🥇 યુએસબી ટોકનનો ઉપયોગ કરીને સાઇટ પર બે-પરિબળ પ્રમાણીકરણ. હવે Linux માટે પણ

В અમારા અગાઉના લેખોમાંથી એક અમે કંપનીઓના કોર્પોરેટ પોર્ટલ પર દ્વિ-પરિબળ પ્રમાણીકરણના મહત્વ વિશે વાત કરી. છેલ્લી વખત અમે IIS વેબ સર્વરમાં સુરક્ષિત પ્રમાણીકરણ કેવી રીતે સેટ કરવું તે દર્શાવ્યું હતું.

ટિપ્પણીઓમાં, અમને Linux - nginx અને Apache માટેના સૌથી સામાન્ય વેબ સર્વર્સ માટે સૂચનાઓ લખવાનું કહેવામાં આવ્યું હતું.

તમે પૂછ્યું - અમે લખ્યું.

તમારે પ્રારંભ કરવા માટે શું કરવાની જરૂર છે?

કોઈપણ આધુનિક Linux વિતરણ. મેં MX Linux 18.2_x64 પર ટેસ્ટ સેટઅપ કર્યું. આ અલબત્ત સર્વર વિતરણ નથી, પરંતુ ડેબિયન માટે કોઈ તફાવત હોવાની શક્યતા નથી. અન્ય વિતરણો માટે, રૂપરેખા લાઇબ્રેરીઓના પાથ થોડો બદલાઈ શકે છે.
ટોકન. અમે મોડેલનો ઉપયોગ કરવાનું ચાલુ રાખીએ છીએ Rutoken EDS PKI, જે કોર્પોરેટ ઉપયોગ માટે ઝડપ લાક્ષણિકતાઓના સંદર્ભમાં આદર્શ છે.
Linux માં ટોકન સાથે કામ કરવા માટે, તમારે નીચેના પેકેજો ઇન્સ્ટોલ કરવાની જરૂર છે:
libccid libpcsclite1 pcscd pcsc-ટૂલ્સ opensc

પ્રમાણપત્રો આપવા

અગાઉના લેખોમાં, અમે એ હકીકત પર આધાર રાખ્યો હતો કે સર્વર અને ક્લાયંટ પ્રમાણપત્રો Microsoft CA નો ઉપયોગ કરીને જારી કરવામાં આવશે. પરંતુ અમે Linux માં બધું સેટ કરી રહ્યાં હોવાથી, અમે તમને આ પ્રમાણપત્રો જારી કરવાની વૈકલ્પિક રીત વિશે પણ જણાવીશું - Linux છોડ્યા વિના.
અમે XCA નો ઉપયોગ CA તરીકે કરીશું (https://hohnstaedt.de/xca/), જે કોઈપણ આધુનિક Linux વિતરણ પર ઉપલબ્ધ છે. અમે XCA માં જે બધી ક્રિયાઓ કરીશું તે OpenSSL અને pkcs11-ટૂલ ઉપયોગિતાઓનો ઉપયોગ કરીને કમાન્ડ લાઇન મોડમાં કરી શકાય છે, પરંતુ વધુ સરળતા અને સ્પષ્ટતા માટે, અમે તેમને આ લેખમાં રજૂ કરીશું નહીં.

પ્રારંભ

ઇન્સ્ટોલ કરો:
```
$ apt-get install xca
```
અને અમે ચલાવીએ છીએ:
```
$ xca
```
અમે CA - /root/CA.xdb માટે અમારો ડેટાબેઝ બનાવીએ છીએ
અમે પ્રમાણપત્ર ઓથોરિટી ડેટાબેઝને એવા ફોલ્ડરમાં સંગ્રહિત કરવાની ભલામણ કરીએ છીએ જ્યાં ફક્ત એડમિનિસ્ટ્રેટરને ઍક્સેસ હોય. રૂટ પ્રમાણપત્રોની ખાનગી કીને સુરક્ષિત રાખવા માટે આ મહત્વપૂર્ણ છે, જેનો ઉપયોગ અન્ય તમામ પ્રમાણપત્રો પર સહી કરવા માટે થાય છે.

કીઓ અને રૂટ CA પ્રમાણપત્ર બનાવો

પબ્લિક કી ઈન્ફ્રાસ્ટ્રક્ચર (PKI) એ હાયરાર્કિકલ સિસ્ટમ પર આધારિત છે. આ સિસ્ટમમાં મુખ્ય વસ્તુ રૂટ સર્ટિફિકેશન ઓથોરિટી અથવા રૂટ CA છે. તેનું પ્રમાણપત્ર પહેલા બનાવવું પડશે.

અમે CA માટે RSA-2048 ખાનગી કી બનાવીએ છીએ. આ કરવા માટે, ટેબ પર ખાનગી કીઓ ઓ નવી કી અને યોગ્ય પ્રકાર પસંદ કરો.
નવી કી જોડી માટે નામ સેટ કરો. મેં તેને CA કી કહી.
અમે બનાવેલ કી જોડીનો ઉપયોગ કરીને CA પ્રમાણપત્ર પોતે જ જારી કરીએ છીએ. આ કરવા માટે, ટેબ પર જાઓ પ્રમાણપત્રો અને ક્લિક કરો નવું પ્રમાણપત્ર.
પસંદ કરવાની ખાતરી કરો SHA-256, કારણ કે SHA-1 નો ઉપયોગ હવે સલામત ગણી શકાતો નથી.
નમૂના તરીકે પસંદ કરવાની ખાતરી કરો [ડિફોલ્ટ] CA. પર ક્લિક કરવાનું ભૂલશો નહીં બધા લાગુ કરો, અન્યથા ટેમ્પલેટ લાગુ કરવામાં આવતું નથી.
ટેબમાં વિષય અમારી કી જોડી પસંદ કરો. ત્યાં તમે પ્રમાણપત્રના તમામ મુખ્ય ક્ષેત્રો ભરી શકો છો.

કીઓ અને https સર્વર પ્રમાણપત્ર બનાવી રહ્યું છે

એવી જ રીતે, અમે સર્વર માટે એક RSA-2048 ખાનગી કી બનાવીએ છીએ, મેં તેને સર્વર કી કહી છે.
પ્રમાણપત્ર બનાવતી વખતે, અમે પસંદ કરીએ છીએ કે સર્વર પ્રમાણપત્ર CA પ્રમાણપત્ર સાથે સહી થયેલ હોવું આવશ્યક છે.
પસંદ કરવાનું ભૂલશો નહીં SHA-256.
અમે નમૂના તરીકે પસંદ કરીએ છીએ [ડિફૉલ્ટ] HTTPS_server. ઉપર ક્લિક કરો બધા લાગુ કરો.
પછી ટેબ પર વિષય અમારી કી પસંદ કરો અને જરૂરી ફીલ્ડ્સ ભરો.

વપરાશકર્તા માટે કીઓ અને પ્રમાણપત્ર બનાવો

વપરાશકર્તાની ખાનગી કી અમારા ટોકન પર સંગ્રહિત થશે. તેની સાથે કામ કરવા માટે, તમારે અમારી વેબસાઇટ પરથી PKCS#11 લાઇબ્રેરી ઇન્સ્ટોલ કરવાની જરૂર છે. લોકપ્રિય વિતરણો માટે, અમે તૈયાર પેકેજો વિતરિત કરીએ છીએ, જે અહીં સ્થિત છે - https://www.rutoken.ru/support/download/pkcs/. અમારી પાસે arm64, armv7el, armv7hf, e2k, mipso32el માટે એસેમ્બલી પણ છે, જે અમારા SDK પરથી ડાઉનલોડ કરી શકાય છે - https://www.rutoken.ru/developers/sdk/. Linux માટે એસેમ્બલીઓ ઉપરાંત, macOS, freebsd અને android માટે પણ એસેમ્બલીઓ છે.
XCA માં એક નવું PKCS#11 પ્રદાતા ઉમેરવું. આ કરવા માટે, મેનુ પર જાઓ વિકલ્પો ટેબ પર PKCS#11 પ્રદાતા.
ક્લિક કરો ઉમેરવું અને PKCS#11 લાઇબ્રેરીનો માર્ગ પસંદ કરો. મારા કિસ્સામાં તે usrliblibrtpkcs11ecp.so છે.
અમને ફોર્મેટ કરેલ Rutoken EDS PKI ટોકનની જરૂર પડશે. rtAdmin યુટિલિટી ડાઉનલોડ કરો - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

અમે હાથ ધરીએ છીએ

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

અમે કી પ્રકાર તરીકે Rutoken EDS PKI માટે RSA-2048 કી પસંદ કરીએ છીએ. મેં આ કીને ક્લાયન્ટ કી કહે છે.
પિન કોડ દાખલ કરો. અને અમે કી જોડીના હાર્ડવેર જનરેશનના પૂર્ણ થવાની રાહ જોઈ રહ્યા છીએ
અમે સર્વર પ્રમાણપત્ર સાથે સામ્યતા દ્વારા વપરાશકર્તા માટે પ્રમાણપત્ર બનાવીએ છીએ. આ વખતે આપણે એક ટેમ્પલેટ પસંદ કરીએ છીએ [ડિફૉલ્ટ] HTTPS_client અને ક્લિક કરવાનું ભૂલશો નહીં બધા લાગુ કરો.
ટેબમાં વિષય વપરાશકર્તા વિશે માહિતી દાખલ કરો. અમે ટોકન માટે પ્રમાણપત્ર સાચવવાની વિનંતીનો હકારાત્મક જવાબ આપીએ છીએ.

પરિણામે, ટેબ પર .Ы XCA માં તમને આના જેવું કંઈક મળવું જોઈએ.

કીઓ અને પ્રમાણપત્રોનો આ લઘુત્તમ સેટ સર્વર્સને જાતે સેટ કરવાનું શરૂ કરવા માટે પૂરતો છે.

રૂપરેખાંકિત કરવા માટે, અમારે CA પ્રમાણપત્ર, સર્વર પ્રમાણપત્ર અને સર્વર ખાનગી કી નિકાસ કરવાની જરૂર છે.

આ કરવા માટે, XCA માં સંબંધિત ટેબ પર ઇચ્છિત એન્ટ્રી પસંદ કરો અને ક્લિક કરો નિકાસ કરો.

Nginx

હું nginx સર્વરને કેવી રીતે ઇન્સ્ટોલ અને ચલાવવું તે લખીશ નહીં - ઇન્ટરનેટ પર આ વિષય પર પૂરતા લેખો છે, સત્તાવાર દસ્તાવેજોનો ઉલ્લેખ કરવા માટે નહીં. ચાલો સીધા જ ટોકનનો ઉપયોગ કરીને HTTPS અને દ્વિ-પરિબળ પ્રમાણીકરણ સેટ કરવા જઈએ.

nginx.conf માં સર્વર વિભાગમાં નીચેની લીટીઓ ઉમેરો:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx માં ssl ને ગોઠવવા સંબંધિત તમામ પરિમાણોનું વિગતવાર વર્ણન અહીં મળી શકે છે - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

મેં મારી જાતને જે પૂછ્યું તે હું ફક્ત ટૂંકમાં વર્ણવીશ:

ssl_verify_client - સ્પષ્ટ કરે છે કે પ્રમાણપત્ર માટે વિશ્વાસની સાંકળને ચકાસવાની જરૂર છે.
ssl_verify_depth - સાંકળમાં વિશ્વસનીય રૂટ પ્રમાણપત્ર માટે શોધ ઊંડાઈ વ્યાખ્યાયિત કરે છે. અમારું ક્લાયંટ પ્રમાણપત્ર રુટ પ્રમાણપત્ર પર તરત જ સહી થયેલ હોવાથી, ઊંડાઈ 1 પર સેટ છે. જો વપરાશકર્તા પ્રમાણપત્ર મધ્યવર્તી CA પર સહી થયેલ છે, તો આ પરિમાણમાં 2 નો ઉલ્લેખ કરવો આવશ્યક છે, અને તેથી વધુ.
ssl_client_certificate - વિશ્વસનીય રૂટ પ્રમાણપત્રનો પાથ સ્પષ્ટ કરે છે, જેનો ઉપયોગ વપરાશકર્તાના પ્રમાણપત્રમાં વિશ્વાસ તપાસતી વખતે થાય છે.
ssl_certificate/ssl_certificate_key - સર્વર પ્રમાણપત્ર/ખાનગી કીનો માર્ગ સૂચવે છે.

રૂપરેખામાં કોઈ લખાણની ભૂલો નથી અને બધી ફાઈલો યોગ્ય જગ્યાએ છે, વગેરે ચકાસવા માટે nginx -t ચલાવવાનું ભૂલશો નહીં.

અને તે બધુ જ છે! જેમ તમે જોઈ શકો છો, સેટઅપ ખૂબ જ સરળ છે.

તપાસી રહ્યું છે કે તે ફાયરફોક્સમાં કામ કરે છે

અમે બધું જ સંપૂર્ણપણે Linux માં કરીએ છીએ, અમે ધારીશું કે અમારા વપરાશકર્તાઓ પણ Linux માં કામ કરે છે (જો તેમની પાસે Windows હોય, તો અગાઉના લેખમાં બ્રાઉઝર સેટ કરવા માટેની સૂચનાઓ જુઓ.

ચાલો ફાયરફોક્સ લોન્ચ કરીએ.
ચાલો પહેલા ટોકન વિના લોગ ઇન કરવાનો પ્રયાસ કરીએ. અમને આ ચિત્ર મળે છે:
ચાલો જઈએ વિશે: પસંદગીઓ # ગોપનીયતા, અને અમે જઈએ છીએ સુરક્ષા ઉપકરણો…
ક્લિક કરો લોડનવો PKCS#11 ઉપકરણ ડ્રાઈવર ઉમેરવા અને અમારા librtpkcs11ecp.so માટેનો પાથ સ્પષ્ટ કરો.
પ્રમાણપત્ર દૃશ્યમાન છે તે તપાસવા માટે, તમે પર જઈ શકો છો પ્રમાણપત્ર વ્યવસ્થાપક. તમને તમારો PIN દાખલ કરવા માટે સંકેત આપવામાં આવશે. યોગ્ય ઇનપુટ પછી, તમે ટેબ પર શું છે તે ચકાસી શકો છો તમારા પ્રમાણપત્રો ટોકનમાંથી અમારું પ્રમાણપત્ર દેખાયું.
હવે ચાલો ટોકન સાથે જઈએ. ફાયરફોક્સ તમને એક પ્રમાણપત્ર પસંદ કરવા માટે સંકેત આપે છે જે સર્વર માટે પસંદ કરવામાં આવશે. અમારું પ્રમાણપત્ર પસંદ કરો.
નફો!

સેટઅપ એકવાર થઈ જાય છે, અને તમે પ્રમાણપત્ર વિનંતી વિંડોમાં જોઈ શકો છો, અમે અમારી પસંદગીને સાચવી શકીએ છીએ. આ પછી, દરેક વખતે જ્યારે આપણે પોર્ટલમાં લૉગ ઇન કરીએ છીએ, ત્યારે અમારે માત્ર એક ટોકન દાખલ કરવાની અને ફોર્મેટિંગ દરમિયાન ઉલ્લેખિત વપરાશકર્તા પિન કોડ દાખલ કરવાની જરૂર પડશે. આવા પ્રમાણીકરણ પછી, સર્વર પહેલેથી જ જાણે છે કે કયા વપરાશકર્તાએ લૉગ ઇન કર્યું છે અને તમે હવે ચકાસણી માટે કોઈ વધારાની વિંડોઝ બનાવી શકતા નથી, પરંતુ તરત જ વપરાશકર્તાને તેના વ્યક્તિગત ખાતામાં જવા દો.

અપાચે

nginx ની જેમ, કોઈને પણ apache ઇન્સ્ટોલ કરવામાં કોઈ સમસ્યા ન હોવી જોઈએ. જો તમે આ વેબ સર્વરને કેવી રીતે ઇન્સ્ટોલ કરવું તે જાણતા નથી, તો ફક્ત સત્તાવાર દસ્તાવેજોનો ઉપયોગ કરો.

અને અમે અમારા HTTPS અને દ્વિ-પરિબળ પ્રમાણીકરણને સેટ કરવાનું શરૂ કરીએ છીએ:

પ્રથમ તમારે mod_ssl સક્રિય કરવાની જરૂર છે:
```
$ a2enmod ssl
```
અને પછી સાઇટની ડિફોલ્ટ HTTPS સેટિંગ્સને સક્ષમ કરો:
```
$ a2ensite default-ssl
```
હવે આપણે રૂપરેખાંકન ફાઇલમાં ફેરફાર કરીએ છીએ: /etc/apache2/sites-enabled/default-ssl.conf:
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
જેમ તમે જોઈ શકો છો, પરિમાણોના નામ વ્યવહારીક રીતે nginx માં પરિમાણોના નામ સાથે સુસંગત છે, તેથી હું તેમને સમજાવીશ નહીં. ફરીથી, વિગતોમાં રસ ધરાવનાર કોઈપણનું દસ્તાવેજીકરણમાં સ્વાગત છે.
હવે અમે અમારા સર્વરને પુનઃપ્રારંભ કરીએ છીએ:
```
$ service apache2 reload
$ service apache2 restart
```

જેમ તમે જોઈ શકો છો, કોઈપણ વેબ સર્વર પર દ્વિ-પરિબળ પ્રમાણીકરણ સેટઅપ કરવું, પછી ભલે તે Windows અથવા Linux પર હોય, મહત્તમ એક કલાક લે છે. અને બ્રાઉઝર સેટ કરવામાં લગભગ 5 મિનિટ લાગે છે. ઘણા લોકો માને છે કે બે-પરિબળ પ્રમાણીકરણ સાથે સેટ કરવું અને કામ કરવું મુશ્કેલ અને અસ્પષ્ટ છે. હું આશા રાખું છું કે અમારો લેખ આ દંતકથાને દૂર કરશે, ઓછામાં ઓછું થોડું.

ફક્ત નોંધાયેલા વપરાશકર્તાઓ જ સર્વેમાં ભાગ લઈ શકે છે. સાઇન ઇન કરો, મહેરબાની કરીને.

શું તમને GOST 34.10-2012 અનુસાર પ્રમાણપત્રો સાથે TLS સેટ કરવા માટે સૂચનાઓની જરૂર છે:

હા, TLS-GOST ખૂબ જરૂરી છે
ના, GOST અલ્ગોરિધમ્સ સાથે ટ્યુનિંગ રસપ્રદ નથી

44 વપરાશકર્તાઓએ મત આપ્યો. 9 વપરાશકર્તાઓ દૂર રહ્યા.

સોર્સ: www.habr.com

યુએસબી ટોકનનો ઉપયોગ કરીને સાઇટ પર બે-પરિબળ પ્રમાણીકરણ. હવે Linux માટે પણ