Divu faktoru autentifikācija vietnē, izmantojot USB marķieri. Tagad arī Linux

В viens no mūsu iepriekšējiem rakstiem mēs runājām par divu faktoru autentifikācijas nozīmi uzņēmumu korporatīvajos portālos. Iepriekšējā reizē mēs demonstrējām, kā IIS tīmekļa serverī iestatīt drošu autentifikāciju.

Komentāros mums tika lūgts uzrakstīt instrukcijas Linux izplatītākajiem tīmekļa serveriem - nginx un Apache.

Jūs jautājat - mēs rakstījām.

Kas jums ir nepieciešams, lai sāktu?

• Jebkura mūsdienu Linux izplatīšana. Es veicu testa iestatīšanu operētājsistēmā MX Linux 18.2_x64. Tas, protams, nav servera izplatīšana, taču maz ticams, ka Debian atšķirības būs. Citos izplatījumos ceļi uz konfigurācijas bibliotēkām var nedaudz atšķirties.
• Token. Mēs turpinām izmantot modeli Rutoken EDS PKI, kas ir ideāls ātruma raksturlielumu ziņā korporatīvai lietošanai.
• Lai strādātu ar marķieri operētājsistēmā Linux, jāinstalē šādas pakotnes:
  libccid libpcsclite1 pcscd pcsc-tools opensc

Sertifikātu izsniegšana

Iepriekšējos rakstos mēs paļāvāmies uz faktu, ka servera un klienta sertifikāti tiks izsniegti, izmantojot Microsoft CA. Taču, tā kā mēs visu iestatām operētājsistēmā Linux, mēs jums pastāstīsim arī par alternatīvu veidu, kā izsniegt šos sertifikātus, neizejot no Linux.
Mēs izmantosim XCA kā CA (https://hohnstaedt.de/xca/), kas ir pieejams jebkurā modernā Linux izplatīšanā. Visas darbības, kuras mēs veiksim XCA, var veikt komandrindas režīmā, izmantojot OpenSSL un pkcs11-tool utilītas, taču lielākas vienkāršības un skaidrības labad mēs tās šajā rakstā neparādīsim.

Darba sākšana

1. Uzstādīt:

   $ apt-get install xca

2. Un mēs skrienam:

   $ xca

3. Mēs izveidojam savu datubāzi CA — /root/CA.xdb
   Mēs iesakām sertifikācijas iestādes datu bāzi saglabāt mapē, kurai ir piekļuve tikai administratoram. Tas ir svarīgi, lai aizsargātu saknes sertifikātu privātās atslēgas, kuras tiek izmantotas visu pārējo sertifikātu parakstīšanai.

Izveidojiet atslēgas un saknes CA sertifikātu

Publiskās atslēgas infrastruktūra (PKI) ir balstīta uz hierarhisku sistēmu. Galvenais šajā sistēmā ir saknes sertifikācijas iestāde vai saknes CA. Vispirms ir jāizveido tā sertifikāts.

1. Mēs izveidojam RSA-2048 privāto atslēgu CA. Lai to izdarītu, cilnē Privātās atslēgas spiediet Jauns Key un izvēlieties atbilstošo veidu.
2. Iestatiet nosaukumu jaunajam atslēgu pārim. Es to nosaucu par CA atslēgu.
3. Mēs izsniedzam pašu CA sertifikātu, izmantojot izveidoto atslēgu pāri. Lai to izdarītu, dodieties uz cilni Sertifikāti un noklikšķiniet uz Jauns sertifikāts.
4. Noteikti izvēlieties SHA-256, jo SHA-1 lietošanu vairs nevar uzskatīt par drošu.
5. Noteikti izvēlieties kā veidni [noklusējums]CA. Neaizmirstiet noklikšķināt uz Lietot visu, pretējā gadījumā veidne netiek lietota.
6. Cilnē Temats izvēlieties mūsu atslēgu pāri. Tur jūs varat aizpildīt visus galvenos sertifikāta laukus.

Atslēgu un https servera sertifikāta izveide

1. Līdzīgā veidā mēs izveidojam serverim RSA-2048 privāto atslēgu, es to saucu par servera atslēgu.
2. Veidojot sertifikātu, mēs izvēlamies, lai servera sertifikāts būtu jāparaksta ar CA sertifikātu.
3. Neaizmirstiet izvēlēties SHA-256.
4. Mēs izvēlamies kā veidni [noklusējums] HTTPS_serveris. Klikšķiniet uz Lietot visu.
5. Pēc tam cilnē Temats atlasiet mūsu atslēgu un aizpildiet nepieciešamos laukus.

Izveidojiet atslēgas un sertifikātu lietotājam

1. Lietotāja privātā atslēga tiks saglabāta mūsu pilnvarā. Lai ar to strādātu, no mūsu vietnes jāinstalē bibliotēka PKCS#11. Populārajiem izplatījumiem mēs izplatām gatavas paketes, kas atrodas šeit - https://www.rutoken.ru/support/download/pkcs/. Mums ir arī komplekti arm64, armv7el, armv7hf, e2k, mipso32el, kurus var lejupielādēt no mūsu SDK - https://www.rutoken.ru/developers/sdk/. Papildus Linux komplektiem ir arī macOS, freebsd un Android komplekti.
2. Jauna PKCS#11 nodrošinātāja pievienošana XCA. Lai to izdarītu, dodieties uz izvēlni opcijas uz cilni PKCS#11 nodrošinātājs.
3. Mēs nospiežam Pievienot un atlasiet ceļu uz PKCS#11 bibliotēku. Manā gadījumā tas ir usrliblibrtpkcs11ecp.so.
4. Mums būs nepieciešams formatēts Rutoken EDS PKI marķieris. Lejupielādējiet utilītu rtAdmin - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. Mēs veicam

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. Kā atslēgas veidu mēs izvēlamies Rutoken EDS PKI atslēgu RSA-2048. Es nosaucu šo atslēgu par klienta atslēgu.

   

7. Ievadiet PIN kodu. Un mēs gaidām atslēgu pāra aparatūras ģenerēšanas pabeigšanu

   

8. Mēs izveidojam sertifikātu lietotājam pēc analoģijas ar servera sertifikātu. Šoreiz mēs izvēlamies veidni [noklusējums] HTTPS_client un neaizmirstiet noklikšķināt Lietot visu.
9. Cilnē Temats ievadiet informāciju par lietotāju. Mēs atbildam apstiprinoši uz pieprasījumu saglabāt sertifikātu marķierim.

Tā rezultātā cilnē Sertifikāti XCA jums vajadzētu iegūt kaut ko līdzīgu šim.

Šis minimālais atslēgu un sertifikātu komplekts ir pietiekams, lai sāktu pašu serveru iestatīšanu.

Lai konfigurētu, mums ir jāeksportē CA sertifikāts, servera sertifikāts un servera privātā atslēga.

Lai to izdarītu, attiecīgajā XCA cilnē atlasiet vajadzīgo ierakstu un noklikšķiniet uz Eksportēt.

Nginx

Es nerakstīšu par to, kā instalēt un palaist nginx serveri - internetā ir pietiekami daudz rakstu par šo tēmu, nemaz nerunājot par oficiālo dokumentāciju. Sāksim uzreiz pie HTTPS un divu faktoru autentifikācijas iestatīšanas, izmantojot pilnvaru.

Pievienojiet šādas rindiņas servera sadaļai nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

Detalizētu visu parametru aprakstu, kas saistīti ar ssl konfigurēšanu nginx, var atrast šeit - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Es tikai īsi aprakstīšu tos, ko sev jautāju:

• ssl_verify_client — norāda, ka ir jāpārbauda sertifikāta uzticamības ķēde.
• ssl_verify_depth — definē uzticamā saknes sertifikāta meklēšanas dziļumu ķēdē. Tā kā mūsu klienta sertifikāts tiek nekavējoties parakstīts saknes sertifikātā, dziļums ir iestatīts uz 1. Ja lietotāja sertifikāts ir parakstīts starpposma CA, tad šajā parametrā ir jānorāda 2 utt.
• ssl_client_certificate — norāda ceļu uz uzticamo saknes sertifikātu, kas tiek izmantots, pārbaudot uzticamību lietotāja sertifikātam.
• ssl_certificate/ssl_certificate_key — norādiet ceļu uz servera sertifikātu/privāto atslēgu.

