ປະສົບການໃນການນໍາໃຊ້ເຕັກໂນໂລຊີ Rutoken ສໍາລັບການລົງທະບຽນແລະອະນຸຍາດໃຫ້ຜູ້ໃຊ້ໃນລະບົບ (ສ່ວນ 3)

ມື້ທີ່ດີ!

ໃນສ່ວນທີ່ຜ່ານມາ ພວກເຮົາໄດ້ສ້າງສູນການຢັ້ງຢືນຂອງຕົນເອງຢ່າງສໍາເລັດຜົນ. ມັນເປັນປະໂຫຍດແນວໃດສໍາລັບຈຸດປະສົງຂອງພວກເຮົາ?

ການນໍາໃຊ້ອໍານາດການຢັ້ງຢືນທ້ອງຖິ່ນ, ພວກເຮົາສາມາດອອກໃບຢັ້ງຢືນແລະຍັງກວດສອບລາຍເຊັນໃນໃບຢັ້ງຢືນເຫຼົ່ານີ້.

ເມື່ອອອກໃບຢັ້ງຢືນໃຫ້ຜູ້ໃຊ້, ເຈົ້າຫນ້າທີ່ຢັ້ງຢືນໃຊ້ຄໍາຮ້ອງຂໍພິເສດສໍາລັບການອອກໃບຢັ້ງຢືນ Pkcs#10, ເຊິ່ງມີຮູບແບບໄຟລ໌ '.csr'. ຄໍາຮ້ອງຂໍນີ້ປະກອບດ້ວຍລໍາດັບທີ່ເຂົ້າລະຫັດທີ່ເຈົ້າຫນ້າທີ່ການຢັ້ງຢືນຮູ້ວິທີການວິເຄາະຢ່າງຖືກຕ້ອງ. ຄໍາຮ້ອງຂໍປະກອບມີທັງລະຫັດສາທາລະນະຂອງຜູ້ໃຊ້ແລະຂໍ້ມູນສໍາລັບການສ້າງໃບຢັ້ງຢືນ (ອາເຣທີ່ກ່ຽວຂ້ອງທີ່ມີຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້).

ພວກເຮົາຈະເບິ່ງວິທີການໄດ້ຮັບການຮ້ອງຂໍສໍາລັບໃບຢັ້ງຢືນໃນບົດຄວາມຕໍ່ໄປ, ແລະໃນບົດຄວາມນີ້ຂ້າພະເຈົ້າຕ້ອງການໃຫ້ຄໍາສັ່ງຕົ້ນຕໍຂອງອໍານາດການຢັ້ງຢືນທີ່ຈະຊ່ວຍໃຫ້ພວກເຮົາສໍາເລັດວຽກງານຂອງພວກເຮົາໃນດ້ານ backend.

ດັ່ງນັ້ນທໍາອິດພວກເຮົາຕ້ອງສ້າງໃບຢັ້ງຢືນ. ເພື່ອເຮັດສິ່ງນີ້, ພວກເຮົາໃຊ້ຄໍາສັ່ງ:

openssl ca -batch -in user.csr -out user.crt

ca ແມ່ນຄຳສັ່ງ openSSL ທີ່ກ່ຽວຂ້ອງກັບອຳນາດການຢັ້ງຢືນ,
-batch - ຍົກເລີກການຮ້ອງຂໍການຢືນຢັນເມື່ອສ້າງໃບຢັ້ງຢືນ.
user.csr — ຮ້ອງ​ຂໍ​ໃຫ້​ສ້າງ​ໃບ​ຢັ້ງ​ຢືນ (ໄຟລ​໌​ໃນ​ຮູບ​ແບບ .csr​)​.
user.crt - ໃບຢັ້ງຢືນ (ຜົນຂອງຄໍາສັ່ງ).

ເພື່ອໃຫ້ຄໍາສັ່ງນີ້ເຮັດວຽກ, ອໍານາດການຢັ້ງຢືນຕ້ອງໄດ້ຮັບການກໍາຫນົດຄ່າຢ່າງຖືກຕ້ອງຕາມທີ່ໄດ້ອະທິບາຍ ໃນສ່ວນທີ່ຜ່ານມາຂອງບົດຄວາມ. ຖ້າບໍ່ດັ່ງນັ້ນ, ທ່ານຈະຕ້ອງລະບຸສະຖານທີ່ຂອງໃບຢັ້ງຢືນຮາກຂອງເຈົ້າຫນ້າທີ່ການຢັ້ງຢືນ.

ຄໍາສັ່ງຢັ້ງຢືນໃບຢັ້ງຢືນ:

openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.file

cms ແມ່ນຄໍາສັ່ງ openSSL ທີ່ຖືກນໍາໃຊ້ສໍາລັບການເຊັນຊື່, ການກວດສອບ, ການເຂົ້າລະຫັດຂໍ້ມູນແລະການປະຕິບັດການເຂົ້າລະຫັດອື່ນໆໂດຍໃຊ້ openSSL.

