USB टोकन का उपयोग करके साइट पर दो-कारक प्रमाणीकरण। अब Linux के लिए भी

В हमारे पिछले लेखों में से एक हमने कंपनियों के कॉर्पोरेट पोर्टल पर दो-कारक प्रमाणीकरण के महत्व के बारे में बात की। पिछली बार हमने प्रदर्शित किया था कि IIS वेब सर्वर में सुरक्षित प्रमाणीकरण कैसे सेट किया जाए।

टिप्पणियों में, हमें Linux के लिए सबसे सामान्य वेब सर्वर - nginx और Apache के लिए निर्देश लिखने के लिए कहा गया था।

आपने पूछा - हमने लिखा।

आपको क्या शुरू करने की आवश्यकता है?

• कोई भी आधुनिक Linux वितरण. मैंने एमएक्स लिनक्स 18.2_x64 पर एक परीक्षण सेटअप किया। यह निश्चित रूप से सर्वर वितरण नहीं है, लेकिन डेबियन के लिए कोई अंतर होने की संभावना नहीं है। अन्य वितरणों के लिए, कॉन्फ़िगरेशन लाइब्रेरी के पथ थोड़े भिन्न हो सकते हैं।
• टोकन. हम मॉडल का उपयोग जारी रखते हैं रूटोकेन ईडीएस पीकेआई, जो कॉर्पोरेट उपयोग के लिए गति विशेषताओं के मामले में आदर्श है।
• लिनक्स में टोकन के साथ काम करने के लिए, आपको निम्नलिखित पैकेज स्थापित करने होंगे:
  libccid libpcsclite1 pcscd pcsc-टूल्स ओपनएससी

प्रमाण पत्र जारी करना

पिछले लेखों में, हमने इस तथ्य पर भरोसा किया था कि सर्वर और क्लाइंट प्रमाणपत्र Microsoft CA का उपयोग करके जारी किए जाएंगे। लेकिन चूंकि हम सब कुछ लिनक्स में सेट कर रहे हैं, इसलिए हम आपको इन प्रमाणपत्रों को जारी करने के वैकल्पिक तरीके के बारे में भी बताएंगे - लिनक्स को छोड़े बिना।
हम XCA का उपयोग CA के रूप में करेंगे (https://hohnstaedt.de/xca/), जो किसी भी आधुनिक लिनक्स वितरण पर उपलब्ध है। XCA में हम जो भी कार्य करेंगे, वे OpenSSL और pkcs11-टूल उपयोगिताओं का उपयोग करके कमांड लाइन मोड में किए जा सकते हैं, लेकिन अधिक सरलता और स्पष्टता के लिए, हम उन्हें इस लेख में प्रस्तुत नहीं करेंगे।

प्रारंभ करना

1. स्थापित करना:

   $ apt-get install xca

2. और हम दौड़ते हैं:

   $ xca

3. हम CA के लिए अपना डेटाबेस बनाते हैं - /root/CA.xdb
   हम सर्टिफिकेट अथॉरिटी डेटाबेस को एक ऐसे फ़ोल्डर में संग्रहीत करने की सलाह देते हैं जहां केवल व्यवस्थापक के पास पहुंच हो। रूट प्रमाणपत्रों की निजी कुंजियों की सुरक्षा के लिए यह महत्वपूर्ण है, जिनका उपयोग अन्य सभी प्रमाणपत्रों पर हस्ताक्षर करने के लिए किया जाता है।

कुंजियाँ बनाएँ और CA प्रमाणपत्र रूट करें

सार्वजनिक कुंजी अवसंरचना (पीकेआई) एक पदानुक्रमित प्रणाली पर आधारित है। इस सिस्टम में मुख्य चीज है रूट सर्टिफिकेशन अथॉरिटी या रूट सीए। सबसे पहले इसका सर्टिफिकेट बनाना होगा.

