🥇सिस्टम में उपयोगकर्ताओं को पंजीकृत करने और अधिकृत करने के लिए रुटोकन तकनीक का उपयोग करने का अनुभव (भाग 2)

शुभ दोपहर आइए इस विषय को जारी रखेंपिछला भाग लिंक पर पाया जा सकता है).

आज हम व्यावहारिक भाग की ओर बढ़ते हैं। आइए पूर्ण विकसित ओपन सोर्स क्रिप्टोग्राफ़िक लाइब्रेरी ओपनएसएसएल पर आधारित अपना सीए स्थापित करके शुरुआत करें। इस एल्गोरिदम का परीक्षण विंडोज़ 7 का उपयोग करके किया गया है।

ओपनएसएसएल स्थापित होने पर, हम कमांड लाइन के माध्यम से विभिन्न क्रिप्टोग्राफ़िक ऑपरेशन (जैसे कुंजी और प्रमाणपत्र बनाना) कर सकते हैं।

कार्यों की एल्गोरिथ्म निम्नानुसार है:

इंस्टॉलेशन डिस्ट्रीब्यूशन ओपनएसएल-1.1.1जी डाउनलोड करें।
ओपनएसएसएल के विभिन्न संस्करण हैं। रूटोकेन के दस्तावेज़ में कहा गया है कि ओपनएसएसएल संस्करण 1.1.0 या नया आवश्यक है। मैंने Opensl-1.1.1g संस्करण का उपयोग किया। आप आधिकारिक साइट से ओपनएसएसएल डाउनलोड कर सकते हैं, लेकिन आसान इंस्टॉलेशन के लिए, आपको नेट पर विंडोज़ के लिए इंस्टॉलेशन फ़ाइल ढूंढनी होगी। मैंने आपके लिए यह किया: slproweb.com/products/Win32OpenSSL.html
पृष्ठ को नीचे स्क्रॉल करें और Win64 OpenSSL v1.1.1g EXE 63MB इंस्टालर डाउनलोड करें।
कंप्यूटर पर openingsl-1.1.1g इंस्टॉल करें।
इंस्टॉलेशन को मानक पथ के अनुसार किया जाना चाहिए, जो स्वचालित रूप से C: प्रोग्राम फ़ाइलें फ़ोल्डर में इंगित किया गया है। प्रोग्राम OpenSSL-Win64 फ़ोल्डर में इंस्टॉल किया जाएगा।
ओपनएसएसएल को अपनी आवश्यकतानुसार सेट करने के लिए, ओपनएसएसएल.सीएफजी फ़ाइल है। यदि आपने पिछले पैराग्राफ में बताए अनुसार ओपनएसएसएल स्थापित किया है तो यह फ़ाइल C:\Program Files\OpenSSL-Win64bin पथ में स्थित है। उस फ़ोल्डर पर जाएं जहां openingsl.cfg संग्रहीत है और उदाहरण के लिए, नोटपैड++ का उपयोग करके इस फ़ाइल को खोलें।
आपने संभवतः अनुमान लगाया होगा कि प्रमाणन प्राधिकारी किसी तरह openingsl.cfg फ़ाइल की सामग्री को बदलकर कॉन्फ़िगर किया जाएगा, और आप बिल्कुल सही हैं। इसके लिए [ca ] कमांड के अनुकूलन की आवश्यकता है। Opensl.cfg फ़ाइल में, पाठ की शुरुआत जहां हम परिवर्तन करेंगे, उसे इस प्रकार पाया जा सकता है: [ca]।
अब मैं इसके विवरण के साथ एक सेटिंग का उदाहरण दूंगा:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
अब हमें डेमोसीए निर्देशिका और उपनिर्देशिका बनाने की आवश्यकता है जैसा कि ऊपर दिए गए उदाहरण में दिखाया गया है। और इसे इस निर्देशिका में उस पथ के साथ रखें जो dir में निर्दिष्ट है (मेरे पास /Users/username/bin/openSSLca/demoCA है)।

डीआईआर को सही ढंग से लिखना बहुत महत्वपूर्ण है - यह उस निर्देशिका का पथ है जहां हमारा प्रमाणन केंद्र स्थित होगा। यह निर्देशिका /Users (अर्थात, किसी उपयोगकर्ता के खाते में) में स्थित होनी चाहिए। उदाहरण के लिए, यदि आप इस निर्देशिका को C: प्रोग्राम फाइल्स में रखते हैं, तो सिस्टम ओपनएसएल.सीएफजी सेटिंग्स वाली फाइल को नहीं देख पाएगा (कम से कम मेरे लिए तो ऐसा ही था)।

$dir - dir में निर्दिष्ट पथ को यहां प्रतिस्थापित किया गया है।

एक अन्य महत्वपूर्ण बिंदु एक खाली Index.txt फ़ाइल बनाना है, इस फ़ाइल के बिना "ओपनएसएसएल सीए ..." कमांड काम नहीं करेगा।

आपके पास एक सीरियल फ़ाइल, एक रूट प्राइवेट कुंजी (ca.key), एक रूट प्रमाणपत्र (ca.crt) भी होना चाहिए। इन फ़ाइलों को प्राप्त करने की प्रक्रिया नीचे वर्णित की जाएगी।
हम रूटोकेन द्वारा प्रदान किए गए एन्क्रिप्शन एल्गोरिदम को जोड़ते हैं।
यह कनेक्शन openingsl.cfg फ़ाइल में होता है।
- सबसे पहले, आपको आवश्यक रुटोकन एल्गोरिदम डाउनलोड करना होगा। ये फ़ाइलें rtengine.dll, rtpkcs11ecp.dll हैं।
  ऐसा करने के लिए, रुटोकन एसडीके डाउनलोड करें: www.rutoken.ru/developers/sdk.
  
  रुटोकेन एसडीके उन डेवलपर्स के लिए है जो रुटोकेन को आज़माना चाहते हैं। अलग-अलग प्रोग्रामिंग भाषाओं में रुटोकन के साथ काम करने के लिए अलग-अलग उदाहरण हैं और कुछ लाइब्रेरी भी प्रस्तुत की गई हैं। हमारी लाइब्रेरी rtengine.dll और rtpkcs11ecp.dll क्रमशः रुटोकन एसडीके में इस स्थान पर स्थित हैं:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  एक बहुत ही महत्वपूर्ण बिंदु. लाइब्रेरी rtengine.dll, rtpkcs11ecp.dll Rutoken के लिए स्थापित ड्राइवर के बिना काम नहीं करती हैं। साथ ही रूटोकेन को कंप्यूटर से कनेक्ट किया जाना चाहिए। (रूटोकन के लिए आपको जो कुछ भी चाहिए उसे स्थापित करने के लिए, लेख का पिछला भाग देखें habr.com/en/post/506450)
- rtengine.dll और rtpkcs11ecp.dll लाइब्रेरीज़ को उपयोगकर्ता खाते में कहीं भी रखा जा सकता है।
- हम इन पुस्तकालयों के पथ openingsl.cfg में लिखते हैं। ऐसा करने के लिए, openingsl.cfg फ़ाइल खोलें, इस फ़ाइल की शुरुआत में लाइन डालें:
```
openssl_conf = openssl_def
```
  फ़ाइल के अंत में आपको यह जोड़ना होगा:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  डायनामिक_पथ - आपको rtengine.dll लाइब्रेरी के लिए अपना पथ निर्दिष्ट करना होगा।
  MODULE_PATH - आपको अपना पथ rtpkcs11ecp.dll लाइब्रेरी पर सेट करना होगा।
पर्यावरण चर जोड़ना.
एक पर्यावरण चर जोड़ना सुनिश्चित करें जो openingsl.cfg कॉन्फ़िगरेशन फ़ाइल का पथ निर्दिष्ट करता है। मेरे मामले में, OPENSSL_CONF वैरिएबल पथ C:Program FilesOpenSSL-Win64binopenssl.cfg के साथ बनाया गया था।

पथ चर में, आपको उस फ़ोल्डर का पथ निर्दिष्ट करना होगा जहां openingsl.exe स्थित है, मेरे मामले में यह है: C: प्रोग्राम FilesOpenSSL-Win64bin।
अब आप चरण 5 पर वापस जा सकते हैं और डेमोसीए निर्देशिका के लिए गुम फ़ाइलें बना सकते हैं।
1. पहली महत्वपूर्ण फ़ाइल जिसके बिना कुछ भी काम नहीं करेगा, वह है सीरियल। यह बिना एक्सटेंशन वाली फ़ाइल है, जिसका मान 01 होना चाहिए। आप इस फ़ाइल को स्वयं बना सकते हैं और अंदर 01 लिख सकते हैं। आप इसे sdk/openssl/rtengine/samples/tool/demoCA पथ के साथ Rutoken SDK से भी डाउनलोड कर सकते हैं। /.
  डेमोसीए निर्देशिका में सीरियल फ़ाइल होती है, जिसकी हमें बिल्कुल आवश्यकता होती है।
2. एक रूट निजी कुंजी बनाएं.
  ऐसा करने के लिए, हम ओपनएसएसएल लाइब्रेरी कमांड का उपयोग करेंगे, जिसे सीधे कमांड लाइन पर चलाया जाना चाहिए:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. हम एक रूट प्रमाणपत्र बनाते हैं।
  ऐसा करने के लिए, निम्नलिखित ओपनएसएसएल लाइब्रेरी कमांड का उपयोग करें:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  कृपया ध्यान दें कि रूट निजी कुंजी, जो पिछले चरण में उत्पन्न हुई थी, रूट प्रमाणपत्र उत्पन्न करने के लिए आवश्यक है। इसलिए, कमांड लाइन को उसी निर्देशिका में लॉन्च किया जाना चाहिए।
डेमोसीए निर्देशिका के संपूर्ण कॉन्फ़िगरेशन के लिए अब हर चीज़ में सभी अनुपलब्ध फ़ाइलें हैं। बनाई गई फ़ाइलों को बिंदु 5 में दर्शाई गई निर्देशिकाओं में रखें।

हम मान लेंगे कि सभी 8 बिंदुओं को पूरा करने के बाद, हमारा प्रमाणन केंद्र पूरी तरह से कॉन्फ़िगर हो गया है।

अगले भाग में, मैं वर्णन करूंगा कि जो वर्णित किया गया था उसे पूरा करने के लिए हम प्रमाणन प्राधिकरण के साथ कैसे काम करेंगे लेख का पिछला भाग.

स्रोत: www.habr.com

सिस्टम में उपयोगकर्ताओं को पंजीकृत करने और अधिकृत करने के लिए रुटोकन तकनीक का उपयोग करने का अनुभव (भाग 2)

एक टिप्पणी जोड़ें उत्तर रद्द