Dina iki kita pindhah menyang bagean praktis. Ayo miwiti kanthi nyetel CA adhedhasar perpustakaan kriptografi open source openSSL lengkap. Algoritma iki wis diuji nggunakake windows 7.
Kanthi openSSL diinstal, kita bisa nindakake macem-macem operasi kriptografi (kayata nggawe kunci lan sertifikat) liwat baris printah.
Algoritma tumindak kaya ing ngisor iki:
Download distribusi instalasi openssl-1.1.1g.
openSSL duwe macem-macem versi. Dokumentasi kanggo Rutoken ujar manawa openSSL versi 1.1.0 utawa luwih anyar dibutuhake. Aku nggunakake versi openssl-1.1.1g. Sampeyan bisa ndownload openSSL saka situs resmi, nanging kanggo instalasi sing luwih gampang, sampeyan kudu nemokake file instalasi kanggo windows ing net. Aku nindakake iki kanggo sampeyan: slproweb.com/products/Win32OpenSSL.html
Gulung mudhun kaca lan download Win64 OpenSSL v1.1.1g EXE 63MB Installer.
Instal openssl-1.1.1g ing komputer.
Instalasi kudu ditindakake miturut path standar, sing dituduhake kanthi otomatis ing folder C: Program Files. Program kasebut bakal diinstal ing folder OpenSSL-Win64.
Kanggo nyiyapake openSSL kanthi cara sing dibutuhake, ana file openssl.cfg. Berkas iki ana ing C:\Program Files\OpenSSL-Win64bin path yen sampeyan nginstal openSSL kaya sing diterangake ing paragraf sadurunge. Pindhah menyang folder ing ngendi openssl.cfg disimpen lan mbukak file iki nggunakake, contone, Notepad ++.
Sampeyan mbokmenawa guessed sing panguwasa sertifikasi bakal diatur piye wae kanthi ngganti isi file openssl.cfg, lan sampeyan pancen bener. Iki mbutuhake pangaturan dhewe saka printah [ ca ]. Ing file openssl.cfg, wiwitan teks ing ngendi kita bakal nggawe owah-owahan bisa ditemokake minangka: [ ca ].
Saiki aku bakal menehi conto setelan kanthi deskripsi:
Saiki kita kudu nggawe direktori demoCA lan subdirektori kaya sing ditampilake ing conto ing ndhuwur. Lan selehake ing direktori iki ing sadawane dalan sing ditemtokake ing dir (Aku duwe /Users/username/bin/openSSLca/demoCA).
Penting banget kanggo ngeja dir kanthi bener - iki minangka dalan menyang direktori ing ngendi pusat sertifikasi bakal ana. Direktori iki kudu ana ing / Pangguna (yaiku, ing akun sawetara pangguna). Yen sampeyan nyeleh direktori iki, contone, ing C: Program Files, sistem ora bakal weruh file karo setelan openssl.cfg (paling iku kaya kanggo kula).
$dir - path sing ditemtokake ing dir diganti ing kene.
Titik penting liyane yaiku nggawe file index.txt kosong, tanpa file iki, perintah "openSSL ca ..." ora bakal bisa digunakake.
Sampeyan uga kudu duwe file serial, tombol pribadi ROOT (ca.key), certificate ROOT (ca.crt). Proses njupuk file kasebut bakal diterangake ing ngisor iki.
Kita nyambungake algoritma enkripsi sing diwenehake dening Rutoken.
Sambungan iki dumadi ing file openssl.cfg.
Kaping pisanan, sampeyan kudu ndownload algoritma Rutoken sing dibutuhake. Iki file rtengine.dll, rtpkcs11ecp.dll.
Kanggo nindakake iki, download Rutoken SDK: www.rutoken.ru/developers/sdk.
Rutoken SDK kabeh ana kanggo pangembang sing pengin nyoba Rutoken. Ana loro conto sing kapisah kanggo nggarap Rutoken ing basa pamrograman sing beda, lan sawetara perpustakaan ditampilake. Pustaka rtengine.dll lan rtpkcs11ecp.dll kita dumunung ing SDK Rutoken, ing lokasi:
Titik penting banget. Libraries rtengine.dll, rtpkcs11ecp.dll ora bisa tanpa driver diinstal kanggo Rutoken. Uga Rutoken kudu disambungake menyang komputer. (kanggo nginstal kabeh sing dibutuhake kanggo Rutoken, deleng bagean sadurunge artikel habr.com/en/post/506450)
Pustaka rtengine.dll lan rtpkcs11ecp.dll bisa disimpen ing ngendi wae ing akun pangguna.
Kita nulis dalan menyang perpustakaan kasebut ing openssl.cfg. Kanggo nindakake iki, mbukak file openssl.cfg, sijine baris ing wiwitan berkas iki:
dynamic_path - sampeyan kudu nemtokake path menyang perpustakaan rtengine.dll.
MODULE_PATH - sampeyan kudu nulis path kanggo perpustakaan rtpkcs11ecp.dll.
Nambahake variabel lingkungan.
Priksa manawa sampeyan nambahake variabel lingkungan sing nemtokake path menyang file konfigurasi openssl.cfg. Ing cilik, OPENSSL_CONF variabel digawe karo path C: Program FilesOpenSSL-Win64binopenssl.cfg.
Ing variabel path, sampeyan kudu nemtokake path menyang folder ngendi openssl.exe dumunung, ing cilik iku: C: Program FilesOpenSSL-Win64bin.
Saiki sampeyan bisa bali menyang langkah 5 lan nggawe file sing ilang kanggo direktori demoCA.
File penting pisanan tanpa ora ana apa-apa yaiku serial. Iki file tanpa ekstensi, regane kudu 01. Sampeyan bisa nggawe file iki dhewe lan nulis 01 ing njero. Sampeyan uga bisa ngundhuh saka Rutoken SDK ing sadawane dalan sdk/openssl/rtengine/samples/tool/demoCA /.
Direktori demoCA ngemot file serial, sing persis apa sing kita butuhake.
Nggawe kunci pribadi root.
Kanggo nindakake iki, kita bakal nggunakake printah perpustakaan openSSL, sing kudu ditindakake langsung ing baris perintah:
Kita nggawe sertifikat ROOT.
Kanggo nindakake iki, gunakake printah perpustakaan openSSL ing ngisor iki:
openssl req -utf8 -x509 -key ca.key -out ca.crt
Wigati dimangerteni manawa kunci pribadi root, sing digawe ing langkah sadurunge, dibutuhake kanggo ngasilake sertifikat root. Mulane, baris printah kudu diluncurake ing direktori sing padha.
Kabeh saiki duwe kabeh file sing ilang kanggo konfigurasi lengkap direktori demoCA. Selehake file sing digawe ing direktori sing dituduhake ing titik 5.
Kita bakal nganggep yen sawise ngrampungake kabeh 8 poin, pusat sertifikasi wis dikonfigurasi kanthi lengkap.