfaidh mé ach cur síos gairid orthu siúd a d'iarr mé orm féin:
ssl_verify_client - sonraítear gur gá slabhra muiníne an deimhnithe a fhíorú.
ssl_verify_depth - Sainmhíníonn sé an doimhneacht cuardaigh don teastas fréimhe iontaofa sa slabhra. Ós rud é go bhfuil ár dteastas cliant sínithe láithreach ar an teastas fréimhe, socraítear an doimhneacht go 1. Má tá an deimhniú úsáideora sínithe ar CA idirmheánach, ansin ní mór 2 a shonrú sa pharaiméadar seo, agus mar sin de.
ssl_client_certificate - sonraíonn sé an cosán chuig an teastas fréimhe iontaofa, a úsáidtear nuair a bhíonn muinín i dteastas an úsáideora á seiceáil.
ssl_certificate/ssl_certificate_key - léirigh an cosán chuig teastas an fhreastalaí/eochair phríobháideach.
Ná déan dearmad nginx -t a rith chun a sheiceáil nach bhfuil aon typos sa chumraíocht, agus go bhfuil gach comhad san áit cheart, agus mar sin de.
Agus sin uile! Mar a fheiceann tú, tá an socrú an-simplí.
Déanaimis iarracht logáil isteach gan comhartha ar dtús. Faighimid an pictiúr seo:
Leanaimid ar aghaidh faoi: roghanna # príobháideachas, agus téann muid go dtí Gléasanna Slándála…
Brúimid Luchtaighchun Tiománaí Gléas PKCS#11 nua a chur leis agus an cosán chuig ár librtpkcs11ecp.so a shonrú.
Chun a sheiceáil go bhfuil an teastas le feiceáil, is féidir leat dul go dtí Bainisteoir na dTeastas. Tabharfar leid duit do UAP a chur isteach. Tar éis ionchur ceart, is féidir leat a sheiceáil cad atá ar an táb Do Theastais tháinig ár dteastas ón chomhartha le feiceáil.
Anois, a ligean ar dul leis an comhartha. Molann Firefox duit teastas a roghnú a roghnófar don fhreastalaí. Roghnaigh ár dteastas.
PROFIT!
Déantar an socrú uair amháin, agus mar a fheiceann tú i bhfuinneog an iarratais ar dheimhniú, is féidir linn ár rogha a shábháil. Tar éis seo, gach uair a logálaimid isteach sa tairseach, ní bheidh orainn ach comhartha a chur isteach agus an cód PIN úsáideora a sonraíodh le linn formáidithe a chur isteach. Tar éis fíordheimhnithe den sórt sin, tá a fhios ag an bhfreastalaí cheana féin cén úsáideoir a logáil isteach agus ní féidir leat aon fhuinneoga breise a chruthú le haghaidh fíoraithe a thuilleadh, ach lig an t-úsáideoir isteach ina chuntas pearsanta láithreach.
Apache
Díreach cosúil le nginx, níor cheart go mbeadh aon fhadhb ag duine ar bith apache a shuiteáil. Mura bhfuil a fhios agat conas an freastalaí gréasáin seo a shuiteáil, bain úsáid as an doiciméadú oifigiúil.
Agus cuirimid tús lenár bhfíordheimhniú HTTPS agus dhá fhachtóir a bhunú:
Ar dtús is gá duit mod_ssl a ghníomhachtú:
$ a2enmod ssl
Agus ansin cumasaigh socruithe réamhshocraithe HTTPS an tsuímh:
$ a2ensite default-ssl
Anois cuirimid an comhad cumraíochta in eagar: /etc/apache2/sites-enabled/default-ssl.conf:
SSLEngine on
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/sites-enabled/Server.crt
SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
SSLVerifyClient require
SSLVerifyDepth 10
Mar a fheiceann tú, tá ainmneacha na bparaiméadar i gcomhthráth go praiticiúil le hainmneacha na bparaiméadar i nginx, mar sin ní mhíneoidh mé iad. Arís, tá fáilte roimh aon duine a bhfuil suim acu sna sonraí chuig na doiciméid.
Anois déanaimid ár bhfreastalaí a atosú:
$ service apache2 reload
$ service apache2 restart
Mar a fheiceann tú, tógann sé uair an chloig ar a mhéad chun fíordheimhniú dhá fhachtóir a bhunú ar aon fhreastalaí gréasáin, cibé acu ar Windows nó Linux. Agus tógann sé timpeall 5 nóiméad brabhsálaithe a bhunú. Síleann go leor daoine go bhfuil sé deacair agus doiléir fíordheimhniú dhá fhachtóir a bhunú agus oibriú leis. Tá súil agam go gcuireann ár n-alt an miotas seo chun cinn, beagán ar a laghad.
Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. Sínigh isteach, le do thoil.
An bhfuil treoracha uait chun TLS a bhunú le deimhnithe de réir GOST 34.10-2012: