🥇 સિસ્ટમમાં વપરાશકર્તાઓની નોંધણી અને અધિકૃતતા માટે રુટોકન તકનીકનો ઉપયોગ કરવાનો અનુભવ (ભાગ 2)

શુભ બપોર ચાલો આ વિષય સાથે ચાલુ રાખીએઅગાઉનો ભાગ લિંક પર મળી શકે છે).

આજે આપણે વ્યવહારિક ભાગ તરફ આગળ વધીએ છીએ. ચાલો સંપૂર્ણ સુવિધાયુક્ત ઓપન સોર્સ ક્રિપ્ટોગ્રાફિક લાઇબ્રેરી openSSL પર આધારિત અમારા CA ને સેટ કરીને શરૂઆત કરીએ. વિન્ડોઝ 7 નો ઉપયોગ કરીને આ અલ્ગોરિધમનું પરીક્ષણ કરવામાં આવ્યું છે.

ઓપનએસએસએલ ઇન્સ્ટોલ સાથે, અમે કમાન્ડ લાઇન દ્વારા વિવિધ ક્રિપ્ટોગ્રાફિક કામગીરી (જેમ કે કી અને પ્રમાણપત્રો બનાવવા) કરી શકીએ છીએ.

ક્રિયાઓનું અલ્ગોરિધમનો નીચે મુજબ છે:

ઇન્સ્ટોલેશન ડિસ્ટ્રિબ્યુશન openssl-1.1.1g ડાઉનલોડ કરો.
openSSL ની વિવિધ આવૃત્તિઓ છે. રુટોકેન માટેના દસ્તાવેજોમાં કહેવામાં આવ્યું છે કે ઓપનએસએસએલ સંસ્કરણ 1.1.0 અથવા નવું આવશ્યક છે. મેં openssl-1.1.1g વર્ઝનનો ઉપયોગ કર્યો. તમે સત્તાવાર સાઇટ પરથી ઓપનએસએસએલ ડાઉનલોડ કરી શકો છો, પરંતુ સરળ ઇન્સ્ટોલેશન માટે, તમારે નેટ પર વિન્ડોઝ માટે ઇન્સ્ટોલેશન ફાઇલ શોધવાની જરૂર છે. મેં તમારા માટે આ કર્યું: slproweb.com/products/Win32OpenSSL.html
પૃષ્ઠ નીચે સ્ક્રોલ કરો અને Win64 OpenSSL v1.1.1g EXE 63MB ઇન્સ્ટોલર ડાઉનલોડ કરો.
કમ્પ્યુટર પર openssl-1.1.1g ઇન્સ્ટોલ કરો.
ઇન્સ્ટોલેશન પ્રમાણભૂત પાથ અનુસાર હાથ ધરવામાં આવશ્યક છે, જે C: પ્રોગ્રામ ફાઇલ્સ ફોલ્ડરમાં આપમેળે સૂચવવામાં આવે છે. પ્રોગ્રામ OpenSSL-Win64 ફોલ્ડરમાં ઇન્સ્ટોલ થશે.
તમને જરૂર હોય તે રીતે openSSL સેટ કરવા માટે, openssl.cfg ફાઇલ છે. આ ફાઇલ C:\Program Files\OpenSSL-Win64bin પાથમાં સ્થિત છે જો તમે અગાઉના ફકરામાં વર્ણવ્યા મુજબ ઓપનએસએસએલ ઇન્સ્ટોલ કર્યું હોય. ફોલ્ડર પર જાઓ જ્યાં openssl.cfg સંગ્રહિત છે અને આ ફાઇલને ખોલો, ઉદાહરણ તરીકે, Notepad++.
તમે કદાચ અનુમાન લગાવ્યું હશે કે પ્રમાણપત્ર ઓથોરિટીને openssl.cfg ફાઇલના સમાવિષ્ટોને બદલીને કોઈક રીતે ગોઠવવામાં આવશે, અને તમે એકદમ સાચા છો. આને [ca] આદેશના કસ્ટમાઇઝેશનની જરૂર છે. openssl.cfg ફાઇલમાં, ટેક્સ્ટની શરૂઆત જ્યાં આપણે ફેરફારો કરીશું તે આ રીતે મળી શકે છે: [ ca ].
હવે હું તેના વર્ણન સાથે સેટિંગનું ઉદાહરણ આપીશ:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
હવે આપણે ઉપરના ઉદાહરણમાં બતાવ્યા પ્રમાણે ડેમોસીએ ડિરેક્ટરી અને સબડિરેક્ટરીઝ બનાવવાની જરૂર છે. અને તેને આ ડિરેક્ટરીમાં પાથ સાથે મૂકો જે dir માં ઉલ્લેખિત છે (મારી પાસે /Users/username/bin/openSSLca/demoCA છે).

ડાયરેક્ટરીનો યોગ્ય રીતે જોડણી કરવી ખૂબ જ મહત્વપૂર્ણ છે - આ તે નિર્દેશિકાનો માર્ગ છે જ્યાં અમારું પ્રમાણપત્ર કેન્દ્ર સ્થિત હશે. આ ડિરેક્ટરી /વપરાશકર્તાઓ (એટલે કે અમુક વપરાશકર્તાના ખાતામાં) માં સ્થિત હોવી જોઈએ. જો તમે આ ડિરેક્ટરી મૂકો છો, ઉદાહરણ તરીકે, C: પ્રોગ્રામ ફાઇલ્સમાં, સિસ્ટમ openssl.cfg સેટિંગ્સવાળી ફાઇલને જોશે નહીં (ઓછામાં ઓછું તે મારા માટે એવું હતું).

$dir - dir માં ઉલ્લેખિત પાથ અહીં અવેજી છે.

બીજો મહત્વનો મુદ્દો એ છે કે ખાલી index.txt ફાઇલ બનાવવી, આ ફાઇલ વિના “openSSL ca …” આદેશો કામ કરશે નહીં.

તમારી પાસે સીરીયલ ફાઈલ, રૂટ પ્રાઈવેટ કી (ca.key), રૂટ પ્રમાણપત્ર (ca.crt) પણ હોવું જરૂરી છે. આ ફાઇલો મેળવવાની પ્રક્રિયા નીચે વર્ણવવામાં આવશે.
અમે રુટોકેન દ્વારા પ્રદાન કરેલ એન્ક્રિપ્શન અલ્ગોરિધમ્સને કનેક્ટ કરીએ છીએ.
આ જોડાણ openssl.cfg ફાઇલમાં થાય છે.
- સૌ પ્રથમ, તમારે જરૂરી રૂટોકન એલ્ગોરિધમ્સ ડાઉનલોડ કરવાની જરૂર છે. આ rtengine.dll, rtpkcs11ecp.dll ફાઇલો છે.
  આ કરવા માટે, Rutoken SDK ડાઉનલોડ કરો: www.rutoken.ru/developers/sdk.
  
  Rutoken SDK એ વિકાસકર્તાઓ માટે છે જેઓ Rutoken ને અજમાવવા માંગે છે. વિવિધ પ્રોગ્રામિંગ ભાષાઓમાં રુટોકેન સાથે કામ કરવા માટે બંને અલગ ઉદાહરણો છે, અને કેટલીક લાઇબ્રેરીઓ રજૂ કરવામાં આવી છે. અમારી લાઇબ્રેરીઓ rtengine.dll અને rtpkcs11ecp.dll અનુક્રમે Rutoken sdk માં, સ્થાન પર સ્થિત છે:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  એક ખૂબ જ મહત્વપૂર્ણ મુદ્દો. લાઇબ્રેરીઓ rtengine.dll, rtpkcs11ecp.dll Rutoken માટે ઇન્સ્ટોલ કરેલ ડ્રાઇવર વિના કામ કરતી નથી. તેમજ રુટોકેન કોમ્પ્યુટર સાથે જોડાયેલ હોવું જોઈએ. (રુટોકન માટે તમને જરૂરી બધું ઇન્સ્ટોલ કરવા માટે, લેખનો પાછલો ભાગ જુઓ habr.com/en/post/506450)
- rtengine.dll અને rtpkcs11ecp.dll પુસ્તકાલયોને વપરાશકર્તા ખાતામાં ગમે ત્યાં રાખી શકાય છે.
- અમે openssl.cfg માં આ પુસ્તકાલયોના પાથ લખીએ છીએ. આ કરવા માટે, openssl.cfg ફાઇલ ખોલો, આ ફાઇલની શરૂઆતમાં લાઇન મૂકો:
```
openssl_conf = openssl_def
```
  ફાઇલના અંતે તમારે ઉમેરવાની જરૂર છે:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - તમારે rtengine.dll લાઇબ્રેરીમાં તમારા પાથનો ઉલ્લેખ કરવો આવશ્યક છે.
  MODULE_PATH - તમારે rtpkcs11ecp.dll લાઇબ્રેરી માટે તમારો પાથ સેટ કરવાની જરૂર છે.
પર્યાવરણ ચલો ઉમેરી રહ્યા છીએ.
એક પર્યાવરણ ચલ ઉમેરવાની ખાતરી કરો કે જે openssl.cfg રૂપરેખાંકન ફાઈલમાં પાથને સ્પષ્ટ કરે છે. મારા કિસ્સામાં, OPENSSL_CONF ચલ C:Program FilesOpenSSL-Win64binopenssl.cfg પાથ સાથે બનાવવામાં આવ્યું હતું.

પાથ વેરીએબલમાં, તમારે ફોલ્ડરનો પાથ સ્પષ્ટ કરવો આવશ્યક છે જ્યાં openssl.exe સ્થિત છે, મારા કિસ્સામાં તે છે: C: Program FilesOpenSSL-Win64bin.
હવે તમે સ્ટેપ 5 પર પાછા જઈ શકો છો અને ડેમોસીએ ડિરેક્ટરી માટે ખૂટતી ફાઇલો બનાવી શકો છો.
1. પ્રથમ મહત્વની ફાઈલ જેના વિના કંઈ કામ કરશે નહિ તે સીરીયલ છે. આ એક્સ્ટેંશન વિનાની ફાઇલ છે, જેનું મૂલ્ય 01 હોવું જોઈએ. તમે આ ફાઇલ જાતે બનાવી શકો છો અને અંદર 01 લખી શકો છો. તમે તેને sdk/openssl/rtengine/samples/tool/demoCA પાથની સાથે Rutoken SDK પરથી પણ ડાઉનલોડ કરી શકો છો. /.
  ડેમોસીએ ડાયરેક્ટરી સીરીયલ ફાઈલ ધરાવે છે, જેની આપણને જરૂર છે.
2. રૂટ ખાનગી કી બનાવો.
  આ કરવા માટે, અમે openSSL લાઇબ્રેરી કમાન્ડનો ઉપયોગ કરીશું, જે સીધી કમાન્ડ લાઇન પર ચાલવી જોઈએ:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. અમે રૂટ પ્રમાણપત્ર બનાવીએ છીએ.
  આ કરવા માટે, નીચેના openSSL લાઇબ્રેરી આદેશનો ઉપયોગ કરો:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  મહેરબાની કરીને નોંધ કરો કે રૂટ ખાનગી કી, જે અગાઉના પગલામાં જનરેટ કરવામાં આવી હતી, રૂટ પ્રમાણપત્ર જનરેટ કરવા માટે જરૂરી છે. તેથી, આદેશ વાક્ય એ જ નિર્દેશિકામાં શરૂ થવી આવશ્યક છે.
ડેમોસીએ ડિરેક્ટરીના સંપૂર્ણ રૂપરેખાંકન માટે હવે દરેક વસ્તુમાં બધી ખૂટતી ફાઇલો છે. બિંદુ 5 માં દર્શાવેલ ડિરેક્ટરીઓમાં બનાવેલ ફાઇલો મૂકો.

અમે ધારીશું કે તમામ 8 પોઈન્ટ પૂર્ણ કર્યા પછી, અમારું પ્રમાણપત્ર કેન્દ્ર સંપૂર્ણ રીતે ગોઠવાયેલું છે.

આગળના ભાગમાં, હું વર્ણન કરીશ કે અમે સર્ટિફિકેશન ઓથોરિટી સાથે કેવી રીતે કામ કરીશું જેથી જેનું વર્ણન કરવામાં આવ્યું છે તે પૂર્ણ કરવા માટે લેખનો પાછલો ભાગ.

સોર્સ: www.habr.com

સિસ્ટમમાં વપરાશકર્તાઓની નોંધણી અને અધિકૃત કરવા માટે રૂટોકન તકનીકનો ઉપયોગ કરવાનો અનુભવ (ભાગ 2)

એક ટિપ્પણી ઉમેરો જવાબ રદ