🥇បទពិសោធន៍នៃការប្រើប្រាស់បច្ចេកវិទ្យា Rutoken សម្រាប់ការចុះឈ្មោះ និងការអនុញ្ញាតអ្នកប្រើប្រាស់ក្នុងប្រព័ន្ធ (ភាគ១)

អរុណសួស្តី ចូរបន្តដោះស្រាយប្រធានបទនេះ (ផ្នែកមុនអាចរកបាននៅតំណ).

ថ្ងៃនេះសូមបន្តទៅផ្នែកជាក់ស្តែង។ ចូរចាប់ផ្តើមដោយការដំឡើងសិទ្ធិអំណាចវិញ្ញាបនបត្ររបស់អ្នកដោយផ្អែកលើបណ្ណាល័យកូដកូដប្រភពបើកចំហពេញលេញ openSSL ។ ក្បួនដោះស្រាយនេះត្រូវបានសាកល្បងដោយប្រើ Windows 7 ។

ជាមួយនឹងការដំឡើង openSSL យើងអាចធ្វើប្រតិបត្តិការគ្រីបគ្រីបផ្សេងៗ (ដូចជាការបង្កើតកូនសោ និងវិញ្ញាបនបត្រ) តាមរយៈបន្ទាត់ពាក្យបញ្ជា។

ក្បួនដោះស្រាយនៃសកម្មភាពមានដូចខាងក្រោម៖

ទាញយកការចែកចាយការដំឡើង openssl-1.1.1g ។
openSSL មានកំណែផ្សេងៗគ្នា។ ឯកសារសម្រាប់ Rutoken បានបញ្ជាក់ថា OpenSSL កំណែ 1.1.0 ឬក្រោយគឺត្រូវបានទាមទារ។ ខ្ញុំបានប្រើកំណែ openssl-1.1.1g ។ អ្នកអាចទាញយក OpenSSL ពីគេហទំព័រផ្លូវការ ប៉ុន្តែសម្រាប់ការដំឡើងកាន់តែងាយស្រួល អ្នកត្រូវស្វែងរកឯកសារដំឡើងសម្រាប់ Windows នៅលើអ៊ីនធឺណិត។ ខ្ញុំបានធ្វើវាសម្រាប់អ្នក៖ slproweb.com/products/Win32OpenSSL.html
អ្នកត្រូវរមូរទៅផ្នែកខាងក្រោមនៃទំព័រ ហើយទាញយកកម្មវិធីដំឡើង Win64 OpenSSL v1.1.1g EXE 63MB ។
ដំឡើង openssl-1.1.1g នៅលើកុំព្យូទ័ររបស់អ្នក។
ការដំឡើងត្រូវតែត្រូវបានអនុវត្តដោយប្រើផ្លូវស្តង់ដារដែលត្រូវបានបញ្ជាក់ដោយស្វ័យប្រវត្តិនៅក្នុងថតឯកសារ C: កម្មវិធី។ កម្មវិធីនឹងត្រូវបានដំឡើងនៅក្នុងថត OpenSSL-Win64 ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធ openSSL តាមដែលអ្នកត្រូវការ មានឯកសារ openssl.cfg ។ ឯកសារនេះស្ថិតនៅក្នុងផ្លូវ C:Program FilesOpenSSL-Win64bin ប្រសិនបើអ្នកបានដំឡើង openSSL ដូចដែលបានពិពណ៌នានៅក្នុងកថាខណ្ឌមុន។ ចូលទៅកាន់ថតដែល openssl.cfg ត្រូវបានរក្សាទុក ហើយបើកឯកសារនេះដោយប្រើឧទាហរណ៍ Notepad++។
អ្នកប្រហែលជាទាយថាការកំណត់រចនាសម្ព័ន្ធនៃមជ្ឈមណ្ឌលវិញ្ញាបនប័ត្រនឹងត្រូវធ្វើឡើងដោយការផ្លាស់ប្តូរខ្លឹមសារនៃឯកសារ openssl.cfg ហើយអ្នកពិតជាត្រឹមត្រូវ។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវកំណត់រចនាសម្ព័ន្ធពាក្យបញ្ជា [ca] ។ នៅក្នុងឯកសារ openssl.cfg ការចាប់ផ្តើមនៃអត្ថបទដែលយើងនឹងធ្វើការផ្លាស់ប្តូរអាចត្រូវបានរកឃើញដូចជា៖ [ca]។
ឥឡូវនេះខ្ញុំនឹងផ្តល់ឧទាហរណ៍នៃការដំឡើងជាមួយនឹងការពិពណ៌នារបស់វា:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
ឥឡូវអ្នកត្រូវបង្កើតថត demoCA និងថតរង ដូចបង្ហាញក្នុងឧទាហរណ៍ខាងលើ។ ហើយដាក់វានៅក្នុងថតនេះតាមផ្លូវដែលបានបញ្ជាក់ក្នុង dir (ខ្ញុំមាន /Users/username/bin/openSSLca/demoCA)។
វាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការបញ្ចូល dir ឱ្យបានត្រឹមត្រូវ - នេះគឺជាផ្លូវទៅកាន់ថតដែលអាជ្ញាធរបញ្ជាក់របស់យើងនឹងមានទីតាំងនៅ។ ថតនេះត្រូវតែមានទីតាំងនៅ / អ្នកប្រើប្រាស់ (នោះគឺនៅក្នុងគណនីអ្នកប្រើប្រាស់) ។ ឧទាហរណ៍ ប្រសិនបើអ្នកដាក់ថតឯកសារនេះក្នុង C:Program Files ប្រព័ន្ធនឹងមិនឃើញឯកសារការកំណត់ openssl.cfg (យ៉ាងហោចណាស់នោះជារបៀបដែលវាសម្រាប់ខ្ញុំ)។
$dir - ផ្លូវដែលបានបញ្ជាក់នៅក្នុង dir ត្រូវបានជំនួសនៅទីនេះ។
ចំណុចសំខាន់មួយទៀតគឺបង្កើតឯកសារ index.txt ទទេដោយគ្មានឯកសារនេះ ពាក្យបញ្ជា “openSSL ca …” នឹងមិនដំណើរការទេ។
អ្នកក៏ត្រូវមានឯកសារសៀរៀល សោឯកជនជា root (ca.key) និងវិញ្ញាបនបត្រ root (ca.crt) ផងដែរ។ ដំណើរការនៃការទទួលបានឯកសារទាំងនេះនឹងត្រូវបានពិពណ៌នាដូចខាងក្រោម។
យើងបើកដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីបដែលផ្តល់ដោយ Rutoken ។
ការតភ្ជាប់នេះកើតឡើងនៅក្នុងឯកសារ openssl.cfg ។
- ដំបូងអ្នកត្រូវទាញយកក្បួនដោះស្រាយ Rutoken ចាំបាច់។ ទាំងនេះគឺជាឯកសារ rtengine.dll, rtpkcs11ecp.dll ។
  ដើម្បីធ្វើដូចនេះទាញយក Rutoken SDK: www.rutoken.ru/developers/sdk.
  Rutoken SDK គឺមានទាំងអស់សម្រាប់អ្នកអភិវឌ្ឍន៍ដែលចង់សាកល្បង Rutoken ។ មានឧទាហរណ៍ទាំងពីរសម្រាប់ធ្វើការជាមួយ Rutoken ជាភាសាសរសេរកម្មវិធីផ្សេងៗគ្នា ហើយបណ្ណាល័យមួយចំនួនត្រូវបានបង្ហាញ។ បណ្ណាល័យរបស់យើង rtengine.dll និង rtpkcs11ecp.dll មានទីតាំងនៅ Rutoken sdk រៀងគ្នានៅទីតាំង៖
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  ចំណុចសំខាន់ណាស់។ បណ្ណាល័យ rtengine.dll, rtpkcs11ecp.dll មិនដំណើរការដោយគ្មានកម្មវិធីបញ្ជាដែលបានដំឡើងសម្រាប់ Rutoken ។ ដូចគ្នានេះផងដែរ Rutoken ត្រូវតែភ្ជាប់ទៅកុំព្យូទ័រ។ (សម្រាប់ការដំឡើងអ្វីគ្រប់យ៉ាងដែលចាំបាច់សម្រាប់ Rutoken សូមមើលផ្នែកមុននៃអត្ថបទ habr.com/en/post/506450)
- បណ្ណាល័យ rtengine.dll និង rtpkcs11ecp.dll អាចត្រូវបានរក្សាទុកគ្រប់ទីកន្លែងនៅក្នុងគណនីអ្នកប្រើប្រាស់។
- យើងចុះឈ្មោះផ្លូវទៅកាន់បណ្ណាល័យទាំងនេះនៅក្នុង openssl.cfg ។ ដើម្បីធ្វើដូចនេះបើកឯកសារ openssl.cfg នៅដើមឯកសារនេះអ្នកត្រូវដាក់បន្ទាត់៖
```
openssl_conf = openssl_def
```
  នៅចុងបញ្ចប់នៃឯកសារអ្នកត្រូវបន្ថែម៖
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - អ្នកត្រូវបញ្ជាក់ផ្លូវរបស់អ្នកទៅកាន់បណ្ណាល័យ rtengine.dll ។
  MODULE_PATH - អ្នកត្រូវតែបញ្ជាក់ផ្លូវរបស់អ្នកទៅកាន់បណ្ណាល័យ rtpkcs11ecp.dll ។
ការបន្ថែមអថេរបរិស្ថាន។
អ្នកត្រូវតែបន្ថែមអថេរបរិស្ថានដែលបញ្ជាក់ផ្លូវទៅកាន់ឯកសារកំណត់រចនាសម្ព័ន្ធ openssl.cfg ។ ក្នុងករណីរបស់ខ្ញុំ អថេរ OPENSSL_CONF ត្រូវបានបង្កើតជាមួយផ្លូវ C:Program FilesOpenSSL-Win64binopenssl.cfg ។
អថេរផ្លូវត្រូវតែមានផ្លូវទៅកាន់ថតដែល openssl.exe មានទីតាំងនៅ ក្នុងករណីរបស់ខ្ញុំវាគឺ៖ C: Program FilesOpenSSL-Win64bin ។
ឥឡូវអ្នកអាចត្រឡប់ទៅជំហានទី 5 ហើយបង្កើតឯកសារដែលបាត់សម្រាប់ថត demoCA ។
1. ឯកសារសំខាន់ដំបូងដែលគ្មានអ្វីដែលនឹងដំណើរការគឺសៀរៀល។ នេះគឺជាឯកសារដែលគ្មានផ្នែកបន្ថែម តម្លៃដែលគួរតែជា 01។ អ្នកអាចបង្កើតឯកសារនេះដោយខ្លួនឯង ហើយសរសេរលេខ 01 នៅខាងក្នុង អ្នកក៏អាចទាញយកវាពី Rutoken SDK តាមផ្លូវ sdk/openssl/rtengine/samples/tool/demoCA។ /.
  នៅក្នុងថត demoCA មានឯកសារសៀរៀល ដែលជាអ្វីដែលយើងត្រូវការ។
2. បង្កើតសោឯកជនជា root ។
  ដើម្បីធ្វើដូចនេះយើងនឹងប្រើពាក្យបញ្ជាបណ្ណាល័យ openSSL ដែលត្រូវតែដំណើរការដោយផ្ទាល់នៅលើបន្ទាត់ពាក្យបញ្ជា៖
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. បង្កើតវិញ្ញាបនបត្រ root ។
  ដើម្បីធ្វើដូច្នេះ យើងនឹងប្រើពាក្យបញ្ជាខាងក្រោមពីបណ្ណាល័យ openSSL៖
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  សូមចំណាំថាដើម្បីបង្កើតវិញ្ញាបនបត្រ root អ្នកត្រូវការសោឯកជន root ដែលត្រូវបានបង្កើតក្នុងជំហានមុន។ ដូច្នេះ បន្ទាត់ពាក្យបញ្ជាត្រូវតែបើកដំណើរការក្នុងថតដូចគ្នា។
ឯកសារដែលបាត់ទាំងអស់សម្រាប់ការកំណត់រចនាសម្ព័ន្ធពេញលេញនៃថត demoCA ឥឡូវនេះអាចរកបានហើយ។ ដាក់ឯកសារដែលបានបង្កើតនៅក្នុងថតដែលបានបញ្ជាក់ក្នុងជំហានទី 5 ។

យើងនឹងសន្មត់ថាបន្ទាប់ពីបញ្ចប់ទាំង 8 ចំណុច មជ្ឈមណ្ឌលបញ្ជាក់របស់យើងត្រូវបានកំណត់រចនាសម្ព័ន្ធយ៉ាងពេញលេញ។

នៅផ្នែកបន្ទាប់ ខ្ញុំនឹងប្រាប់អ្នកពីរបៀបដែលយើងនឹងធ្វើការជាមួយអាជ្ញាធរបញ្ជាក់ដើម្បីសម្រេចបាននូវអ្វីដែលបានពិពណ៌នានៅក្នុង ផ្នែកមុននៃអត្ថបទ.

ប្រភព: www.habr.com