시스템에서 사용자 등록 및 권한 부여를 위한 Rutoken 기술 사용 경험(2부)

좋은 오후에요 이 주제를 계속하자이전편은 링크에서 보실 수 있습니다).

오늘 우리는 실용적인 부분으로 넘어갑니다. 본격적인 오픈 소스 암호화 라이브러리인 openSSL을 기반으로 CA를 설정하는 것부터 시작해 보겠습니다. 이 알고리즘은 Windows 7을 사용하여 테스트되었습니다.

openSSL을 설치하면 명령줄을 통해 다양한 암호화 작업(예: 키 및 인증서 생성)을 수행할 수 있습니다.

동작 알고리즘은 다음과 같습니다.

1. 설치 배포판 openssl-1.1.1g를 다운로드합니다.
   openSSL에는 다양한 버전이 있습니다. Rutoken 문서에는 openSSL 버전 1.1.0 이상이 필요하다고 명시되어 있습니다. openssl-1.1.1g 버전을 사용했습니다. openSSL은 공식 사이트에서 다운로드할 수 있지만 보다 쉽게 ​​설치하려면 인터넷에서 Windows용 설치 파일을 찾아야 합니다. 나는 당신을 위해 이것을 했습니다: slproweb.com/products/Win32OpenSSL.html
   페이지를 아래로 스크롤하여 Win64 OpenSSL v1.1.1g EXE 63MB 설치 프로그램을 다운로드합니다.
2. 컴퓨터에 openssl-1.1.1g를 설치합니다.
   설치는 반드시 C:Program Files 폴더에 자동으로 지정되는 표준 경로에 따라 진행해야 합니다. 프로그램은 OpenSSL-Win64 폴더에 설치됩니다.
3. 필요한 방식으로 openSSL을 설정하려면 openssl.cfg 파일이 있습니다. 이전 단락에서 설명한 대로 openSSL을 설치한 경우 이 파일은 C:\Program Files\OpenSSL-Win64bin 경로에 있습니다. openssl.cfg가 저장된 폴더로 이동하고 Notepad++ 등을 사용하여 이 파일을 엽니다.
4. openssl.cfg 파일의 내용을 변경하면 인증 기관이 어떻게든 구성될 것이라고 짐작하셨을 것입니다. 귀하의 생각이 절대적으로 옳습니다. 이를 위해서는 [ ca ] 명령을 사용자 정의해야 합니다. openssl.cfg 파일에서 변경할 텍스트의 시작 부분은 [ ca ]로 찾을 수 있습니다.
5. 이제 설명과 함께 설정의 예를 제공하겠습니다.

   [ ca ]
   default_ca	= CA_default		
   
    [ CA_default ]
   dir		= /Users/username/bin/openSSLca/demoCA		 
   certs		= $dir/certs		
   crl_dir		= $dir/crl		
   database	= $dir/index.txt	
   new_certs_dir	= $dir/newcerts	
   certificate	= $dir/ca.crt 	
   serial		= $dir/private/serial 		
   crlnumber	= $dir/crlnumber	
   					
   crl		= $dir/crl.pem 		
   private_key	= $dir/private/ca.key
   x509_extensions	= usr_cert
   

   이제 위의 예에 표시된 대로 decoCA 디렉터리와 하위 디렉터리를 생성해야 합니다. 그리고 dir에 지정된 경로를 따라 이 디렉토리에 배치합니다(/Users/username/bin/openSSLca/demoCA가 있습니다).

   dir의 철자를 정확하게 입력하는 것이 매우 중요합니다. 이는 인증 센터가 위치할 디렉터리의 경로입니다. 이 디렉터리는 /Users(즉, 일부 사용자의 계정)에 있어야 합니다. 예를 들어 이 디렉터리를 C: Program Files에 배치하면 시스템은 openssl.cfg 설정이 있는 파일을 볼 수 없습니다(적어도 저에게는 그랬습니다).

   $dir - dir에 지정된 경로가 여기로 대체됩니다.

   또 다른 중요한 점은 빈 index.txt 파일을 생성하는 것입니다. 이 파일이 없으면 “openSSL ca …” 명령이 작동하지 않습니다.

   또한 직렬 파일, 루트 개인 키(ca.key), 루트 인증서(ca.crt)가 필요합니다. 이러한 파일을 얻는 과정은 아래에 설명되어 있습니다.

