ProHoster > Π‘Π»ΠΎΠ³ > administratio > Usus in technologia utens Rutoken perscriptum et concessum utentes in systemate (part 2)

Usus in technologia utens Rutoken perscriptum et concessum utentes in systemate (part 2)

Bona dies Perge ad hunc locumPrior pars inveniri potest ad nexum).

Hodie ad practicam partem progredimur. Let's start by setting up our CA based on the full-flgeded open source cryptographic library openSSL. Hoc algorithmus fenestris adhibitis probatum est 7 .

Cum inauguratus openSSL, varias operationes cryptographicas (ut claves ac testimonium creandi) per lineam mandatorum conficere possumus.

De actionibus algorithm ex hoc quod sequitur:

  1. Download institutionem distributionis openssl-1.1.1g.
    uaria openSSL habet. Documentum pro Rutoken dixit openSSL versionem 1.1.0 vel recentiorem requiri. versionem openssl-1.1.1g usus sum. Potes openSSL ex situ officiali, sed ad faciliorem institutionem, invenire debes institutionem fasciculi pro fenestris in rete. Hoc ego pro te feci; slproweb.com/products/Win32OpenSSL.html
    Librum deprime paginam et download Win64 OpenSSL v1.1.1g EXE 63MB Installer.
  2. Install openssl-1.1.1g in computatrum tuum.
    Installatio peragenda est secundum rationem rectam, quae automatice in C: Programma tabulariorum folder. Propositum instituetur in folder OpenSSL-Win64.
  3. Ut erigat openSSL viam qua opus est, file openssl.cfg est. Hic fasciculus in C:\Programma tabulariorum OpenSSL-Win64bin via est sita, si openSSL inauguratus es sicut in praecedenti paragrapho descriptus. Vade ad folder ubi repositum est openssl.cfg et aperi hunc fasciculum utens, exempli gratia, Nota ++.
  4. Probabiliter coniectans auctoritatem certificationis aliqualiter configurabitur mutando contenta in fasciculi openssl.cfg, et tu rectissime es. Id requirit customizationem mandati. In fasciculo openssl.cfg, principium textus ubi mutabimus, inveniri potest ut: [ca ].
  5. Nunc exemplum propositi cum descriptione dabo; 
    [ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert

    Nunc opus est directorium demoCA et subdirectoria creare ut supra in exemplo ostensum est. Ac pone in hoc directorio per viam quae in dir specificata est (I have /Users/usoris/bin/openSSLca/demoCA).

    Magni interest ut recte exponam - haec est via ad directorium ubi centrum certificationis nostrae collocabitur. Directorium hoc in /Usoribus (id est, ratione alicuius usoris) collocari debet. Si hunc directorium ponis, exempli gratia, in C: Lima Programma, ratio lima cum occasus openssl.cfg non videbit (saltem id mihi fuit).

    $dir - via quae in dir hic substituitur.

    Alius momenti punctum est inanis index.txt fasciculum creare, sine hac fasciculo mandata "openSSL ca ..." non operari.

    Etiam fasciculum serialem habere debes, radicem clavem privatam (ca.key), libellum radix (ca.crt). Processus harum fasciculorum obtinendi infra describetur.

  6. Encryption algorithms coniungimus a Rutoken provisum.
    Haec connexio in file openssl.cfg fit.

    • Ante omnia, debes algorithms Rutoken necessarias comprehendere. Haec sunt files rtengine.dll, rtpkcs11ecp.dll.
      Ad hoc faciendum, depone Rutoken SDK: www.rutoken.ru/elit/sdk.

      The Rutoken SDK is all there is for developers who want to try out Rutoken. Utraque exempla in diversis programmandis linguis Rutoken operandi sunt, et nonnulla bibliothecae exhibentur. Nostrae bibliothecae rtengine.dll et rtpkcs11ecp.dll in Rutoken sdk sita sunt, respective ad situm;

      sdk/openssl/rtengine/bin/fenestras-x86_64/lib/rtengine.dll
      sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll

      Aliquam ipsum. Librarii rtengine.dll, rtpkcs11ecp.dll non operantur sine rectore inauguratus pro Rutoken. Etiam, Rutoken eu lectus sit ut. (Ad Rutoken insertis omnibus quae opus sunt, priorem partem articuli vide habr.com/en/post/506450)

    • Librarii in rtengine.dll et rtpkcs11ecp.dll usquam servari possunt in ratione usoris.
    • Viae ad has bibliothecas scribimus in openssl.cfg. Ad hoc fac, tabella openssl.cfg aperi, lineam in principio fasciculi pone: 
      openssl_conf = openssl_def

      In fine tabella addere debes:

      [ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND

      dynamic_path - semitam tuam denotare debes ad bibliothecam rtengine.dll.
      MODULE_PATH - debes viam tuam ad bibliothecam rtpkcs11ecp.dll dirigere.

  7. Donec adipiscing consequat varius.

    Certo addere ambitum variabilem quae iter ad openssl.cfg configurationis limam designat. In casu meo, variabilis OPENSSL_CONF cum itinere C:Programma FilesOpenSSL-Win64binopenssl.cfg creatum est.

    In semita variabilis, iter ad folder notandum debes ubi openssl.exe sita est, in casu meo est: C: Programma FilesOpenSSL-Win64bin.

  8. Nunc redire potes ad 5 gradum et tabellas absentes crea pro directorio demoCA.
    1. Prima momenti tabella sine qua nihil opus est Vide. Haec fasciculus sine extensione, cuius valor debet esse 01. Te ipsum hunc fasciculum creare potes et 01 intus scribe. Potes etiam e Rutoken SDK deponi per viam sdk/openssl/rtengine/sempla/instrumentum/demoCA /.
      DemoCA indicis tabellam serialem continet, quae prorsus necessaria est.
    2. Radix privata clavis crea.
      Ad hoc utemur, bibliothecae openSSL praecepto, quod directe in linea mandatorum currere debet:

      openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key

    3. Radix certificatorium habemus.
      Ad hoc utere mandato sequenti bibliothecae openSSL:

      openssl req -utf8 -x509 -key ca.key -out ca.crt

      Nota quaeso quod radix clavis privata, quae in priori gradu generata est, radicem certificamenti generare requiri debet. Ideo mandatum lineae in eodem presul deduci debent.

    Omnia nunc omnia documenta desunt ad plenam directorii demoCA conformationem. Files creatas pone in directoriis in puncto 5 indicatis.

Ponemus, expletis omnibus punctis, centrum certificationis nostrae plene configurari.

In altera parte describemus quomodo cum auctoritate certificationis laboramus ad perficiendum quod descriptum est prior pars articuli.

Source: www.habr.com