-verify - ໃນກໍລະນີນີ້, ພວກເຮົາກວດສອບໃບຢັ້ງຢືນ.

authenticate.cms - ໄຟລ໌ທີ່ມີຂໍ້ມູນທີ່ເຊັນດ້ວຍໃບຢັ້ງຢືນທີ່ອອກໃຫ້ໂດຍຄໍາສັ່ງທີ່ຜ່ານມາ.

-inform PEM - ຮູບແບບ PEM ຖືກໃຊ້.

-CAfile /Users/……/demoCA/ca.crt - ເສັ້ນທາງໄປຫາໃບຢັ້ງຢືນຮາກ. (ໂດຍບໍ່ມີຄໍາສັ່ງນີ້ບໍ່ໄດ້ເຮັດວຽກສໍາລັບຂ້ອຍ, ເຖິງແມ່ນວ່າເສັ້ນທາງໄປຫາ ca.crt ຖືກຂຽນໄວ້ໃນໄຟລ໌ openssl.cfg)

-out data.file — ຂ້າ​ພະ​ເຈົ້າ​ສົ່ງ​ຂໍ້​ມູນ​ທີ່​ຖອດ​ລະ​ຫັດ​ໄປ​ຫາ​ໄຟລ​໌ data.file​.

ສູດການຄິດໄລ່ສໍາລັບການນໍາໃຊ້ອໍານາດການຢັ້ງຢືນໃນດ້ານ backend ແມ່ນດັ່ງຕໍ່ໄປນີ້:

• ການລົງທະບຽນຜູ້ໃຊ້:
  1. ພວກເຮົາໄດ້ຮັບການຮ້ອງຂໍໃຫ້ສ້າງໃບຢັ້ງຢືນແລະບັນທຶກມັນໃສ່ໄຟລ໌ user.csr.
  2. ພວກເຮົາບັນທຶກຄໍາສັ່ງທໍາອິດຂອງບົດຄວາມນີ້ໃສ່ໄຟລ໌ທີ່ມີນາມສະກຸນ .bat ຫຼື .cmd. ພວກເຮົາດໍາເນີນການໄຟລ໌ນີ້ຈາກລະຫັດ, ກ່ອນຫນ້ານີ້ໄດ້ບັນທຶກຄໍາຮ້ອງຂໍເພື່ອສ້າງໃບຢັ້ງຢືນໃຫ້ກັບໄຟລ໌ user.csr. ພວກເຮົາໄດ້ຮັບໄຟລ໌ທີ່ມີໃບຢັ້ງຢືນ user.crt.
  3. ພວກເຮົາອ່ານໄຟລ໌ user.crt ແລະສົ່ງໃຫ້ລູກຄ້າ.

• ການ​ອະ​ນຸ​ຍາດ​ຜູ້​ໃຊ້​:
  1. ພວກ​ເຮົາ​ໄດ້​ຮັບ​ຂໍ້​ມູນ​ລົງ​ນາມ​ຈາກ​ລູກ​ຄ້າ​ແລະ​ບັນ​ທຶກ​ໄວ້​ໃນ​ໄຟລ​໌ authenticate.cms​.
  2. ບັນທຶກຄໍາສັ່ງທີສອງຂອງບົດຄວາມນີ້ໃສ່ໄຟລ໌ທີ່ມີນາມສະກຸນ .bat ຫຼື .cmd. ພວກເຮົາດໍາເນີນການໄຟລ໌ນີ້ຈາກລະຫັດ, ກ່ອນຫນ້ານີ້ໄດ້ບັນທຶກຂໍ້ມູນທີ່ລົງນາມຈາກເຄື່ອງແມ່ຂ່າຍໃນ authenticate.cms. ພວກເຮົາໄດ້ຮັບໄຟລ໌ທີ່ມີການຖອດລະຫັດ data.file.
  3. ພວກເຮົາອ່ານ data.file ແລະກວດເບິ່ງຂໍ້ມູນນີ້ສໍາລັບຄວາມຖືກຕ້ອງ. ສິ່ງທີ່ຕ້ອງກວດເບິ່ງແມ່ນອະທິບາຍ ໃນບົດຄວາມທໍາອິດ. ຖ້າຂໍ້ມູນຖືກຕ້ອງ, ຫຼັງຈາກນັ້ນການອະນຸຍາດຂອງຜູ້ໃຊ້ແມ່ນຖືວ່າປະສົບຜົນສໍາເລັດ.

ເພື່ອປະຕິບັດ algorithms ເຫຼົ່ານີ້, ທ່ານສາມາດນໍາໃຊ້ພາສາການຂຽນໂປລແກລມໃດໆທີ່ຖືກນໍາໃຊ້ເພື່ອຂຽນ backend.

ໃນບົດຄວາມຕໍ່ໄປພວກເຮົາຈະເບິ່ງວິທີການເຮັດວຽກກັບ Retoken plugin.

ຂອບໃຈສໍາລັບຄວາມສົນໃຈຂອງທ່ານ!

ແຫຼ່ງຂໍ້ມູນ: www.habr.com