🥇 სისტემაში მომხმარებლების რეგისტრაციისა და ავტორიზაციისთვის Rutoken ტექნოლოგიის გამოყენების გამოცდილება (ნაწილი 2)

Საღამო მშვიდობისა გავაგრძელოთ ეს თემაწინა ნაწილი შეგიძლიათ იხილოთ ბმულზე).

დღეს გადავდივართ პრაქტიკულ ნაწილზე. დავიწყოთ ჩვენი CA-ს დაყენებით სრულფასოვანი ღია კოდის კრიპტოგრაფიული ბიბლიოთეკის openSSL-ის საფუძველზე. ეს ალგორითმი შემოწმებულია Windows 7-ის გამოყენებით.

დაინსტალირებული openSSL-ით, ჩვენ შეგვიძლია შევასრულოთ სხვადასხვა კრიპტოგრაფიული ოპერაციები (როგორიცაა გასაღებების და სერთიფიკატების შექმნა) ბრძანების ხაზის მეშვეობით.

მოქმედებების ალგორითმი ასეთია:

ჩამოტვირთეთ ინსტალაციის განაწილება openssl-1.1.1g.
openSSL-ს აქვს სხვადასხვა ვერსია. Rutoken-ის დოკუმენტაციაში ნათქვამია, რომ საჭიროა openSSL ვერსია 1.1.0 ან უფრო ახალი. გამოვიყენე openssl-1.1.1g ვერსია. თქვენ შეგიძლიათ ჩამოტვირთოთ openSSL ოფიციალური საიტიდან, მაგრამ უფრო მარტივი ინსტალაციისთვის, თქვენ უნდა იპოვოთ ინსტალაციის ფაილი Windows-ისთვის ქსელში. მე გავაკეთე ეს თქვენთვის: slproweb.com/products/Win32OpenSSL.html
გადაახვიეთ გვერდი ქვემოთ და ჩამოტვირთეთ Win64 OpenSSL v1.1.1g EXE 63MB ინსტალერი.
დააინსტალირეთ openssl-1.1.1g კომპიუტერზე.
ინსტალაცია უნდა განხორციელდეს სტანდარტული ბილიკის მიხედვით, რომელიც ავტომატურად არის მითითებული C: Program Files საქაღალდეში. პროგრამა დაინსტალირდება OpenSSL-Win64 საქაღალდეში.
იმისათვის, რომ დააყენოთ openSSL ისე, როგორც გჭირდებათ, არის openssl.cfg ფაილი. ეს ფაილი მდებარეობს C:\Program Files\OpenSSL-Win64bin გზაზე, თუ თქვენ დააინსტალირეთ openSSL, როგორც ეს აღწერილია წინა აბზაცში. გადადით საქაღალდეში, სადაც openssl.cfg ინახება და გახსენით ეს ფაილი, მაგალითად, Notepad++-ის გამოყენებით.
თქვენ ალბათ მიხვდით, რომ სერტიფიკაციის ორგანოს კონფიგურაცია მოხდება openssl.cfg ფაილის შინაარსის შეცვლით და აბსოლუტურად მართალი ხართ. ეს მოითხოვს [ca] ბრძანების პერსონალიზაციას. openssl.cfg ფაილში ტექსტის დასაწყისი, სადაც ცვლილებებს შევიტანთ, გვხვდება როგორც: [ ca ].
ახლა მე მივცემ პარამეტრის მაგალითს მისი აღწერილობით:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
ახლა ჩვენ უნდა შევქმნათ demoCA დირექტორია და ქვედირექტორიები, როგორც ნაჩვენებია ზემოთ მოცემულ მაგალითში. და განათავსეთ იგი ამ დირექტორიაში dir-ში მითითებული ბილიკის გასწვრივ (მე მაქვს /Users/username/bin/openSSLca/demoCA).

ძალიან მნიშვნელოვანია dir-ის სწორად დაწერა - ეს არის გზა იმ დირექტორიაში, სადაც განთავსდება ჩვენი სერტიფიცირების ცენტრი. ეს დირექტორია უნდა იყოს განთავსებული /Users-ში (ანუ ზოგიერთი მომხმარებლის ანგარიშში). თუ ამ დირექტორიას განათავსებთ, მაგალითად, C: Program Files-ში, სისტემა ვერ დაინახავს ფაილს openssl.cfg პარამეტრებით (ყოველ შემთხვევაში, ჩემთვის ასე იყო).

$dir - dir-ში მითითებული გზა ჩანაცვლებულია აქ.

კიდევ ერთი მნიშვნელოვანი პუნქტია ცარიელი index.txt ფაილის შექმნა, ამ ფაილის გარეშე “openSSL ca…” ბრძანებები არ იმუშავებს.

თქვენ ასევე უნდა გქონდეთ სერიული ფაილი, root პირადი გასაღები (ca.key), root სერტიფიკატი (ca.crt). ამ ფაილების მიღების პროცესი ქვემოთ იქნება აღწერილი.
ჩვენ ვუკავშირდებით რუტოკენის მიერ მოწოდებულ დაშიფვრის ალგორითმებს.
ეს კავშირი ხდება openssl.cfg ფაილში.
- უპირველეს ყოვლისა, თქვენ უნდა ჩამოტვირთოთ საჭირო Rutoken ალგორითმები. ეს არის ფაილები rtengine.dll, rtpkcs11ecp.dll.
  ამისათვის ჩამოტვირთეთ Rutoken SDK: www.rutoken.ru/developers/sdk.
  