6. Rutoken에서 제공하는 암호화 알고리즘을 연결합니다.
   이 연결은 openssl.cfg 파일에서 발생합니다.
   • 우선, 필요한 Rutoken 알고리즘을 다운로드해야 합니다. rtengine.dll, rtpkcs11ecp.dll 파일입니다.
     이렇게 하려면 Rutoken SDK를 다운로드하세요. www.rutoken.ru/developers/sdk.

     Rutoken SDK는 Rutoken을 시험해보고 싶은 개발자를 위한 모든 것입니다. 다양한 프로그래밍 언어로 Rutoken을 사용하기 위한 별도의 예제가 있으며 일부 라이브러리가 제공됩니다. 우리 라이브러리 rtengine.dll 및 rtpkcs11ecp.dll은 각각 Rutoken SDK의 다음 위치에 있습니다.

     SDK/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     SDK/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll

     매우 중요한 점입니다. 라이브러리 rtengine.dll, rtpkcs11ecp.dll은 Rutoken용 드라이버가 설치되어 있지 않으면 작동하지 않습니다. 또한 Rutoken이 컴퓨터에 연결되어 있어야 합니다. (Rutoken에 필요한 모든 것을 설치하려면 기사의 이전 부분을 참조하세요. habr.com/en/post/506450)

   • rtengine.dll 및 rtpkcs11ecp.dll 라이브러리는 사용자 계정의 어느 위치에나 보관할 수 있습니다.
   • openssl.cfg에 이러한 라이브러리에 대한 경로를 작성합니다. 이렇게 하려면 openssl.cfg 파일을 열고 이 파일의 시작 부분에 다음 줄을 추가합니다.

     openssl_conf = openssl_def

     파일 끝에 다음을 추가해야 합니다.

     [ openssl_def ]
     engines = engine_section
     [ engine_section ]
     rtengine = gost_section
     [ gost_section ]
     dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
     RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
     default_algorithms = CIPHERS, DIGEST, PKEY, RAND
     

     Dynamic_path - rtengine.dll 라이브러리에 대한 경로를 지정해야 합니다.
     MODULE_PATH - rtpkcs11ecp.dll 라이브러리에 대한 경로를 설정해야 합니다.

7. 환경 변수를 추가합니다.

   openssl.cfg 구성 파일의 경로를 지정하는 환경 변수를 추가해야 합니다. 제 경우에는 OPENSSL_CONF 변수가 C:Program FilesOpenSSL-Win64binopenssl.cfg 경로로 생성되었습니다.

   경로 변수에서 openssl.exe가 있는 폴더의 경로를 지정해야 합니다. 제 경우에는 C: Program FilesOpenSSL-Win64bin입니다.

8. 이제 5단계로 돌아가서 데모CA 디렉터리에 대해 누락된 파일을 생성할 수 있습니다.
   1. 없이는 아무것도 작동하지 않는 첫 번째 중요한 파일은 직렬 파일입니다. 확장자가 없는 파일이며 값은 01이어야 합니다. 이 파일을 직접 생성하고 내부에 01을 쓸 수 있습니다. 또한 sdk/openssl/rtengine/samples/tool/demoCA 경로를 따라 Rutoken SDK에서 다운로드할 수도 있습니다. /.
      DemoCA 디렉터리에는 우리에게 꼭 필요한 직렬 파일이 포함되어 있습니다.
   2. 루트 개인 키를 생성합니다.
      이를 위해 명령줄에서 직접 실행해야 하는 openSSL 라이브러리 명령을 사용합니다.

      openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key

   3. 루트 인증서를 만듭니다.
      이렇게 하려면 다음 openSSL 라이브러리 명령을 사용하십시오.

      openssl req -utf8 -x509 -key ca.key -out ca.crt

      루트 인증서를 생성하려면 이전 단계에서 생성된 루트 개인 키가 필요합니다. 따라서 명령줄은 동일한 디렉터리에서 실행되어야 합니다.

   이제 모든 항목에는 데모CA 디렉터리의 전체 구성에 대한 누락된 파일이 모두 있습니다. 생성된 파일을 5번 항목에 표시된 디렉터리에 배치합니다.

8가지 항목을 모두 완료한 후 인증 센터가 완전히 구성되었다고 가정하겠습니다.

다음 부분에서는 설명된 내용을 달성하기 위해 인증 기관과 어떻게 협력할 것인지 설명하겠습니다. 기사의 이전 부분.

출처 : habr.com