ការផ្ទៀងផ្ទាត់ពីរកត្តានៅលើគេហទំព័រដោយប្រើសញ្ញាសម្ងាត់ USB ។ ឥឡូវនេះសម្រាប់លីនុចផងដែរ។

В អត្ថបទមុនមួយរបស់យើង។ យើងបាននិយាយអំពីសារៈសំខាន់នៃការផ្ទៀងផ្ទាត់កត្តាពីរនៅលើវិបផតថលសាជីវកម្មរបស់ក្រុមហ៊ុន។ កាលពីលើកមុន យើងបានបង្ហាញពីរបៀបតំឡើងការផ្ទៀងផ្ទាត់សុវត្ថិភាពនៅក្នុងម៉ាស៊ីនមេបណ្តាញ IIS។

នៅក្នុងមតិយោបល់ យើងត្រូវបានស្នើឱ្យសរសេរការណែនាំសម្រាប់ម៉ាស៊ីនមេបណ្តាញទូទៅបំផុតសម្រាប់លីនុច - nginx និង Apache ។

អ្នកបានសួរ - យើងបានសរសេរ។

តើអ្នកត្រូវការអ្វីខ្លះដើម្បីចាប់ផ្តើម?

• ការចែកចាយលីនុចទំនើបណាមួយ។ ខ្ញុំបានធ្វើការសាកល្បងលើ MX Linux 18.2_x64។ នេះមិនមែនជាការចែកចាយម៉ាស៊ីនមេទេ ប៉ុន្តែទំនងជាមិនមានភាពខុសគ្នាណាមួយសម្រាប់ Debian ទេ។ សម្រាប់ការចែកចាយផ្សេងទៀត ផ្លូវទៅកាន់បណ្ណាល័យកំណត់រចនាសម្ព័ន្ធអាចខុសគ្នាបន្តិចបន្តួច។
• សញ្ញាសម្ងាត់។ យើងបន្តប្រើគំរូ Rutoken EDS PKIដែល​ល្អ​សម្រាប់​លក្ខណៈ​ល្បឿន​សម្រាប់​ការ​ប្រើប្រាស់​សាជីវកម្ម។
• ដើម្បីធ្វើការជាមួយសញ្ញាសម្ងាត់នៅក្នុងលីនុច អ្នកត្រូវដំឡើងកញ្ចប់ខាងក្រោម៖
  libccid libpcsclite1 pcscd pcsc-tools opensc

ការចេញវិញ្ញាបនបត្រ

នៅក្នុងអត្ថបទមុន យើងពឹងផ្អែកលើការពិតដែលថាម៉ាស៊ីនមេ និងវិញ្ញាបនបត្រអតិថិជននឹងត្រូវបានចេញដោយប្រើ Microsoft CA ។ ប៉ុន្តែចាប់តាំងពីយើងកំពុងរៀបចំអ្វីគ្រប់យ៉ាងនៅក្នុងលីនុច យើងក៏នឹងប្រាប់អ្នកអំពីវិធីជំនួសដើម្បីចេញវិញ្ញាបនបត្រទាំងនេះ - ដោយមិនចាំបាច់ចាកចេញពីលីនុច។
យើងនឹងប្រើ XCA ជា CA (https://hohnstaedt.de/xca/) ដែលមាននៅលើការចែកចាយលីនុចទំនើបណាមួយ។ សកម្មភាពទាំងអស់ដែលយើងនឹងអនុវត្តនៅក្នុង XCA អាចត្រូវបានធ្វើនៅក្នុងរបៀបបន្ទាត់ពាក្យបញ្ជាដោយប្រើឧបករណ៍ប្រើប្រាស់ OpenSSL និង pkcs11 ប៉ុន្តែសម្រាប់ភាពសាមញ្ញនិងភាពច្បាស់លាស់កាន់តែច្រើន យើងនឹងមិនបង្ហាញវានៅក្នុងអត្ថបទនេះទេ។

ការចាប់ផ្តើម

1. ដំឡើង៖

   $ apt-get install xca

2. ហើយយើងរត់៖

   $ xca

3. យើងបង្កើតមូលដ្ឋានទិន្នន័យរបស់យើងសម្រាប់ CA - /root/CA.xdb
   យើងសូមផ្តល់អនុសាសន៍ឱ្យរក្សាទុកមូលដ្ឋានទិន្នន័យអាជ្ញាធរវិញ្ញាបនបត្រនៅក្នុងថតដែលមានតែអ្នកគ្រប់គ្រងប៉ុណ្ណោះដែលអាចចូលប្រើបាន។ វាមានសារៈសំខាន់ណាស់ក្នុងការការពារសោឯកជននៃវិញ្ញាបនបត្រ root ដែលត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើវិញ្ញាបនបត្រផ្សេងទៀតទាំងអស់។

បង្កើតកូនសោ និងវិញ្ញាបនបត្រ CA ជា root

ហេដ្ឋារចនាសម្ព័ន្ធសោសាធារណៈ (PKI) គឺផ្អែកលើប្រព័ន្ធឋានានុក្រម។ រឿងសំខាន់នៅក្នុងប្រព័ន្ធនេះគឺអាជ្ញាធរបញ្ជាក់ជា root ឬ root CA ។ វិញ្ញាបនបត្ររបស់វាត្រូវតែត្រូវបានបង្កើតជាមុនសិន។

1. យើងបង្កើតសោឯកជន RSA-2048 សម្រាប់ CA ។ ដើម្បីធ្វើដូចនេះនៅលើផ្ទាំង សោឯកជន ажимаем សោថ្មី។ ហើយជ្រើសរើសប្រភេទសមស្រប។
2. កំណត់ឈ្មោះសម្រាប់គូសោថ្មី។ ខ្ញុំបានហៅវាថា CA Key ។
3. យើងចេញវិញ្ញាបនបត្រ CA ដោយខ្លួនឯង ដោយប្រើគូសោដែលបានបង្កើត។ ដើម្បីធ្វើដូចនេះចូលទៅកាន់ផ្ទាំង វិញ្ញាបនប័ត្រ ហើយចុច វិញ្ញាបនបត្រថ្មី។.
4. ត្រូវប្រាកដថាជ្រើសរើស SHA-256ពីព្រោះការប្រើប្រាស់ SHA-1 មិនអាចចាត់ទុកថាមានសុវត្ថិភាពទៀតទេ។
5. ត្រូវប្រាកដថាជ្រើសរើសជាគំរូ [លំនាំដើម]CA. កុំភ្លេចចុចលើ អនុវត្តទាំងអស់។បើមិនដូច្នេះទេ គំរូមិនត្រូវបានអនុវត្តទេ។
6. នៅក្នុងផ្ទាំង ប្រធានបទ ជ្រើសរើសគូសំខាន់របស់យើង។ នៅទីនោះអ្នកអាចបំពេញវាលសំខាន់ៗទាំងអស់នៃវិញ្ញាបនបត្រ។

ការបង្កើតកូនសោ និងវិញ្ញាបនបត្រម៉ាស៊ីនមេ https

1. តាមរបៀបស្រដៀងគ្នានេះ យើងបង្កើតកូនសោឯកជន RSA-2048 សម្រាប់ម៉ាស៊ីនមេ ខ្ញុំបានហៅវាថា Server Key ។
2. នៅពេលបង្កើតវិញ្ញាបនបត្រ យើងជ្រើសរើសថាវិញ្ញាបនបត្រម៉ាស៊ីនមេត្រូវតែចុះហត្ថលេខាជាមួយវិញ្ញាបនបត្រ CA ។
3. កុំភ្លេចជ្រើសរើស SHA-256.
4. យើងជ្រើសរើសជាគំរូ [លំនាំដើម] HTTPS_server. ចុចលើ អនុវត្តទាំងអស់។.
5. បន្ទាប់មកនៅលើផ្ទាំង ប្រធានបទ ជ្រើសរើសកូនសោរបស់យើង ហើយបំពេញក្នុងវាលដែលត្រូវការ។

បង្កើតកូនសោ និងវិញ្ញាបនបត្រសម្រាប់អ្នកប្រើប្រាស់

1. សោឯកជនរបស់អ្នកប្រើនឹងត្រូវបានរក្សាទុកនៅលើសញ្ញាសម្ងាត់របស់យើង។ ដើម្បីធ្វើការជាមួយវា អ្នកត្រូវដំឡើងបណ្ណាល័យ PKCS#11 ពីគេហទំព័ររបស់យើង។ សម្រាប់ការចែកចាយដ៏ពេញនិយម យើងចែកចាយកញ្ចប់ដែលត្រៀមរួចជាស្រេច ដែលមានទីតាំងនៅទីនេះ - https://www.rutoken.ru/support/download/pkcs/. យើងក៏មានការដំឡើងសម្រាប់ arm64, armv7el, armv7hf, e2k, mipso32el ដែលអាចទាញយកបានពី SDK របស់យើង - https://www.rutoken.ru/developers/sdk/. បន្ថែមពីលើការជួបប្រជុំគ្នាសម្រាប់លីនុច វាក៏មានសន្និបាតសម្រាប់ macOS, freebsd និង Android ផងដែរ។
2. ការបន្ថែមអ្នកផ្តល់សេវា PKCS#11 ថ្មីទៅ XCA ។ ដើម្បីធ្វើដូចនេះចូលទៅកាន់ម៉ឺនុយ ជម្រើស ទៅផ្ទាំង អ្នកផ្គត់ផ្គង់ PKCS #11.
3. យើងចុច បន្ថែម ហើយជ្រើសរើសផ្លូវទៅកាន់បណ្ណាល័យ PKCS#11។ ក្នុងករណីរបស់ខ្ញុំវាគឺ usrliblibrtpkcs11ecp.so ។
4. យើងនឹងត្រូវការនិមិត្តសញ្ញា Rutoken EDS PKI ដែលមានទម្រង់។ ទាញយកឧបករណ៍ប្រើប្រាស់ rtAdmin - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. យើងអនុវត្ត

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. យើងជ្រើសរើសគ្រាប់ចុច RSA-2048 សម្រាប់ Rutoken EDS PKI ជាប្រភេទសោ។ ខ្ញុំបានហៅសោនេះថា Client Key។

   

7. បញ្ចូលលេខកូដ PIN ។ ហើយយើងរង់ចាំសម្រាប់ការបញ្ចប់នៃការបង្កើតផ្នែករឹងនៃគូគន្លឹះ

   

8. យើងបង្កើតវិញ្ញាបនបត្រសម្រាប់អ្នកប្រើប្រាស់ដោយភាពស្រដៀងគ្នាជាមួយវិញ្ញាបនបត្រម៉ាស៊ីនមេ។ លើកនេះយើងជ្រើសរើសគំរូ [លំនាំដើម] HTTPS_client ហើយកុំភ្លេចចុច អនុវត្តទាំងអស់។.
9. នៅក្នុងផ្ទាំង ប្រធានបទ បញ្ចូលព័ត៌មានអំពីអ្នកប្រើប្រាស់។ យើងឆ្លើយនៅក្នុងការបញ្ជាក់ចំពោះសំណើដើម្បីរក្សាទុកវិញ្ញាបនបត្រសម្រាប់សញ្ញាសម្ងាត់។

ជាលទ្ធផលនៅលើផ្ទាំង វិញ្ញាបនប័ត្រ នៅក្នុង XCA អ្នកគួរតែទទួលបានអ្វីមួយដូចនេះ។

សំណុំសោ និងវិញ្ញាបនបត្រអប្បបរមានេះគឺគ្រប់គ្រាន់ដើម្បីចាប់ផ្តើមដំឡើងម៉ាស៊ីនមេដោយខ្លួនឯង។

ដើម្បីកំណត់រចនាសម្ព័ន្ធ យើងត្រូវនាំចេញវិញ្ញាបនបត្រ CA វិញ្ញាបនបត្រម៉ាស៊ីនមេ និងសោឯកជនម៉ាស៊ីនមេ។

ដើម្បីធ្វើដូចនេះជ្រើសធាតុដែលចង់បាននៅលើផ្ទាំងដែលត្រូវគ្នានៅក្នុង XCA ហើយចុច ការនាំចេញ.

Nginx

ខ្ញុំនឹងមិនសរសេរពីរបៀបដំឡើង និងដំណើរការម៉ាស៊ីនមេ nginx ទេ - មានអត្ថបទគ្រប់គ្រាន់លើប្រធានបទនេះនៅលើអ៊ីនធឺណិត មិនមែននិយាយពីឯកសារផ្លូវការទេ។ ចូរនិយាយត្រង់ទៅការដំឡើង HTTPS និងការផ្ទៀងផ្ទាត់ពីរកត្តាដោយប្រើសញ្ញាសម្ងាត់។

បន្ថែមបន្ទាត់ខាងក្រោមទៅផ្នែកម៉ាស៊ីនមេនៅក្នុង nginx.conf៖

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

ការពិពណ៌នាលម្អិតនៃប៉ារ៉ាម៉ែត្រទាំងអស់ដែលទាក់ទងនឹងការកំណត់រចនាសម្ព័ន្ធ ssl នៅក្នុង nginx អាចរកបាននៅទីនេះ - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

ខ្ញុំនឹងរៀបរាប់ដោយសង្ខេបនូវអ្វីដែលខ្ញុំបានសួរខ្លួនឯងថា៖

• ssl_verify_client - បញ្ជាក់​ថា​ខ្សែសង្វាក់​នៃ​ការ​ទុក​ចិត្ត​សម្រាប់​វិញ្ញាបនបត្រ​ត្រូវ​ការ​ផ្ទៀងផ្ទាត់។
• ssl_verify_depth - កំណត់ជម្រៅស្វែងរកសម្រាប់វិញ្ញាបនបត្រឫសគល់ដែលអាចទុកចិត្តបាននៅក្នុងខ្សែសង្វាក់។ ដោយសារវិញ្ញាបនបត្រអតិថិជនរបស់យើងត្រូវបានចុះហត្ថលេខាភ្លាមៗនៅលើវិញ្ញាបនបត្រឫសគល់ ជម្រៅត្រូវបានកំណត់ទៅ 1. ប្រសិនបើវិញ្ញាបនបត្រអ្នកប្រើប្រាស់ត្រូវបានចុះហត្ថលេខាលើ CA កម្រិតមធ្យម នោះ 2 ត្រូវតែបញ្ជាក់នៅក្នុងប៉ារ៉ាម៉ែត្រនេះ ហើយដូច្នេះនៅលើ។
• ssl_client_certificate - បញ្ជាក់ផ្លូវទៅកាន់វិញ្ញាបនបត្រឫសគល់ដែលទុកចិត្ត ដែលត្រូវបានប្រើនៅពេលពិនិត្យមើលការជឿទុកចិត្តលើវិញ្ញាបនបត្ររបស់អ្នកប្រើ។
• ssl_certificate/ssl_certificate_key - ចង្អុលបង្ហាញផ្លូវទៅកាន់វិញ្ញាបនបត្រម៉ាស៊ីនមេ / កូនសោឯកជន។

កុំភ្លេចដំណើរការ nginx -t ដើម្បីពិនិត្យមើលថាមិនមានកំហុសក្នុងការកំណត់ទេ ហើយឯកសារទាំងអស់គឺនៅនឹងកន្លែង ហើយដូច្នេះនៅលើ។

ហើយនោះហើយជាទាំងអស់! ដូចដែលអ្នកអាចឃើញការរៀបចំគឺសាមញ្ញណាស់។

ពិនិត្យមើលថាវាដំណើរការនៅក្នុង Firefox

ដោយសារយើងធ្វើអ្វីៗគ្រប់យ៉ាងទាំងស្រុងនៅក្នុងលីនុច យើងនឹងសន្មត់ថាអ្នកប្រើប្រាស់របស់យើងក៏ធ្វើការនៅក្នុងលីនុចដែរ (ប្រសិនបើពួកគេមានវីនដូ អញ្ចឹង សូមមើលការណែនាំសម្រាប់ការដំឡើងកម្មវិធីរុករកនៅក្នុងអត្ថបទមុន។.

1. តោះបើក Firefox ។
2. តោះព្យាយាមចូលដោយគ្មានសញ្ញាសម្ងាត់ជាមុនសិន។ យើងទទួលបានរូបភាពនេះ៖

   

3. ទៅ អំពី៖ ចំណូលចិត្ត # ភាពឯកជន។ហើយយើងទៅ ឧបករណ៍សុវត្ថិភាព...
4. យើងចុច ផ្ទុកដើម្បីបន្ថែមកម្មវិធីបញ្ជាឧបករណ៍ PKCS#11 ថ្មី ហើយបញ្ជាក់ផ្លូវទៅកាន់ librtpkcs11ecp.so របស់យើង។
5. ដើម្បីពិនិត្យមើលថាវិញ្ញាបនបត្រអាចមើលឃើញ អ្នកអាចចូលទៅកាន់ អ្នកគ្រប់គ្រងវិញ្ញាបនបត្រ។. អ្នកនឹងត្រូវបានជម្រុញឱ្យបញ្ចូលកូដ PIN របស់អ្នក។ បន្ទាប់ពីការបញ្ចូលត្រឹមត្រូវ អ្នកអាចពិនិត្យមើលអ្វីដែលមាននៅលើផ្ទាំង វិញ្ញាបនបត្ររបស់អ្នក។ វិញ្ញាបនបត្ររបស់យើងពីនិមិត្តសញ្ញាបានបង្ហាញខ្លួន។
6. ឥឡូវតោះទៅជាមួយនិមិត្តសញ្ញា។ Firefox ប្រាប់អ្នកឱ្យជ្រើសរើសវិញ្ញាបនបត្រដែលនឹងត្រូវបានជ្រើសរើសសម្រាប់ម៉ាស៊ីនមេ។ ជ្រើសរើសវិញ្ញាបនបត្ររបស់យើង។

   

7. ពត៌មានផ្ទាល់ខ្លួន!

   

ការ​រៀបចំ​ត្រូវ​បាន​ធ្វើ​ម្តង​ហើយ​ដូច​ដែល​អ្នក​អាច​ឃើញ​នៅ​ក្នុង​បង្អួច​សំណើ​វិញ្ញាបនបត្រ​យើង​អាច​រក្សា​ទុក​ការ​ជ្រើស​រើស​របស់​យើង​។ បន្ទាប់ពីនេះ រាល់ពេលដែលយើងចូលទៅក្នុងវិបផតថល យើងនឹងគ្រាន់តែបញ្ចូលសញ្ញាសម្ងាត់ និងបញ្ចូលកូដ PIN របស់អ្នកប្រើប្រាស់ដែលត្រូវបានបញ្ជាក់កំឡុងពេលធ្វើទ្រង់ទ្រាយ។ បន្ទាប់ពីការផ្ទៀងផ្ទាត់បែបនេះ ម៉ាស៊ីនមេដឹងរួចហើយថាអ្នកប្រើប្រាស់មួយណាបានចូល ហើយអ្នកមិនអាចបង្កើតវិនដូបន្ថែមសម្រាប់ការផ្ទៀងផ្ទាត់បានទៀតទេ ប៉ុន្តែអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលទៅក្នុងគណនីផ្ទាល់ខ្លួនរបស់គាត់ភ្លាមៗ។

កម្មវិធី Apache

ដូចគ្នានឹង nginx ដែរ គ្មាននរណាម្នាក់គួរមានបញ្ហាក្នុងការដំឡើង apache ទេ។ ប្រសិនបើអ្នកមិនដឹងពីរបៀបដំឡើងម៉ាស៊ីនមេគេហទំព័រនេះទេ គ្រាន់តែប្រើឯកសារផ្លូវការ។

ហើយយើងចាប់ផ្តើមរៀបចំ HTTPS និងការផ្ទៀងផ្ទាត់ពីរកត្តារបស់យើង៖

1. ដំបូងអ្នកត្រូវធ្វើឱ្យ mod_ssl សកម្ម៖

   $ a2enmod ssl

2. ហើយបន្ទាប់មកបើកការកំណត់ HTTPS លំនាំដើមរបស់គេហទំព័រ៖

   $ a2ensite default-ssl

3. ឥឡូវនេះយើងកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធ៖ /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   ដូចដែលអ្នកអាចឃើញឈ្មោះនៃប៉ារ៉ាម៉ែត្រអនុវត្តស្របគ្នាជាមួយឈ្មោះនៃប៉ារ៉ាម៉ែត្រនៅក្នុង nginx ដូច្នេះខ្ញុំនឹងមិនពន្យល់ពួកគេទេ។ ជា​ថ្មី​ម្តង​ទៀត អ្នក​ដែល​ចាប់​អារម្មណ៍​នឹង​ព័ត៌មាន​លម្អិត​សូម​ស្វាគមន៍​មក​កាន់​ឯកសារ។
   ឥឡូវនេះ យើងចាប់ផ្តើមម៉ាស៊ីនមេរបស់យើងឡើងវិញ៖

   $ service apache2 reload
   $ service apache2 restart

ដូចដែលអ្នកអាចឃើញ ការដំឡើងការផ្ទៀងផ្ទាត់ពីរកត្តានៅលើម៉ាស៊ីនមេគេហទំព័រណាមួយ មិនថានៅលើ Windows ឬ Linux ចំណាយពេលអតិបរមាមួយម៉ោង។ ហើយការដំឡើងកម្មវិធីរុករកត្រូវចំណាយពេលប្រហែល 5 នាទី។ មនុស្សជាច្រើនគិតថាការដំឡើង និងធ្វើការជាមួយការផ្ទៀងផ្ទាត់ពីរកត្តាគឺពិបាកនិងមិនច្បាស់លាស់។ ខ្ញុំសង្ឃឹមថាអត្ថបទរបស់យើងបំបាត់ទេវកថានេះយ៉ាងហោចណាស់បន្តិច។

មានតែអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះប៉ុណ្ណោះដែលអាចចូលរួមក្នុងការស្ទង់មតិនេះ។ ចូលសូម។

តើអ្នកត្រូវការការណែនាំសម្រាប់ការដំឡើង TLS ជាមួយនឹងវិញ្ញាបនបត្រយោងទៅតាម GOST 34.10-2012៖

• បាទ TLS-GOST គឺចាំបាច់ណាស់។

• ទេ ការលៃតម្រូវជាមួយក្បួនដោះស្រាយ GOST មិនគួរឱ្យចាប់អារម្មណ៍ទេ។

អ្នកប្រើប្រាស់ 44 នាក់បានបោះឆ្នោត។ អ្នកប្រើប្រាស់ ៧៨ នាក់ត្រូវបានហាមឃាត់។

ប្រភព: www.habr.com