🥇USB 토큰을 사용하는 사이트의 XNUMX단계 인증. 이제 Linux용

В 이전 기사 중 하나 우리는 회사의 기업 포털에서 이중 인증의 중요성에 대해 이야기했습니다. 지난번에는 IIS 웹 서버에서 보안 인증을 설정하는 방법을 시연했습니다.

댓글에서 우리는 가장 일반적인 Linux용 웹 서버인 nginx 및 Apache에 대한 지침을 작성해 달라는 요청을 받았습니다.

당신이 물었습니다 – 우리는 썼습니다.

시작하려면 무엇이 필요합니까?

모든 최신 Linux 배포판. MX Linux 18.2_x64에서 테스트 설정을 수행했습니다. 물론 이것은 서버 배포는 아니지만 데비안에서는 아무런 차이가 없을 것 같습니다. 다른 배포판의 경우 구성 라이브러리 경로가 약간 다를 수 있습니다.
토큰. 우리는 계속 모델을 사용합니다 루토켄 EDS PKI, 이는 기업용 속도 특성 측면에서 이상적입니다.
Linux에서 토큰을 사용하려면 다음 패키지를 설치해야 합니다.
libccid libpcsclite1 pcscd pcc-도구 opensc

인증서 발급

이전 기사에서는 서버 및 클라이언트 인증서가 Microsoft CA를 사용하여 발급된다는 사실에 의존했습니다. 그러나 우리는 Linux에서 모든 것을 설정하고 있으므로 Linux를 떠나지 않고도 이러한 인증서를 발급할 수 있는 대체 방법에 대해서도 알려 드리겠습니다.
CA로 XCA를 사용하겠습니다(https://hohnstaedt.de/xca/)는 모든 최신 Linux 배포판에서 사용할 수 있습니다. XCA에서 수행할 모든 작업은 OpenSSL 및 pkcs11-tool 유틸리티를 사용하여 명령줄 모드에서 수행할 수 있지만 더 단순하고 명확하게 하기 위해 이 기사에서는 이에 대해 설명하지 않습니다.

시작하기

설치하다:
```
$ apt-get install xca
```
그리고 우리는 다음을 실행합니다:
```
$ xca
```
CA용 데이터베이스를 생성합니다 - /root/CA.xdb
관리자만 액세스할 수 있는 폴더에 인증 기관 데이터베이스를 저장하는 것이 좋습니다. 이는 다른 모든 인증서에 서명하는 데 사용되는 루트 인증서의 개인 키를 보호하는 데 중요합니다.

키 및 루트 CA 인증서 생성

공개 키 인프라(PKI)는 계층적 시스템을 기반으로 합니다. 이 시스템에서 가장 중요한 것은 루트 인증 기관 또는 루트 CA입니다. 인증서를 먼저 생성해야 합니다.

CA에 대한 RSA-2048 개인 키를 생성합니다. 이렇게 하려면 탭에서 개인 키 중요하다 새 키 그리고 적절한 유형을 선택하세요.
새 키 쌍의 이름을 설정합니다. 저는 그것을 CA 키라고 불렀습니다.
생성된 키 쌍을 사용하여 CA 인증서 자체를 발급합니다. 이렇게 하려면 탭으로 이동하세요. 인증서 밀어 넣다 새 인증서.
꼭 선택하세요 SHA-256, SHA-1을 사용하는 것은 더 이상 안전하다고 간주될 수 없기 때문입니다.
반드시 템플릿으로 선택하세요 [기본값]CA. 클릭하는 것을 잊지 마세요 모두 적용그렇지 않으면 템플릿이 적용되지 않습니다.
탭 제목 키 쌍을 선택하세요. 여기에서 인증서의 모든 주요 필드를 작성할 수 있습니다.

키 및 https 서버 인증서 생성

비슷한 방식으로 서버에 대한 RSA-2048 개인 키를 생성합니다. 저는 이를 서버 키라고 부릅니다.
인증서를 생성할 때 서버 인증서가 CA 인증서로 서명되어야 함을 선택합니다.
선택하는 것을 잊지 마세요 SHA-256.
템플릿으로 선택한다 [기본값] HTTPS_서버. 클릭 모두 적용.
그런 다음 탭에서 제목 키를 선택하고 필수 필드를 입력하세요.

사용자를 위한 키 및 인증서 생성

사용자의 개인 키는 토큰에 저장됩니다. 이를 사용하려면 당사 웹사이트에서 PKCS#11 라이브러리를 설치해야 합니다. 인기 있는 배포판의 경우, 여기에 있는 기성 패키지를 배포합니다. https://www.rutoken.ru/support/download/pkcs/. 또한 SDK에서 다운로드할 수 있는 arm64, armv7el, armv7hf, e2k, mipso32el용 어셈블리도 있습니다. https://www.rutoken.ru/developers/sdk/. Linux용 어셈블리 외에도 macOS, freebsd 및 android용 어셈블리도 있습니다.
XCA에 새 PKCS#11 공급자를 추가합니다. 이렇게하려면 메뉴로 이동하십시오 옵션 탭으로 PKCS#11 공급자.
우리는 누릅니다 추가 PKCS#11 라이브러리 경로를 선택합니다. 제 경우에는 usrlibrtpkcs11ecp.so입니다.
형식화된 Rutoken EDS PKI 토큰이 필요합니다. rtAdmin 유틸리티 다운로드 - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

우리는

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

Rutoken EDS PKI의 RSA-2048 키를 키 유형으로 선택합니다. 저는 이 키를 클라이언트 키라고 불렀습니다.
PIN 코드를 입력하세요. 그리고 키 쌍의 하드웨어 생성이 완료될 때까지 기다립니다.
서버 인증서와 유사하게 사용자에 대한 인증서를 생성합니다. 이번에는 템플릿을 선택합니다. [기본값] HTTPS_client 클릭하는 것을 잊지 마세요 모두 적용.
탭 제목 사용자에 대한 정보를 입력합니다. 토큰에 대한 인증서를 저장해 달라는 요청에 긍정적으로 응답합니다.

결과적으로 탭에서 인증서 XCA에서는 이와 같은 것을 얻어야 합니다.

이 최소 키 및 인증서 세트는 서버 자체 설정을 시작하는 데 충분합니다.

구성하려면 CA 인증서, 서버 인증서 및 서버 개인 키를 내보내야 합니다.

이렇게 하려면 XCA의 해당 탭에서 원하는 항목을 선택하고 수출.

Nginx에

나는 nginx 서버를 설치하고 실행하는 방법을 쓰지 않을 것입니다. 공식 문서는 말할 것도 없고 인터넷에 이 주제에 대한 충분한 기사가 있습니다. 토큰을 사용하여 HTTPS 및 XNUMX단계 인증을 바로 설정해 보겠습니다.

nginx.conf의 서버 섹션에 다음 줄을 추가합니다.

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx에서 SSL 구성과 관련된 모든 매개변수에 대한 자세한 설명은 여기에서 확인할 수 있습니다. https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

제가 스스로에게 질문한 내용을 간략하게 설명하겠습니다.

ssl_verify_client - 인증서에 대한 신뢰 체인을 확인해야 함을 지정합니다.
ssl_verify_length - 체인의 신뢰할 수 있는 루트 인증서에 대한 검색 깊이를 정의합니다. 클라이언트 인증서는 루트 인증서에서 즉시 서명되므로 깊이는 1로 설정됩니다. 사용자 인증서가 중간 CA에서 서명되면 이 매개 변수에 2를 지정해야 합니다.
ssl_client_certificate - 사용자 인증서의 신뢰도를 확인할 때 사용되는 신뢰할 수 있는 루트 인증서의 경로를 지정합니다.
ssl_certificate/ssl_certificate_key - 서버 인증서/개인 키의 경로를 나타냅니다.

구성에 오타가 없는지, 모든 파일이 올바른 위치에 있는지 등을 확인하려면 nginx -t를 실행하는 것을 잊지 마세요.

그리고 그게 다야! 보시다시피 설정은 매우 간단합니다.

Firefox에서 작동하는지 확인하기

우리는 완전히 Linux에서 모든 작업을 수행하므로 사용자도 Linux에서 작업한다고 가정합니다(Windows를 사용하는 경우 이전 기사의 브라우저 설정 지침을 참조하세요..

파이어폭스를 실행해 보겠습니다.
먼저 토큰 없이 로그인을 시도해 보겠습니다. 우리는 다음과 같은 그림을 얻습니다.
이동 about : preferences # privacy, 그리고 우리는 보안 장치…
우리는 누릅니다 하중새 PKCS#11 장치 드라이버를 추가하고 librtpkcs11ecp.so에 대한 경로를 지정합니다.
인증서가 표시되는지 확인하려면 다음으로 이동하세요. 인증서 관리자. PIN을 입력하라는 메시지가 표시됩니다. 올바르게 입력한 후 탭에 표시된 내용을 확인할 수 있습니다. 당신의 증명서 토큰의 인증서가 나타났습니다.
이제 토큰을 사용해보자. Firefox는 서버에 대해 선택할 인증서를 선택하라는 메시지를 표시합니다. 우리의 인증서를 선택하세요.
이익!

설정이 한 번 완료되면 인증서 요청 창에서 볼 수 있듯이 선택 사항을 저장할 수 있습니다. 이후에는 포털에 로그인할 때마다 토큰을 삽입하고 포맷 중에 지정된 사용자 PIN 코드만 입력하면 됩니다. 이러한 인증 후에 서버는 어떤 사용자가 로그인했는지 이미 알고 있으므로 더 이상 확인을 위해 추가 창을 만들 수 없지만 사용자가 즉시 개인 계정에 로그인할 수 있습니다.

아파치

nginx와 마찬가지로 누구도 Apache를 설치하는 데 문제가 있어서는 안 됩니다. 이 웹 서버를 설치하는 방법을 모른다면 공식 문서를 사용하세요.

그리고 HTTPS 및 이중 인증 설정을 시작합니다.

먼저 mod_ssl을 활성화해야 합니다:
```
$ a2enmod ssl
```
그런 다음 사이트의 기본 HTTPS 설정을 활성화합니다.
```
$ a2ensite default-ssl
```
이제 구성 파일 /etc/apache2/sites-enabled/default-ssl.conf를 편집합니다.
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
보시다시피, 매개변수 이름은 nginx의 매개변수 이름과 거의 일치하므로 설명하지 않겠습니다. 다시 한 번 말씀드리지만, 세부 사항에 관심이 있는 사람이라면 누구든지 이 문서에 오신 것을 환영합니다.
이제 서버를 다시 시작합니다.
```
$ service apache2 reload
$ service apache2 restart
```

보시다시피 Windows이든 Linux이든 모든 웹 서버에서 5단계 인증을 설정하는 데 최대 XNUMX시간이 걸립니다. 그리고 브라우저를 설정하는 데 약 XNUMX분 정도 걸립니다. 많은 사람들은 이중 인증을 설정하고 작업하는 것이 어렵고 불분명하다고 생각합니다. 나는 우리 기사가 이 신화가 적어도 조금이라도 사실임을 폭로하기를 바랍니다.

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

GOST 34.10-2012에 따라 인증서를 사용하여 TLS를 설정하는 데 지침이 필요합니까?

예, TLS-GOST가 매우 필요합니다
아니요, GOST 알고리즘을 사용한 튜닝은 흥미롭지 않습니다.

44명의 사용자가 투표했습니다. 9명의 사용자가 기권했습니다.

출처 : habr.com

USB 토큰을 사용하여 사이트에서 XNUMX단계 인증을 수행합니다. 이제 Linux에도 적용됩니다.