ניסיון בשימוש בטכנולוגיית Rutoken לרישום והרשאה של משתמשים במערכת (חלק 3)

יום טוב!

בחלק הקודם יצרנו בהצלחה מרכז הסמכה משלנו. איך זה יכול להיות שימושי למטרות שלנו?

באמצעות רשות אישורים מקומית, אנו יכולים להנפיק אישורים וגם לאמת חתימות על אישורים אלו.

בעת הנפקת אישור למשתמש, רשות האישורים משתמשת בבקשת אישור מיוחדת Pkcs#10, בעלת פורמט הקובץ '.csr'. בקשה זו מכילה רצף מקודד שרשות האישורים יודעת לנתח בצורה נכונה. הבקשה מכילה גם את המפתח הציבורי של המשתמש וגם נתונים ליצירת אישור (מערך אסוציאטיבי עם נתונים על המשתמש).

נבחן כיצד לקבל בקשה לתעודה במאמר הבא, ובמאמר זה אני רוצה לתת את הפקודות העיקריות של רשות האישורים שיעזרו לנו להשלים את המשימה שלנו בצד האחורי.

אז ראשית עלינו ליצור תעודה. לשם כך אנו משתמשים בפקודה:

openssl ca -batch -in user.csr -out user.crt

ca היא פקודת openSSL המתייחסת לרשות האישורים,
-אצווה - מבטל בקשות אישור בעת הפקת אישור.
user.csr — בקשה ליצירת אישור (קובץ בפורמט .csr).
user.crt - אישור (תוצאה של הפקודה).

על מנת שפקודה זו תפעל, יש להגדיר את רשות האישורים בדיוק כפי שתואר בחלק הקודם של המאמר. אחרת, יהיה עליך לציין בנוסף את המיקום של תעודת השורש של רשות האישורים.

פקודת אימות תעודה:

openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.file

cms היא פקודת openSSL המשמשת לחתימה, אימות, הצפנת נתונים ופעולות קריפטוגרפיות אחרות באמצעות openSSL.

-verify - במקרה זה, אנו מאמתים את האישור.

authenticate.cms - קובץ המכיל נתונים חתומים באישור שהונפק על ידי הפקודה הקודמת.

-inform PEM - נעשה שימוש בפורמט PEM.

-CAfile /Users/……/demoCA/ca.crt - נתיב לאישור השורש. (בלי זה הפקודה לא עבדה לי, למרות שהנתיבים ל-ca.crt נכתבו בקובץ openssl.cfg)

-out data.file — אני שולח את הנתונים המפוענחים לקובץ data.file.

האלגוריתם לשימוש ברשות אישור בצד האחורי הוא כדלקמן:

• רישום משתמש:
  1. אנו מקבלים בקשה ליצור אישור ולשמור אותו בקובץ user.csr.
  2. אנו שומרים את הפקודה הראשונה של מאמר זה בקובץ עם הסיומת .bat או .cmd. אנו מפעילים את הקובץ הזה מקוד, לאחר ששמרנו בעבר את הבקשה ליצור אישור לקובץ user.csr. אנו מקבלים קובץ עם אישור user.crt.
  3. אנו קוראים את הקובץ user.crt ושולחים אותו ללקוח.

• הרשאת משתמש:
  1. אנו מקבלים נתונים חתומים מהלקוח ושומרים אותם בקובץ authenticate.cms.
  2. שמור את הפקודה השנייה של מאמר זה בקובץ עם הסיומת .bat או .cmd. אנו מריצים את הקובץ הזה מהקוד, לאחר ששמרנו בעבר את הנתונים החתומים מהשרת ב-authenticate.cms. אנו מקבלים קובץ עם נתונים מפוענחים data.file.
  3. אנו קוראים data.file ובודקים את תקפות הנתונים הללו. מה בדיוק לבדוק מתואר במאמר הראשון. אם הנתונים תקפים, הרשאת משתמש נחשבת כמוצלחת.

כדי ליישם אלגוריתמים אלה, אתה יכול להשתמש בכל שפת תכנות המשמשת לכתיבת ה-backend.

במאמר הבא נבחן כיצד לעבוד עם התוסף Retoken.

תודה לך!

מקור: www.habr.com