1. हम CA के लिए RSA-2048 निजी कुंजी बनाते हैं। ऐसा करने के लिए, टैब पर निजी कुंजी नाज़िममेम नई कुंजी और उपयुक्त प्रकार का चयन करें.
2. नई कुंजी जोड़ी के लिए एक नाम सेट करें. मैंने इसे सीए कुंजी कहा।
3. हम निर्मित कुंजी जोड़ी का उपयोग करके, स्वयं CA प्रमाणपत्र जारी करते हैं। ऐसा करने के लिए, टैब पर जाएँ प्रमाण पत्र और दबाएँ नया प्रमाणपत्र.
4. चुनना सुनिश्चित करें शा 256, क्योंकि SHA-1 का उपयोग अब सुरक्षित नहीं माना जा सकता।
5. टेम्पलेट के रूप में चुनना सुनिश्चित करें [डिफ़ॉल्ट] सीए. पर क्लिक करना न भूलें सभी लागू, अन्यथा टेम्पलेट लागू नहीं होता है.
6. टैब विषय हमारी कुंजी जोड़ी चुनें. वहां आप प्रमाणपत्र के सभी मुख्य फ़ील्ड भर सकते हैं।

कुंजियाँ और एक https सर्वर प्रमाणपत्र बनाना

1. इसी तरह, हम सर्वर के लिए एक RSA-2048 निजी कुंजी बनाते हैं, मैंने इसे सर्वर कुंजी कहा है।
2. प्रमाणपत्र बनाते समय, हम चुनते हैं कि सर्वर प्रमाणपत्र पर CA प्रमाणपत्र के साथ हस्ताक्षर होना चाहिए।
3. चयन करना न भूलें शा 256.
4. हम एक टेम्पलेट के रूप में चुनते हैं [डिफ़ॉल्ट] HTTPS_server. पर क्लिक करें सभी लागू.
5. फिर टैब पर विषय हमारी कुंजी चुनें और आवश्यक फ़ील्ड भरें।

उपयोगकर्ता के लिए कुंजियाँ और प्रमाणपत्र बनाएँ

1. उपयोगकर्ता की निजी कुंजी हमारे टोकन पर संग्रहीत की जाएगी। इसके साथ काम करने के लिए, आपको हमारी वेबसाइट से PKCS#11 लाइब्रेरी इंस्टॉल करनी होगी। लोकप्रिय वितरण के लिए, हम तैयार पैकेज वितरित करते हैं, जो यहां स्थित हैं - https://www.rutoken.ru/support/download/pkcs/. हमारे पास Arm64, Armv7el, Armv7HF, e2k, mipso32el के लिए असेंबली भी हैं, जिन्हें हमारे SDK से डाउनलोड किया जा सकता है - https://www.rutoken.ru/developers/sdk/. Linux के लिए असेंबली के अलावा, macOS, freebsd और android के लिए भी असेंबली हैं।
2. XCA में एक नया PKCS#11 प्रदाता जोड़ा जा रहा है। ऐसा करने के लिए, मेनू पर जाएँ ऑप्शंस टैब पर PKCS#11 प्रदाता.
3. Ёмём और PKCS#11 लाइब्रेरी के लिए पथ चुनें। मेरे मामले में यह usrliblibrtpkcs11ecp.so है।
4. हमें एक स्वरूपित रुटोकन ईडीएस पीकेआई टोकन की आवश्यकता होगी। rtAdmin उपयोगिता डाउनलोड करें - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. हम निभाते हैं

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. हम कुंजी प्रकार के रूप में रुटोकन ईडीएस पीकेआई के लिए आरएसए-2048 कुंजी का चयन करते हैं। मैंने इस कुंजी को क्लाइंट कुंजी कहा है।

   

7. पिन कोड दर्ज करें. और हम कुंजी जोड़ी के हार्डवेयर निर्माण के पूरा होने की प्रतीक्षा करते हैं

   

8. हम सर्वर प्रमाणपत्र के अनुरूप उपयोगकर्ता के लिए एक प्रमाणपत्र बनाते हैं। इस बार हम एक टेम्पलेट चुनते हैं [डिफ़ॉल्ट] HTTPS_client और क्लिक करना न भूलें सभी लागू.
9. टैब विषय उपयोगकर्ता के बारे में जानकारी दर्ज करें. हम टोकन के लिए प्रमाणपत्र सहेजने के अनुरोध का सकारात्मक उत्तर देते हैं।

परिणामस्वरूप, टैब पर प्रमाण पत्र XCA में आपको कुछ इस तरह मिलना चाहिए.