Neaizmirstiet palaist nginx -t, lai pārbaudītu, vai konfigurācijā nav drukas kļūdu un vai visi faili atrodas pareizajā vietā utt.

Un tas arī viss! Kā redzat, iestatīšana ir ļoti vienkārša.

Pārbauda, ​​vai tas darbojas pārlūkprogrammā Firefox

Tā kā mēs visu darām pilnībā Linux, mēs pieņemsim, ka mūsu lietotāji strādā arī Linux (ja viņiem ir Windows, tad skatiet norādījumus par pārlūkprogrammu iestatīšanu iepriekšējā rakstā.

1. Palaidīsim Firefox.
2. Vispirms mēģināsim pieteikties bez marķiera. Mēs iegūstam šo attēlu:

   

3. Mēs turpinām par: preferences # privātums, un mēs ejam uz Drošības ierīces…
4. Mēs nospiežam Slodzelai pievienotu jaunu PKCS#11 ierīces draiveri un norādītu ceļu uz mūsu librtpkcs11ecp.so.
5. Lai pārbaudītu, vai sertifikāts ir redzams, varat doties uz Sertifikātu pārvaldnieks. Jums tiks piedāvāts ievadīt savu PIN. Pēc pareizas ievades varat pārbaudīt, kas atrodas cilnē Jūsu sertifikāti parādījās mūsu sertifikāts no marķiera.
6. Tagad iesim ar žetonu. Firefox piedāvā izvēlēties sertifikātu, kas tiks atlasīts serverim. Izvēlieties mūsu sertifikātu.

   

7. IENĀKUMS!

   

Iestatīšana tiek veikta vienreiz, un, kā redzat sertifikāta pieprasījuma logā, mēs varam saglabāt savu izvēli. Pēc tam katru reizi, piesakoties portālā, mums būs tikai jāievieto marķieris un jāievada lietotāja PIN kods, kas tika norādīts formatēšanas laikā. Pēc šādas autentifikācijas serveris jau zina, kurš lietotājs ir pieteicies un vairs nevar izveidot nekādus papildu logus verifikācijai, bet gan uzreiz ielaist lietotāju savā personīgajā kontā.

Apache

Tāpat kā ar nginx, nevienam nevajadzētu rasties problēmām ar apache instalēšanu. Ja nezināt, kā instalēt šo tīmekļa serveri, izmantojiet oficiālo dokumentāciju.

Un mēs sākam iestatīt mūsu HTTPS un divu faktoru autentifikāciju:

1. Vispirms jāaktivizē mod_ssl:

   $ a2enmod ssl

2. Un pēc tam iespējojiet vietnes noklusējuma HTTPS iestatījumus:

   $ a2ensite default-ssl

3. Tagad mēs rediģējam konfigurācijas failu: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   Kā redzat, parametru nosaukumi praktiski sakrīt ar parametru nosaukumiem nginx, tāpēc es tos nepaskaidrošu. Atkal ikviens, kuru interesē sīkāka informācija, ir laipni aicināts iepazīties ar dokumentāciju.
   Tagad mēs restartējam mūsu serveri:

   $ service apache2 reload
   $ service apache2 restart

Kā redzat, divu faktoru autentifikācijas iestatīšana jebkurā tīmekļa serverī, neatkarīgi no tā, vai tā ir operētājsistēma Windows vai Linux, ir ne vairāk kā vienas stundas jautājums. Un pārlūkprogrammu iestatīšana aizņem apmēram 5 minūtes. Daudzi cilvēki domā, ka divu faktoru autentifikācijas iestatīšana un darbība ar to ir sarežģīta un neskaidra. Es ceru, ka mūsu raksts vismaz nedaudz atspēko šo mītu.

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai jums ir nepieciešami norādījumi par TLS iestatīšanu ar sertifikātiem saskaņā ar GOST 34.10-2012:

• Jā, TLS-GOST ir ļoti nepieciešams

• Nē, skaņošana ar GOST algoritmiem nav interesanta

Nobalsoja 44 lietotāji. 9 lietotāji atturējās.

Avots: www.habr.com