ניסיון בשימוש בטכנולוגיית Rutoken לרישום והרשאה של משתמשים במערכת (חלק 2)

אחר הצהריים טובים בואו נמשיך עם הנושא הזהאת החלק הקודם ניתן למצוא בקישור).

היום נעבור לחלק המעשי. נתחיל בהגדרת CA שלנו בהתבסס על ספריית ההצפנה המלאה בקוד פתוח openSSL. אלגוריתם זה נבדק באמצעות Windows 7.

כאשר openSSL מותקן, אנו יכולים לבצע פעולות קריפטוגרפיות שונות (כגון יצירת מפתחות ותעודות) באמצעות שורת הפקודה.

אלגוריתם הפעולות הוא כדלקמן:

1. הורד את הפצת ההתקנה openssl-1.1.1g.
   ל-openSSL יש גרסאות שונות. התיעוד של Rutoken אמר שנדרשת openSSL גרסה 1.1.0 ומעלה. השתמשתי בגרסת openssl-1.1.1g. אתה יכול להוריד את openSSL מהאתר הרשמי, אבל להתקנה קלה יותר, עליך למצוא את קובץ ההתקנה של חלונות ברשת. עשיתי את זה בשבילך: slproweb.com/products/Win32OpenSSL.html
   גלול למטה בעמוד והורד את Win64 OpenSSL v1.1.1g EXE 63MB Installer.
2. התקן openssl-1.1.1g במחשב.
   ההתקנה חייבת להתבצע לפי הנתיב הסטנדרטי, שמצוין אוטומטית בתיקיית C: Program Files. התוכנית תותקן בתיקיית OpenSSL-Win64.
3. על מנת להגדיר את openSSL כפי שאתה צריך, יש את הקובץ openssl.cfg. קובץ זה ממוקם בנתיב C:\Program Files\OpenSSL-Win64bin אם התקנת את openSSL כמתואר בפסקה הקודמת. עבור לתיקיה שבה מאוחסן openssl.cfg ופתח את הקובץ הזה באמצעות, למשל, Notepad++.
4. בטח ניחשתם שרשות האישורים תוגדר איכשהו על ידי שינוי התוכן של הקובץ openssl.cfg, ואתם צודקים לחלוטין. זה דורש התאמה אישית של הפקודה [ca]. בקובץ openssl.cfg, ניתן למצוא את תחילת הטקסט שבו נבצע שינויים כ: [ ca ].
5. כעת אתן דוגמה להגדרה עם התיאור שלה:

   [ ca ]
   default_ca	= CA_default		
   
    [ CA_default ]
   dir		= /Users/username/bin/openSSLca/demoCA		 
   certs		= $dir/certs		
   crl_dir		= $dir/crl		
   database	= $dir/index.txt	
   new_certs_dir	= $dir/newcerts	
   certificate	= $dir/ca.crt 	
   serial		= $dir/private/serial 		
   crlnumber	= $dir/crlnumber	
   					
   crl		= $dir/crl.pem 		
   private_key	= $dir/private/ca.key
   x509_extensions	= usr_cert
   

   כעת עלינו ליצור את ספריית demoCA ואת ספריות המשנה כפי שמוצג בדוגמה למעלה. והנח אותו בספרייה הזו לאורך הנתיב שצוין ב-dir (יש לי /Users/username/bin/openSSLca/demoCA).

   חשוב מאוד לאיית את dir נכון - זה הנתיב לספרייה שבה ימוקם מרכז ההסמכה שלנו. ספרייה זו חייבת להיות ממוקמת ב- /Users (כלומר, בחשבון של משתמש כלשהו). אם תציב את הספרייה הזו, למשל, ב-C: Program Files, המערכת לא תראה את הקובץ עם הגדרות openssl.cfg (לפחות זה היה ככה אצלי).

   $dir - הנתיב שצוין ב-dir מוחלף כאן.

   נקודה חשובה נוספת היא ליצור קובץ index.txt ריק, ללא קובץ זה הפקודות "openSSL ca ..." לא יעבדו.

   אתה צריך גם קובץ טורי, מפתח פרטי שורש (ca.key), תעודת שורש (ca.crt). תהליך השגת הקבצים הללו יתואר להלן.

6. אנו מחברים את אלגוריתמי ההצפנה המסופקים על ידי Rutoken.
   חיבור זה מתרחש בקובץ openssl.cfg.
   • קודם כל, אתה צריך להוריד את האלגוריתמים הדרושים של Rutoken. אלו הם הקבצים rtengine.dll, rtpkcs11ecp.dll.
     כדי לעשות זאת, הורד את Rutoken SDK: www.rutoken.ru/developers/sdk.

     ה-SDK של Rutoken הוא כל מה שיש למפתחים שרוצים לנסות את Rutoken. ישנן שתי דוגמאות נפרדות לעבודה עם Rutoken בשפות תכנות שונות, ומספר ספריות מוצגות. הספריות שלנו rtengine.dll ו-rtpkcs11ecp.dll ממוקמות ב- Rutoken sdk, בהתאמה, במיקום:

     sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll

     נקודה חשובה מאוד. הספריות rtengine.dll, rtpkcs11ecp.dll אינן פועלות ללא מנהל ההתקן המותקן עבור Rutoken. כמו כן Rutoken חייב להיות מחובר למחשב. (להתקנת כל מה שאתה צריך עבור Rutoken, עיין בחלק הקודם של המאמר habr.com/en/post/506450)

   • ניתן לשמור את הספריות rtengine.dll ו-rtpkcs11ecp.dll בכל מקום בחשבון המשתמש.
   • אנו כותבים את הנתיבים לספריות אלה ב-openssl.cfg. כדי לעשות זאת, פתח את הקובץ openssl.cfg, שים את השורה בתחילת הקובץ:

     openssl_conf = openssl_def

     בסוף הקובץ צריך להוסיף:

     [ openssl_def ]
     engines = engine_section
     [ engine_section ]
     rtengine = gost_section
     [ gost_section ]
     dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
     RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
     default_algorithms = CIPHERS, DIGEST, PKEY, RAND
     

     dynamic_path - עליך לציין את הנתיב שלך לספריית rtengine.dll.
     MODULE_PATH - עליך לכתוב את הנתיב שלך לספריית rtpkcs11ecp.dll.

7. הוספת משתני סביבה.

   הקפד להוסיף משתנה סביבה המציין את הנתיב לקובץ התצורה openssl.cfg. במקרה שלי, המשתנה OPENSSL_CONF נוצר עם הנתיב C:Program FilesOpenSSL-Win64binopenssl.cfg.

   במשתנה הנתיב, עליך לציין את הנתיב לתיקיה שבה נמצא openssl.exe, במקרה שלי הוא: C: Program FilesOpenSSL-Win64bin.

8. כעת תוכל לחזור לשלב 5 וליצור את הקבצים החסרים עבור ספריית demoCA.
   1. הקובץ החשוב הראשון שבלעדיו שום דבר לא יעבוד הוא סדרתי. זהו קובץ ללא סיומת שערכו צריך להיות 01. אתה יכול ליצור את הקובץ הזה בעצמך ולכתוב בתוכו 01. אתה יכול גם להוריד אותו מה-SDK של Rutoken לאורך הנתיב sdk/openssl/rtengine/samples/tool/demoCA /.
      ספריית demoCA מכילה את הקובץ הסדרתי, וזה בדיוק מה שאנחנו צריכים.
   2. צור מפתח פרטי שורש.
      לשם כך, נשתמש בפקודה openSSL library, אותה יש להפעיל ישירות בשורת הפקודה:

      openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key

   3. אנו יוצרים תעודת שורש.
      כדי לעשות זאת, השתמש בפקודה הבאה של ספריית openSSL:

      openssl req -utf8 -x509 -key ca.key -out ca.crt

      שים לב שהמפתח הפרטי של השורש, שנוצר בשלב הקודם, נדרש ליצירת אישור השורש. לכן, שורת הפקודה חייבת להיות מופעלת באותה ספרייה.

   הכל מכיל כעת את כל הקבצים החסרים עבור התצורה המלאה של ספריית demoCA. מקם את הקבצים שנוצרו בספריות המצוינות בסעיף 5.

אנו נניח שלאחר השלמת כל 8 הנקודות, מרכז ההסמכה שלנו מוגדר במלואו.

בחלק הבא, אתאר כיצד נעבוד עם רשות האישורים על מנת לבצע את מה שתואר ב החלק הקודם של המאמר.

מקור: www.habr.com