  Rutoken SDK არის ყველაფერი დეველოპერებისთვის, რომლებსაც სურთ სცადონ Rutoken. არსებობს Rutoken-თან მუშაობის ორივე ცალკე მაგალითი პროგრამირების სხვადასხვა ენაზე და წარმოდგენილია რამდენიმე ბიბლიოთეკა. ჩვენი ბიბლიოთეკები rtengine.dll და rtpkcs11ecp.dll მდებარეობს Rutoken sdk-ში, შესაბამისად, მდებარეობაზე:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  ძალიან მნიშვნელოვანი წერტილი. ბიბლიოთეკები rtengine.dll, rtpkcs11ecp.dll არ მუშაობს Rutoken-ისთვის დაინსტალირებული დრაივერის გარეშე. ასევე Rutoken უნდა იყოს დაკავშირებული კომპიუტერთან. (Rutoken-ისთვის ყველაფრის დაყენებისთვის, იხილეთ სტატიის წინა ნაწილი habr.com/en/post/506450)
- rtengine.dll და rtpkcs11ecp.dll ბიბლიოთეკების შენახვა შესაძლებელია მომხმარებლის ანგარიშის ნებისმიერ ადგილას.
- ჩვენ ვწერთ ბილიკებს ამ ბიბლიოთეკებისკენ openssl.cfg-ში. ამისათვის გახსენით openssl.cfg ფაილი, ჩადეთ ხაზი ამ ფაილის დასაწყისში:
```
openssl_conf = openssl_def
```
  ფაილის ბოლოს თქვენ უნდა დაამატოთ:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - თქვენ უნდა მიუთითოთ თქვენი გზა rtengine.dll ბიბლიოთეკაში.
  MODULE_PATH - თქვენ უნდა დაწეროთ თქვენი გზა rtpkcs11ecp.dll ბიბლიოთეკაში.
გარემოს ცვლადების დამატება.
დარწმუნდით, რომ დაამატეთ გარემოს ცვლადი, რომელიც განსაზღვრავს გზას openssl.cfg კონფიგურაციის ფაილისკენ. ჩემს შემთხვევაში, OPENSSL_CONF ცვლადი შეიქმნა ბილიკით C:Program FilesOpenSSL-Win64binopenssl.cfg.

path ცვლადში უნდა მიუთითოთ გზა საქაღალდეში, სადაც openssl.exe მდებარეობს, ჩემს შემთხვევაში ეს არის: C: Program FilesOpenSSL-Win64bin.
ახლა შეგიძლიათ დაბრუნდეთ მე-5 საფეხურზე და შექმნათ დაკარგული ფაილები demoCA დირექტორიასთვის.
1. პირველი მნიშვნელოვანი ფაილი, რომლის გარეშეც არაფერი იმუშავებს, არის სერიული. ეს არის ფაილი გაფართოების გარეშე, რომლის ღირებულება უნდა იყოს 01. თქვენ შეგიძლიათ შექმნათ ეს ფაილი და ჩაწეროთ 01 შიგნით. ასევე შეგიძლიათ ჩამოტვირთოთ Rutoken SDK-დან sdk/openssl/rtengine/samples/tool/demoCA გზაზე. /.
  demoCA დირექტორია შეიცავს სერიულ ფაილს, რაც ჩვენ გვჭირდება.
2. შექმენით root პირადი გასაღები.
  ამისათვის ჩვენ გამოვიყენებთ openSSL ბიბლიოთეკის ბრძანებას, რომელიც უნდა იყოს გაშვებული პირდაპირ ბრძანების ხაზზე:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. ჩვენ ვქმნით root სერთიფიკატს.
  ამისათვის გამოიყენეთ შემდეგი openSSL ბიბლიოთეკის ბრძანება:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  გთხოვთ გაითვალისწინოთ, რომ root პირადი გასაღები, რომელიც შეიქმნა წინა ეტაპზე, საჭიროა root სერტიფიკატის გენერირებისთვის. ამიტომ, ბრძანების ხაზი უნდა იყოს გაშვებული იმავე დირექტორიაში.
ახლა ყველაფერს აქვს ყველა დაკარგული ფაილი demoCA დირექტორიას სრული კონფიგურაციისთვის. მოათავსეთ შექმნილი ფაილები მე-5 პუნქტში მითითებულ დირექტორიაში.

ჩვენ ვივარაუდებთ, რომ 8-ვე პუნქტის დასრულების შემდეგ ჩვენი სასერტიფიკაციო ცენტრი სრულად არის კონფიგურირებული.

შემდეგ ნაწილში მე აღვწერ, თუ როგორ ვიმუშავებთ სერტიფიცირების ორგანოსთან, რათა განვახორციელოთ ის, რაც აღწერილია სტატიის წინა ნაწილი.

წყარო: www.habr.com

Rutoken ტექნოლოგიის გამოყენების გამოცდილება სისტემაში მომხმარებლების რეგისტრაციისა და ავტორიზაციისთვის (ნაწილი 2)

ახალი კომენტარის დამატება

Rutoken ტექნოლოგიის გამოყენების გამოცდილება სისტემაში მომხმარებლების რეგისტრაციისა და ავტორიზაციისთვის (ნაწილი 2)

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება