USB ಟೋಕನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸೈಟ್‌ನಲ್ಲಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣ. ಈಗ ಲಿನಕ್ಸ್‌ಗೂ ಸಹ

В ನಮ್ಮ ಹಿಂದಿನ ಲೇಖನಗಳಲ್ಲಿ ಒಂದು ಕಂಪನಿಗಳ ಕಾರ್ಪೊರೇಟ್ ಪೋರ್ಟಲ್‌ಗಳಲ್ಲಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣದ ಪ್ರಾಮುಖ್ಯತೆಯ ಕುರಿತು ನಾವು ಮಾತನಾಡಿದ್ದೇವೆ. IIS ವೆಬ್ ಸರ್ವರ್‌ನಲ್ಲಿ ಸುರಕ್ಷಿತ ದೃಢೀಕರಣವನ್ನು ಹೇಗೆ ಹೊಂದಿಸುವುದು ಎಂಬುದನ್ನು ಕೊನೆಯ ಬಾರಿ ನಾವು ಪ್ರದರ್ಶಿಸಿದ್ದೇವೆ.

ಕಾಮೆಂಟ್‌ಗಳಲ್ಲಿ, Linux - nginx ಮತ್ತು Apache ಗಾಗಿ ಸಾಮಾನ್ಯ ವೆಬ್ ಸರ್ವರ್‌ಗಳಿಗೆ ಸೂಚನೆಗಳನ್ನು ಬರೆಯಲು ನಮ್ಮನ್ನು ಕೇಳಲಾಯಿತು.

ನೀವು ಕೇಳಿದ್ದೀರಿ - ನಾವು ಬರೆದಿದ್ದೇವೆ.

ನೀವು ಪ್ರಾರಂಭಿಸಲು ಏನು ಬೇಕು?

• ಯಾವುದೇ ಆಧುನಿಕ ಲಿನಕ್ಸ್ ವಿತರಣೆ. ನಾನು MX Linux 18.2_x64 ನಲ್ಲಿ ಪರೀಕ್ಷಾ ಸೆಟಪ್ ಮಾಡಿದ್ದೇನೆ. ಇದು ಸಹಜವಾಗಿ ಸರ್ವರ್ ವಿತರಣೆಯಲ್ಲ, ಆದರೆ ಡೆಬಿಯನ್‌ಗೆ ಯಾವುದೇ ವ್ಯತ್ಯಾಸಗಳಿರುವ ಸಾಧ್ಯತೆಯಿಲ್ಲ. ಇತರ ವಿತರಣೆಗಳಿಗಾಗಿ, ಸಂರಚನಾ ಗ್ರಂಥಾಲಯಗಳಿಗೆ ಮಾರ್ಗಗಳು ಸ್ವಲ್ಪ ಬದಲಾಗಬಹುದು.
• ಟೋಕನ್. ನಾವು ಮಾದರಿಯನ್ನು ಬಳಸುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತೇವೆ ರುಟೊಕೆನ್ EDS PKI, ಇದು ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆಗೆ ವೇಗದ ಗುಣಲಕ್ಷಣಗಳ ವಿಷಯದಲ್ಲಿ ಸೂಕ್ತವಾಗಿದೆ.
• Linux ನಲ್ಲಿ ಟೋಕನ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು, ನೀವು ಈ ಕೆಳಗಿನ ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸಬೇಕು:
  libccid libpcsclite1 pcscd pcsc-ಟೂಲ್ಸ್ opensc

ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವುದು

ಹಿಂದಿನ ಲೇಖನಗಳಲ್ಲಿ, Microsoft CA ಬಳಸಿಕೊಂಡು ಸರ್ವರ್ ಮತ್ತು ಕ್ಲೈಂಟ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡಲಾಗುತ್ತದೆ ಎಂಬ ಅಂಶವನ್ನು ನಾವು ಅವಲಂಬಿಸಿದ್ದೇವೆ. ಆದರೆ ನಾವು ಲಿನಕ್ಸ್‌ನಲ್ಲಿ ಎಲ್ಲವನ್ನೂ ಹೊಂದಿಸುತ್ತಿರುವುದರಿಂದ, ಈ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವ ಪರ್ಯಾಯ ಮಾರ್ಗವನ್ನು ನಾವು ನಿಮಗೆ ಹೇಳುತ್ತೇವೆ - ಲಿನಕ್ಸ್ ಅನ್ನು ಬಿಡದೆಯೇ.
ನಾವು XCA ಅನ್ನು CA ಆಗಿ ಬಳಸುತ್ತೇವೆ (https://hohnstaedt.de/xca/), ಇದು ಯಾವುದೇ ಆಧುನಿಕ ಲಿನಕ್ಸ್ ವಿತರಣೆಯಲ್ಲಿ ಲಭ್ಯವಿದೆ. ನಾವು XCA ನಲ್ಲಿ ನಿರ್ವಹಿಸುವ ಎಲ್ಲಾ ಕ್ರಿಯೆಗಳನ್ನು OpenSSL ಮತ್ತು pkcs11-ಟೂಲ್ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಮಾಂಡ್ ಲೈನ್ ಮೋಡ್‌ನಲ್ಲಿ ಮಾಡಬಹುದು, ಆದರೆ ಹೆಚ್ಚಿನ ಸರಳತೆ ಮತ್ತು ಸ್ಪಷ್ಟತೆಗಾಗಿ, ನಾವು ಅವುಗಳನ್ನು ಈ ಲೇಖನದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸುವುದಿಲ್ಲ.

ಆರಂಭಿಸುವಿಕೆ

1. ಸ್ಥಾಪಿಸು:

   $ apt-get install xca

2. ಮತ್ತು ನಾವು ಓಡುತ್ತೇವೆ:

   $ xca

3. ನಾವು CA - /root/CA.xdb ಗಾಗಿ ನಮ್ಮ ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಚಿಸುತ್ತೇವೆ
   ನಿರ್ವಾಹಕರು ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಫೋಲ್ಡರ್‌ನಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರ ಪ್ರಾಧಿಕಾರ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ. ಎಲ್ಲಾ ಇತರ ಪ್ರಮಾಣಪತ್ರಗಳಿಗೆ ಸಹಿ ಮಾಡಲು ಬಳಸುವ ರೂಟ್ ಪ್ರಮಾಣಪತ್ರಗಳ ಖಾಸಗಿ ಕೀಗಳನ್ನು ರಕ್ಷಿಸಲು ಇದು ಮುಖ್ಯವಾಗಿದೆ.

ಕೀಗಳು ಮತ್ತು ರೂಟ್ CA ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಿ

ಸಾರ್ವಜನಿಕ ಕೀ ಮೂಲಸೌಕರ್ಯ (PKI) ಶ್ರೇಣೀಕೃತ ವ್ಯವಸ್ಥೆಯನ್ನು ಆಧರಿಸಿದೆ. ಈ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಮುಖ್ಯ ವಿಷಯವೆಂದರೆ ಮೂಲ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರ ಅಥವಾ ರೂಟ್ ಸಿಎ. ಅದರ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಮೊದಲು ರಚಿಸಬೇಕು.

1. ನಾವು CA ಗಾಗಿ RSA-2048 ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ರಚಿಸುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, ಟ್ಯಾಬ್ನಲ್ಲಿ ಖಾಸಗಿ ಕೀಗಳು ಡಾ ಹೊಸ ಕೀ ಮತ್ತು ಸೂಕ್ತವಾದ ಪ್ರಕಾರವನ್ನು ಆಯ್ಕೆಮಾಡಿ.
2. ಹೊಸ ಕೀ ಜೋಡಿಗೆ ಹೆಸರನ್ನು ಹೊಂದಿಸಿ. ನಾನು ಅದನ್ನು CA ಕೀ ಎಂದು ಕರೆದಿದ್ದೇನೆ.
3. ರಚಿಸಲಾದ ಕೀ ಜೋಡಿಯನ್ನು ಬಳಸಿಕೊಂಡು ನಾವು CA ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, ಟ್ಯಾಬ್ಗೆ ಹೋಗಿ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ಹೊಸ ಪ್ರಮಾಣಪತ್ರ.
4. ಆಯ್ಕೆ ಮಾಡಲು ಮರೆಯದಿರಿ SHA-256, ಏಕೆಂದರೆ SHA-1 ಅನ್ನು ಇನ್ನು ಮುಂದೆ ಸುರಕ್ಷಿತವಾಗಿ ಪರಿಗಣಿಸಲಾಗುವುದಿಲ್ಲ.
5. ಟೆಂಪ್ಲೇಟ್ ಆಗಿ ಆಯ್ಕೆ ಮಾಡಲು ಮರೆಯದಿರಿ [ಡೀಫಾಲ್ಟ್]ಸಿಎ. ಕ್ಲಿಕ್ ಮಾಡಲು ಮರೆಯಬೇಡಿ ಎಲ್ಲವನ್ನೂ ಅನ್ವಯಿಸಿ, ಇಲ್ಲದಿದ್ದರೆ ಟೆಂಪ್ಲೇಟ್ ಅನ್ವಯಿಸುವುದಿಲ್ಲ.
6. ಟ್ಯಾಬ್‌ನಲ್ಲಿ ವಿಷಯ ನಮ್ಮ ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು ಆರಿಸಿ. ಅಲ್ಲಿ ನೀವು ಪ್ರಮಾಣಪತ್ರದ ಎಲ್ಲಾ ಮುಖ್ಯ ಕ್ಷೇತ್ರಗಳನ್ನು ಭರ್ತಿ ಮಾಡಬಹುದು.

ಕೀಗಳು ಮತ್ತು https ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಲಾಗುತ್ತಿದೆ

1. ಅದೇ ರೀತಿಯಲ್ಲಿ, ನಾವು ಸರ್ವರ್‌ಗಾಗಿ RSA-2048 ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ರಚಿಸುತ್ತೇವೆ, ನಾನು ಅದನ್ನು ಸರ್ವರ್ ಕೀ ಎಂದು ಕರೆದಿದ್ದೇನೆ.
2. ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸುವಾಗ, ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು CA ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ ಸಹಿ ಮಾಡಬೇಕು ಎಂದು ನಾವು ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ.
3. ಆಯ್ಕೆ ಮಾಡಲು ಮರೆಯಬೇಡಿ SHA-256.
4. ನಾವು ಟೆಂಪ್ಲೇಟ್ ಆಗಿ ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ [ಡೀಫಾಲ್ಟ್] HTTPS_server. ಕ್ಲಿಕ್ ಮಾಡಿ ಎಲ್ಲವನ್ನೂ ಅನ್ವಯಿಸಿ.
5. ನಂತರ ಟ್ಯಾಬ್ನಲ್ಲಿ ವಿಷಯ ನಮ್ಮ ಕೀಲಿಯನ್ನು ಆಯ್ಕೆ ಮಾಡಿ ಮತ್ತು ಅಗತ್ಯವಿರುವ ಕ್ಷೇತ್ರಗಳನ್ನು ಭರ್ತಿ ಮಾಡಿ.

ಬಳಕೆದಾರರಿಗಾಗಿ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಿ

1. ಬಳಕೆದಾರರ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ನಮ್ಮ ಟೋಕನ್‌ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ. ಇದರೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು, ನೀವು ನಮ್ಮ ವೆಬ್‌ಸೈಟ್‌ನಿಂದ PKCS#11 ಲೈಬ್ರರಿಯನ್ನು ಸ್ಥಾಪಿಸಬೇಕು. ಜನಪ್ರಿಯ ವಿತರಣೆಗಳಿಗಾಗಿ, ನಾವು ಸಿದ್ಧ ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ವಿತರಿಸುತ್ತೇವೆ, ಅವುಗಳು ಇಲ್ಲಿವೆ - https://www.rutoken.ru/support/download/pkcs/. ನಾವು arm64, armv7el, armv7hf, e2k, mipso32el ಗಾಗಿ ಅಸೆಂಬ್ಲಿಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ, ಅದನ್ನು ನಮ್ಮ SDK ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು - https://www.rutoken.ru/developers/sdk/. Linux ಗಾಗಿ ಅಸೆಂಬ್ಲಿಗಳ ಜೊತೆಗೆ, macOS, freebsd ಮತ್ತು Android ಗಾಗಿ ಅಸೆಂಬ್ಲಿಗಳು ಸಹ ಇವೆ.
2. XCA ಗೆ ಹೊಸ PKCS#11 ಪೂರೈಕೆದಾರರನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ. ಇದನ್ನು ಮಾಡಲು, ಮೆನುಗೆ ಹೋಗಿ ಆಯ್ಕೆಗಳು ಟ್ಯಾಬ್ಗೆ PKCS#11 ಪೂರೈಕೆದಾರ.
3. ನಾವು ಒತ್ತಿ ಸೇರಿಸಿ ಮತ್ತು PKCS#11 ಲೈಬ್ರರಿಗೆ ಮಾರ್ಗವನ್ನು ಆಯ್ಕೆಮಾಡಿ. ನನ್ನ ವಿಷಯದಲ್ಲಿ ಇದು usrliblibrtpkcs11ecp.so ಆಗಿದೆ.
4. ನಮಗೆ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ Rutoken EDS PKI ಟೋಕನ್ ಅಗತ್ಯವಿದೆ. rtAdmin ಉಪಯುಕ್ತತೆಯನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಿ - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. ನಾವು ನಿರ್ವಹಿಸುತ್ತೇವೆ

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. Rutoken EDS PKI ಗಾಗಿ ನಾವು RSA-2048 ಕೀಲಿಯನ್ನು ಕೀ ಪ್ರಕಾರವಾಗಿ ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ. ನಾನು ಈ ಕೀಲಿಯನ್ನು ಕ್ಲೈಂಟ್ ಕೀ ಎಂದು ಕರೆದಿದ್ದೇನೆ.

   

7. ಪಿನ್ ಕೋಡ್ ನಮೂದಿಸಿ. ಮತ್ತು ಕೀ ಜೋಡಿಯ ಹಾರ್ಡ್‌ವೇರ್ ಉತ್ಪಾದನೆಯ ಪೂರ್ಣಗೊಳ್ಳುವಿಕೆಗಾಗಿ ನಾವು ಕಾಯುತ್ತಿದ್ದೇವೆ

   

8. ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ ಸಾದೃಶ್ಯದ ಮೂಲಕ ನಾವು ಬಳಕೆದಾರರಿಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸುತ್ತೇವೆ. ಈ ಸಮಯದಲ್ಲಿ ನಾವು ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ [ಡೀಫಾಲ್ಟ್] HTTPS_client ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಲು ಮರೆಯಬೇಡಿ ಎಲ್ಲವನ್ನೂ ಅನ್ವಯಿಸಿ.
9. ಟ್ಯಾಬ್‌ನಲ್ಲಿ ವಿಷಯ ಬಳಕೆದಾರರ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ನಮೂದಿಸಿ. ಟೋಕನ್‌ಗಾಗಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಉಳಿಸುವ ವಿನಂತಿಗೆ ನಾವು ಸಕಾರಾತ್ಮಕವಾಗಿ ಉತ್ತರಿಸುತ್ತೇವೆ.

ಪರಿಣಾಮವಾಗಿ, ಟ್ಯಾಬ್ನಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳು XCA ನಲ್ಲಿ ನೀವು ಈ ರೀತಿಯದನ್ನು ಪಡೆಯಬೇಕು.

ಈ ಕನಿಷ್ಟ ಸೆಟ್ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರಗಳು ಸರ್ವರ್‌ಗಳನ್ನು ಹೊಂದಿಸಲು ಪ್ರಾರಂಭಿಸಲು ಸಾಕು.

ಕಾನ್ಫಿಗರ್ ಮಾಡಲು, ನಾವು CA ಪ್ರಮಾಣಪತ್ರ, ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಸರ್ವರ್ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ರಫ್ತು ಮಾಡಬೇಕಾಗಿದೆ.

ಇದನ್ನು ಮಾಡಲು, XCA ನಲ್ಲಿ ಅನುಗುಣವಾದ ಟ್ಯಾಬ್ನಲ್ಲಿ ಬಯಸಿದ ನಮೂದನ್ನು ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ರಫ್ತು.

ಎನ್ನಿಕ್ಸ್

nginx ಸರ್ವರ್ ಅನ್ನು ಹೇಗೆ ಸ್ಥಾಪಿಸುವುದು ಮತ್ತು ಚಲಾಯಿಸುವುದು ಎಂದು ನಾನು ಬರೆಯುವುದಿಲ್ಲ - ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ ಈ ವಿಷಯದ ಕುರಿತು ಸಾಕಷ್ಟು ಲೇಖನಗಳಿವೆ, ಅಧಿಕೃತ ದಾಖಲಾತಿಯನ್ನು ನಮೂದಿಸಬಾರದು. ಟೋಕನ್ ಬಳಸಿಕೊಂಡು HTTPS ಮತ್ತು ಎರಡು-ಅಂಶ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸಲು ನೇರವಾಗಿ ಹೋಗೋಣ.

nginx.conf ನಲ್ಲಿ ಸರ್ವರ್ ವಿಭಾಗಕ್ಕೆ ಈ ಕೆಳಗಿನ ಸಾಲುಗಳನ್ನು ಸೇರಿಸಿ:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx ನಲ್ಲಿ ssl ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸಂಬಂಧಿಸಿದ ಎಲ್ಲಾ ನಿಯತಾಂಕಗಳ ವಿವರವಾದ ವಿವರಣೆಯನ್ನು ಇಲ್ಲಿ ಕಾಣಬಹುದು - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

ನಾನು ನನ್ನನ್ನು ಕೇಳಿಕೊಂಡದ್ದನ್ನು ನಾನು ಸಂಕ್ಷಿಪ್ತವಾಗಿ ವಿವರಿಸುತ್ತೇನೆ:

• ssl_verify_client - ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ನಂಬಿಕೆಯ ಸರಪಳಿಯನ್ನು ಪರಿಶೀಲಿಸುವ ಅಗತ್ಯವಿದೆ ಎಂದು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ.
• ssl_verify_depth - ಸರಪಳಿಯಲ್ಲಿನ ವಿಶ್ವಾಸಾರ್ಹ ಮೂಲ ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ಹುಡುಕಾಟದ ಆಳವನ್ನು ವಿವರಿಸುತ್ತದೆ. ನಮ್ಮ ಕ್ಲೈಂಟ್ ಪ್ರಮಾಣಪತ್ರವು ಮೂಲ ಪ್ರಮಾಣಪತ್ರದಲ್ಲಿ ತಕ್ಷಣವೇ ಸಹಿ ಮಾಡಲ್ಪಟ್ಟಿರುವುದರಿಂದ, ಆಳವನ್ನು 1 ಕ್ಕೆ ಹೊಂದಿಸಲಾಗಿದೆ. ಬಳಕೆದಾರ ಪ್ರಮಾಣಪತ್ರವು ಮಧ್ಯಂತರ CA ನಲ್ಲಿ ಸಹಿ ಮಾಡಿದ್ದರೆ, ನಂತರ 2 ಅನ್ನು ಈ ಪ್ಯಾರಾಮೀಟರ್‌ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು, ಇತ್ಯಾದಿ.
• ssl_client_certificate - ಬಳಕೆದಾರರ ಪ್ರಮಾಣಪತ್ರದಲ್ಲಿ ನಂಬಿಕೆಯನ್ನು ಪರಿಶೀಲಿಸುವಾಗ ಬಳಸಲಾಗುವ ವಿಶ್ವಾಸಾರ್ಹ ಮೂಲ ಪ್ರಮಾಣಪತ್ರದ ಮಾರ್ಗವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ.
• ssl_certificate/ssl_certificate_key - ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರ/ಖಾಸಗಿ ಕೀಲಿಯ ಮಾರ್ಗವನ್ನು ಸೂಚಿಸಿ.

ಸಂರಚನೆಯಲ್ಲಿ ಯಾವುದೇ ಮುದ್ರಣದೋಷಗಳಿಲ್ಲ ಮತ್ತು ಎಲ್ಲಾ ಫೈಲ್‌ಗಳು ಸರಿಯಾದ ಸ್ಥಳದಲ್ಲಿವೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲು nginx -t ಅನ್ನು ಚಲಾಯಿಸಲು ಮರೆಯಬೇಡಿ.

ಮತ್ತು ಅಷ್ಟೆ! ನೀವು ನೋಡುವಂತೆ, ಸೆಟಪ್ ತುಂಬಾ ಸರಳವಾಗಿದೆ.

ಇದು Firefox ನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ

ನಾವು ಎಲ್ಲವನ್ನೂ ಸಂಪೂರ್ಣವಾಗಿ ಲಿನಕ್ಸ್‌ನಲ್ಲಿ ಮಾಡುವುದರಿಂದ, ನಮ್ಮ ಬಳಕೆದಾರರು ಲಿನಕ್ಸ್‌ನಲ್ಲಿಯೂ ಕೆಲಸ ಮಾಡುತ್ತಾರೆ ಎಂದು ನಾವು ಭಾವಿಸುತ್ತೇವೆ (ಅವರು ವಿಂಡೋಸ್ ಹೊಂದಿದ್ದರೆ, ನಂತರ ಹಿಂದಿನ ಲೇಖನದಲ್ಲಿ ಬ್ರೌಸರ್‌ಗಳನ್ನು ಹೊಂದಿಸಲು ಸೂಚನೆಗಳನ್ನು ನೋಡಿ.

1. Firefox ಅನ್ನು ಪ್ರಾರಂಭಿಸೋಣ.
2. ಮೊದಲು ಟೋಕನ್ ಇಲ್ಲದೆ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸೋಣ. ನಾವು ಈ ಚಿತ್ರವನ್ನು ಪಡೆಯುತ್ತೇವೆ:

   

3. ನಾವು ಮುಂದುವರಿಯುತ್ತೇವೆ ಬಗ್ಗೆ: ಆದ್ಯತೆಗಳು # ಗೌಪ್ಯತೆ, ಮತ್ತು ನಾವು ಹೋಗುತ್ತೇವೆ ಭದ್ರತಾ ಸಾಧನಗಳು...
4. ನಾವು ಒತ್ತಿ ಲೋಡ್ಹೊಸ PKCS#11 ಸಾಧನ ಚಾಲಕವನ್ನು ಸೇರಿಸಲು ಮತ್ತು ನಮ್ಮ librtpkcs11ecp.so ಗೆ ಮಾರ್ಗವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ.
5. ಪ್ರಮಾಣಪತ್ರವು ಗೋಚರಿಸುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲು, ನೀವು ಇಲ್ಲಿಗೆ ಹೋಗಬಹುದು ಪ್ರಮಾಣಪತ್ರ ವ್ಯವಸ್ಥಾಪಕ. ನಿಮ್ಮ ಪಿನ್ ನಮೂದಿಸಲು ನಿಮ್ಮನ್ನು ಕೇಳಲಾಗುತ್ತದೆ. ಸರಿಯಾದ ಇನ್‌ಪುಟ್ ನಂತರ, ಟ್ಯಾಬ್‌ನಲ್ಲಿ ಏನಿದೆ ಎಂಬುದನ್ನು ನೀವು ಪರಿಶೀಲಿಸಬಹುದು ನಿಮ್ಮ ಪ್ರಮಾಣಪತ್ರಗಳು ಟೋಕನ್‌ನಿಂದ ನಮ್ಮ ಪ್ರಮಾಣಪತ್ರ ಕಾಣಿಸಿಕೊಂಡಿದೆ.
6. ಈಗ ಟೋಕನ್‌ನೊಂದಿಗೆ ಹೋಗೋಣ. ಸರ್ವರ್‌ಗಾಗಿ ಆಯ್ಕೆ ಮಾಡಲಾಗುವ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆಯ್ಕೆ ಮಾಡಲು Firefox ನಿಮ್ಮನ್ನು ಕೇಳುತ್ತದೆ. ನಮ್ಮ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆರಿಸಿ.

   

7. ಲಾಭ!

   

ಸೆಟಪ್ ಅನ್ನು ಒಮ್ಮೆ ಮಾಡಲಾಗುತ್ತದೆ, ಮತ್ತು ನೀವು ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿ ವಿಂಡೋದಲ್ಲಿ ನೋಡುವಂತೆ, ನಾವು ನಮ್ಮ ಆಯ್ಕೆಯನ್ನು ಉಳಿಸಬಹುದು. ಇದರ ನಂತರ, ನಾವು ಪ್ರತಿ ಬಾರಿ ಪೋರ್ಟಲ್‌ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿದಾಗ, ನಾವು ಟೋಕನ್ ಅನ್ನು ಮಾತ್ರ ಸೇರಿಸಬೇಕಾಗುತ್ತದೆ ಮತ್ತು ಫಾರ್ಮ್ಯಾಟಿಂಗ್ ಸಮಯದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಬಳಕೆದಾರರ ಪಿನ್ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸಬೇಕಾಗುತ್ತದೆ. ಅಂತಹ ದೃಢೀಕರಣದ ನಂತರ, ಯಾವ ಬಳಕೆದಾರರು ಲಾಗ್ ಇನ್ ಮಾಡಿದ್ದಾರೆ ಎಂದು ಸರ್ವರ್ ಈಗಾಗಲೇ ತಿಳಿದಿದೆ ಮತ್ತು ನೀವು ಇನ್ನು ಮುಂದೆ ಪರಿಶೀಲನೆಗಾಗಿ ಯಾವುದೇ ಹೆಚ್ಚುವರಿ ವಿಂಡೋಗಳನ್ನು ರಚಿಸಲಾಗುವುದಿಲ್ಲ, ಆದರೆ ತಕ್ಷಣವೇ ಬಳಕೆದಾರರನ್ನು ಅವರ ವೈಯಕ್ತಿಕ ಖಾತೆಗೆ ಅನುಮತಿಸಿ.

ಅಪಾಚೆ

nginx ನಂತೆ, apache ಅನ್ನು ಸ್ಥಾಪಿಸುವಲ್ಲಿ ಯಾರೂ ಯಾವುದೇ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿರಬಾರದು. ಈ ವೆಬ್ ಸರ್ವರ್ ಅನ್ನು ಹೇಗೆ ಸ್ಥಾಪಿಸಬೇಕು ಎಂದು ನಿಮಗೆ ತಿಳಿದಿಲ್ಲದಿದ್ದರೆ, ಅಧಿಕೃತ ದಸ್ತಾವೇಜನ್ನು ಬಳಸಿ.

ಮತ್ತು ನಾವು ನಮ್ಮ HTTPS ಮತ್ತು ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ:

1. ಮೊದಲು ನೀವು mod_ssl ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕು:

   $ a2enmod ssl

2. ತದನಂತರ ಸೈಟ್‌ನ ಡೀಫಾಲ್ಟ್ HTTPS ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ:

   $ a2ensite default-ssl

3. ಈಗ ನಾವು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸುತ್ತೇವೆ: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   ನೀವು ನೋಡುವಂತೆ, ನಿಯತಾಂಕಗಳ ಹೆಸರುಗಳು ಪ್ರಾಯೋಗಿಕವಾಗಿ nginx ನಲ್ಲಿನ ನಿಯತಾಂಕಗಳ ಹೆಸರುಗಳೊಂದಿಗೆ ಹೊಂದಿಕೆಯಾಗುತ್ತವೆ, ಆದ್ದರಿಂದ ನಾನು ಅವುಗಳನ್ನು ವಿವರಿಸುವುದಿಲ್ಲ. ಮತ್ತೊಮ್ಮೆ, ವಿವರಗಳಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಯಾರಾದರೂ ದಸ್ತಾವೇಜನ್ನು ಸ್ವಾಗತಿಸುತ್ತಾರೆ.
   ಈಗ ನಾವು ನಮ್ಮ ಸರ್ವರ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸುತ್ತೇವೆ:

   $ service apache2 reload
   $ service apache2 restart

ನೀವು ನೋಡುವಂತೆ, ವಿಂಡೋಸ್ ಅಥವಾ ಲಿನಕ್ಸ್‌ನಲ್ಲಿ ಯಾವುದೇ ವೆಬ್ ಸರ್ವರ್‌ನಲ್ಲಿ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸಲು ಗರಿಷ್ಠ ಒಂದು ಗಂಟೆ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಮತ್ತು ಬ್ರೌಸರ್‌ಗಳನ್ನು ಹೊಂದಿಸಲು ಸುಮಾರು 5 ನಿಮಿಷಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸುವುದು ಮತ್ತು ಕೆಲಸ ಮಾಡುವುದು ಕಷ್ಟ ಮತ್ತು ಅಸ್ಪಷ್ಟವಾಗಿದೆ ಎಂದು ಅನೇಕ ಜನರು ಭಾವಿಸುತ್ತಾರೆ. ನಮ್ಮ ಲೇಖನವು ಈ ಪುರಾಣವನ್ನು ಸ್ವಲ್ಪವಾದರೂ ನಿವಾರಿಸುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.

ನೋಂದಾಯಿತ ಬಳಕೆದಾರರು ಮಾತ್ರ ಸಮೀಕ್ಷೆಯಲ್ಲಿ ಭಾಗವಹಿಸಬಹುದು. ಸೈನ್ ಇನ್ ಮಾಡಿ, ದಯವಿಟ್ಟು.

GOST 34.10-2012 ರ ಪ್ರಕಾರ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ TLS ಅನ್ನು ಹೊಂದಿಸಲು ನಿಮಗೆ ಸೂಚನೆಗಳ ಅಗತ್ಯವಿದೆಯೇ:

• ಹೌದು, TLS-GOST ಬಹಳ ಅವಶ್ಯಕ

• ಇಲ್ಲ, GOST ಅಲ್ಗಾರಿದಮ್‌ಗಳೊಂದಿಗೆ ಟ್ಯೂನಿಂಗ್ ಮಾಡುವುದು ಆಸಕ್ತಿದಾಯಕವಲ್ಲ

44 ಬಳಕೆದಾರರು ಮತ ಹಾಕಿದ್ದಾರೆ. 9 ಬಳಕೆದಾರರು ದೂರ ಉಳಿದಿದ್ದಾರೆ.

ಮೂಲ: www.habr.com