कुंजियों और प्रमाणपत्रों का यह न्यूनतम सेट सर्वर को स्वयं स्थापित करने के लिए पर्याप्त है।

कॉन्फ़िगर करने के लिए, हमें CA प्रमाणपत्र, सर्वर प्रमाणपत्र और सर्वर निजी कुंजी निर्यात करने की आवश्यकता है।

ऐसा करने के लिए, XCA में संबंधित टैब पर वांछित प्रविष्टि का चयन करें और क्लिक करें निर्यात.

nginx

मैं यह नहीं लिखूंगा कि nginx सर्वर को कैसे स्थापित और चलाया जाए - इंटरनेट पर इस विषय पर पर्याप्त लेख हैं, आधिकारिक दस्तावेज़ीकरण का उल्लेख नहीं किया गया है। आइए एक टोकन का उपयोग करके HTTPS और दो-कारक प्रमाणीकरण स्थापित करने के लिए सीधे आगे बढ़ें।

nginx.conf में सर्वर अनुभाग में निम्नलिखित पंक्तियाँ जोड़ें:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx में SSL को कॉन्फ़िगर करने से संबंधित सभी मापदंडों का विस्तृत विवरण यहां पाया जा सकता है - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

मैं केवल उनका संक्षेप में वर्णन करूँगा जो मैंने स्वयं से पूछा था:

• ssl_verify_client - निर्दिष्ट करता है कि प्रमाणपत्र के लिए विश्वास की श्रृंखला को सत्यापित करने की आवश्यकता है।
• ssl_verify_depth - श्रृंखला में विश्वसनीय रूट प्रमाणपत्र के लिए खोज गहराई को परिभाषित करता है। चूंकि हमारे क्लाइंट प्रमाणपत्र को तुरंत रूट प्रमाणपत्र पर हस्ताक्षरित किया जाता है, गहराई 1 पर सेट की जाती है। यदि उपयोगकर्ता प्रमाणपत्र मध्यवर्ती सीए पर हस्ताक्षरित है, तो 2 को इस पैरामीटर में निर्दिष्ट किया जाना चाहिए, और इसी तरह।
• ssl_client_certificate - विश्वसनीय रूट प्रमाणपत्र के लिए पथ निर्दिष्ट करता है, जिसका उपयोग उपयोगकर्ता के प्रमाणपत्र में विश्वास की जाँच करते समय किया जाता है।
• ssl_certificate/ssl_certificate_key - सर्वर प्रमाणपत्र/निजी कुंजी का पथ इंगित करें।

यह जांचने के लिए nginx -t चलाना न भूलें कि कॉन्फ़िगरेशन में कोई टाइपो त्रुटि तो नहीं है, और सभी फ़ाइलें सही जगह पर हैं, इत्यादि।

और यह सबकुछ है! जैसा कि आप देख सकते हैं, सेटअप बहुत सरल है।

जाँच कर रहा हूँ कि यह फ़ायरफ़ॉक्स में काम कर रहा है

चूँकि हम सब कुछ पूरी तरह से लिनक्स में करते हैं, हम मान लेंगे कि हमारे उपयोगकर्ता भी लिनक्स में काम करते हैं (यदि उनके पास विंडोज़ है, तो)। पिछले आलेख में ब्राउज़र स्थापित करने के निर्देश देखें.

1. आइए फ़ायरफ़ॉक्स लॉन्च करें।
2. आइए पहले बिना टोकन के लॉग इन करने का प्रयास करें। हमें यह चित्र मिलता है:

   

3. के पास जाओ के बारे में: वरीयताओं # गोपनीयता, और हम जाते हैं सुरक्षा डिवाइसें…
4. Ёмём भारएक नया PKCS#11 डिवाइस ड्राइवर जोड़ने और हमारे librtpkcs11ecp.so का पथ निर्दिष्ट करने के लिए।
5. यह जांचने के लिए कि प्रमाणपत्र दिखाई दे रहा है, आप यहां जा सकते हैं प्रमाणपत्र प्रबंधक. आपको अपना पिन दर्ज करने के लिए कहा जाएगा। सही इनपुट के बाद, आप जांच सकते हैं कि टैब पर क्या है आपके प्रमाण पत्र टोकन से हमारा प्रमाणपत्र प्रकट हुआ।
6. अब टोकन लेकर चलते हैं. फ़ायरफ़ॉक्स आपको एक प्रमाणपत्र चुनने के लिए संकेत देता है जिसे सर्वर के लिए चुना जाएगा। हमारा प्रमाणपत्र चुनें.

   

7. लाभ!

   

सेटअप एक बार किया जाता है, और जैसा कि आप प्रमाणपत्र अनुरोध विंडो में देख सकते हैं, हम अपना चयन सहेज सकते हैं। इसके बाद, हर बार जब हम पोर्टल में लॉग इन करते हैं, तो हमें केवल एक टोकन डालना होगा और उपयोगकर्ता पिन कोड दर्ज करना होगा जो फ़ॉर्मेटिंग के दौरान निर्दिष्ट किया गया था। इस तरह के प्रमाणीकरण के बाद, सर्वर को पहले से ही पता चल जाता है कि किस उपयोगकर्ता ने लॉग इन किया है और आप अब सत्यापन के लिए कोई अतिरिक्त विंडो नहीं बना सकते हैं, लेकिन तुरंत उपयोगकर्ता को उसके व्यक्तिगत खाते में जाने दे सकते हैं।

अपाचे

nginx की तरह, किसी को भी अपाचे स्थापित करने में कोई समस्या नहीं होनी चाहिए। यदि आप नहीं जानते कि इस वेब सर्वर को कैसे स्थापित किया जाए, तो बस आधिकारिक दस्तावेज़ का उपयोग करें।

और हम अपना HTTPS और दो-कारक प्रमाणीकरण सेट करना शुरू करते हैं:

1. सबसे पहले आपको mod_ssl सक्रिय करना होगा:

   $ a2enmod ssl

2. और फिर साइट की डिफ़ॉल्ट HTTPS सेटिंग्स सक्षम करें:

   $ a2ensite default-ssl

3. अब हम कॉन्फ़िगरेशन फ़ाइल को संपादित करते हैं: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   जैसा कि आप देख सकते हैं, पैरामीटर के नाम व्यावहारिक रूप से nginx में पैरामीटर के नाम से मेल खाते हैं, इसलिए मैं उनकी व्याख्या नहीं करूंगा। फिर, विवरण में रुचि रखने वाले किसी भी व्यक्ति का दस्तावेज़ीकरण में स्वागत है।
   अब हम अपना सर्वर पुनः आरंभ करते हैं:

   $ service apache2 reload
   $ service apache2 restart

जैसा कि आप देख सकते हैं, किसी भी वेब सर्वर पर, चाहे वह विंडोज़ पर हो या लिनक्स पर, दो-कारक प्रमाणीकरण स्थापित करने में अधिकतम एक घंटा लगता है। और ब्राउज़र सेट करने में लगभग 5 मिनट का समय लगता है। बहुत से लोग सोचते हैं कि दो-कारक प्रमाणीकरण स्थापित करना और उसके साथ काम करना कठिन और अस्पष्ट है। मुझे उम्मीद है कि हमारा लेख इस मिथक को कम से कम थोड़ा तो तोड़ देगा।

केवल पंजीकृत उपयोगकर्ता ही सर्वेक्षण में भाग ले सकते हैं। साइन इन करेंकृपया।

क्या आपको GOST 34.10-2012 के अनुसार प्रमाणपत्रों के साथ टीएलएस स्थापित करने के लिए निर्देशों की आवश्यकता है:

• हाँ, TLS-GOST बहुत आवश्यक है

• नहीं, GOST एल्गोरिदम के साथ ट्यूनिंग दिलचस्प नहीं है

44 उपयोगकर्ताओं ने मतदान किया। 9 उपयोगकर्ता अनुपस्थित रहे।

स्रोत: www.habr.com