시스템에서 사용자 등록 및 권한 부여를 위한 Rutoken 기술 사용 경험(3부)

좋은 하루!

앞 부분에서 우리는 자체 인증 센터를 성공적으로 만들었습니다. 그것이 우리의 목적에 어떻게 유용할 수 있습니까?

현지 인증 기관을 이용하여 인증서를 발급하고 해당 인증서의 서명을 확인할 수도 있습니다.

사용자에게 인증서를 발급할 때 인증 기관은 '.csr' 파일 형식을 갖는 특수 인증서 요청 Pkcs#10을 사용합니다. 이 요청에는 인증 기관이 올바르게 구문 분석하는 방법을 알고 있는 인코딩된 시퀀스가 ​​포함되어 있습니다. 요청에는 사용자의 공개 키와 인증서 생성을 위한 데이터(사용자에 대한 데이터가 포함된 연관 배열)가 모두 포함되어 있습니다.

다음 기사에서는 인증서 요청을 받는 방법을 살펴보고, 이 기사에서는 백엔드 측에서 작업을 완료하는 데 도움이 되는 인증 기관의 주요 명령을 제공하고 싶습니다.

그래서 먼저 인증서를 만들어야 합니다. 이를 위해 다음 명령을 사용합니다.

openssl ca -batch -in user.csr -out user.crt

ca는 인증 기관과 관련된 openSSL 명령입니다.
-batch - 인증서 생성 시 확인 요청을 취소합니다.
user.csr — 인증서 생성을 요청합니다(.csr 형식의 파일).
user.crt - 인증서(명령 결과).

이 명령이 작동하려면 인증 기관이 설명된 대로 정확하게 구성되어야 합니다. 기사의 이전 부분에서. 그렇지 않으면 인증 기관의 루트 인증서 위치를 추가로 지정해야 합니다.

인증서 확인 명령:

openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.file

cms는 openSSL을 사용하여 데이터 서명, 확인, 암호화 및 기타 암호화 작업에 사용되는 openSSL 명령입니다.

-verify - 이 경우 인증서를 확인합니다.

authenticate.cms - 이전 명령으로 발행된 인증서로 서명된 데이터가 포함된 파일입니다.

-inform PEM - PEM 형식이 사용됩니다.

-CAfile /Users/……/demoCA/ca.crt - 루트 인증서의 경로입니다. (이것이 없으면 ca.crt 경로가 openssl.cfg 파일에 기록되었지만 명령이 작동하지 않았습니다)

-out data.file - 해독된 데이터를 data.file 파일로 보냅니다.

백엔드 측에서 인증 기관을 사용하는 알고리즘은 다음과 같습니다.

• 사용자 등록:
  1. 인증서를 생성하고 이를 user.csr 파일에 저장하라는 요청을 받습니다.
  2. 이 기사의 첫 번째 명령을 확장자가 .bat 또는 .cmd인 파일에 저장합니다. 이전에 user.csr 파일에 대한 인증서 생성 요청을 저장한 후 코드에서 이 파일을 실행합니다. user.crt 인증서가 포함된 파일을 받습니다.
  3. user.crt 파일을 읽고 클라이언트에 보냅니다.

• 사용자 인증:
  1. 클라이언트로부터 서명된 데이터를 수신하여 authenticate.cms 파일에 저장합니다.
  2. 이 문서의 두 번째 명령을 확장자가 .bat 또는 .cmd인 파일에 저장합니다. 이전에 서버의 서명된 데이터를 authenticate.cms에 저장한 후 코드에서 이 파일을 실행합니다. 우리는 해독된 데이터 data.file이 포함된 파일을 받았습니다.
  3. data.file을 읽고 이 데이터의 유효성을 확인합니다. 정확히 확인해야 할 사항이 설명되어 있습니다. 첫 번째 기사에서. 데이터가 유효하면 사용자 인증이 성공한 것으로 간주됩니다.

이러한 알고리즘을 구현하려면 백엔드를 작성하는 데 사용되는 프로그래밍 언어를 사용할 수 있습니다.

다음 기사에서는 Retoken 플러그인을 사용하여 작업하는 방법을 살펴보겠습니다.

감사합니다!

출처 : habr.com