Fanamarinana roa sosona amin'ny tranokala amin'ny alàlan'ny famantarana USB. Ankehitriny koa ho an'ny Linux

В iray amin'ireo lahatsoratra teo aloha niresaka momba ny maha-zava-dehibe ny fanamarinana roa lafin-javatra eo amin'ny vavahadin-tseraseran'ny orinasa. Tamin'ny farany dia naneho ny fomba fametrahana fanamarinana azo antoka ao amin'ny mpizara tranonkala IIS izahay.

Ao amin'ny fanehoan-kevitra, nasaina nanoratra torolalana ho an'ny mpizara tranonkala mahazatra indrindra ho an'ny Linux - nginx sy Apache.

Nanontany ianao - nanoratra izahay.

Inona no ilainao hanombohana?

• Izay fizarana Linux maoderina rehetra. Nanao fanamboarana fitsapana tamin'ny MX Linux 18.2_x64 aho. Mazava ho azy fa tsy fizarana mpizara izany, fa tsy misy fahasamihafana amin'ny Debian. Ho an'ny fizarana hafa dia mety miovaova kely ny lalana mankany amin'ny tranomboky config.
• Token. Manohy mampiasa ny modely izahay Rutoken EDS PKI, izay mety indrindra amin'ny lafiny hafainganam-pandeha ho an'ny fampiasana orinasa.
• Raha te hiasa amin'ny marika iray amin'ny Linux ianao dia mila mametraka ireto fonosana manaraka ireto:
  libccid libpcsclite1 pcscd pcsc-fitaovana opensc

Famoahana taratasy fanamarinana

Tao amin'ny lahatsoratra teo aloha, niantehitra tamin'ny hoe havoaka amin'ny alàlan'ny Microsoft CA ny mari-pankasitrahana mpizara sy mpanjifa. Saingy satria mametraka ny zava-drehetra ao amin'ny Linux izahay, dia holazainay aminao ihany koa ny fomba hafa hamoahana ireo mari-pankasitrahana ireo - tsy miala amin'ny Linux.
Hampiasa XCA ho CA izahay (https://hohnstaedt.de/xca/), izay hita amin'ny fizarana Linux maoderina rehetra. Ny hetsika rehetra hataontsika ao amin'ny XCA dia azo atao amin'ny alàlan'ny baiko baiko amin'ny alàlan'ny fitaovana OpenSSL sy pkcs11-fitaovana, fa ho an'ny fahatsorana sy mazava kokoa dia tsy hanolotra azy ireo ato amin'ity lahatsoratra ity izahay.

fanombohana

1. Mametraka:

   $ apt-get install xca

2. Ary mihazakazaka izahay:

   $ xca

3. Mamorona tahiry ho an'ny CA - /root/CA.xdb izahay
   Manoro hevitra izahay ny hitahiry ny angon-drakitra Manampahefana momba ny fanamarinana ao anaty lahatahiry iray izay ny mpitantana ihany no afaka miditra. Zava-dehibe izany mba hiarovana ny fanalahidy manokana amin'ny fanamarinana faka, izay ampiasaina hanasoniavana ny fanamarinana hafa rehetra.

Mamorona fanalahidy sy fanamarinana CA root

Ny fotodrafitrasa fototra ho an'ny daholobe (PKI) dia mifototra amin'ny rafitra ambaratonga. Ny tena zava-dehibe amin'ity rafitra ity dia ny fahefana fanamarinana faka na faka CA. Tsy maintsy amboarina aloha ny taratasy fanamarinana azy.

1. Mamorona fanalahidy manokana RSA-2048 ho an'ny CA izahay. Mba hanaovana izany, eo amin'ny tabilao Lakile tsy miankina Atoseho Key vaovao ary fidio ny karazana mety.
2. Mametraha anarana ho an'ny mpivady fanalahidy vaovao. Nantsoiko hoe CA Key izany.
3. Izahay dia mamoaka ny mari-pankasitrahana CA, amin'ny fampiasana ilay mpivady fanalahidy noforonina. Mba hanaovana izany, mandehana any amin'ny tabilao taratasy fanamarinana ary tsindrio Taratasy vaovao.
4. Mahaiza misafidy Sha-256, satria tsy azo heverina ho azo antoka intsony ny fampiasana SHA-1.
5. Aza hadino ny misafidy ho modely [default]CA. Aza adino ny manindry Ampiharo daholo, raha tsy izany dia tsy ampiharina ny môdely.
6. Ao amin'ny tabilao Subject safidio ny mpivady fanalahidy. Any ianao dia afaka mameno ny sehatra lehibe rehetra amin'ny taratasy fanamarinana.

Mamorona fanalahidy sy fanamarinana mpizara https

1. Toy izany koa, mamorona fanalahidy manokana RSA-2048 ho an'ny mpizara izahay, nantsoiko hoe Server Key.
2. Rehefa mamorona taratasy fanamarinana dia misafidy izahay fa tsy maintsy sonia miaraka amin'ny taratasy fanamarinana CA ny taratasy fanamarinana mpizara.
3. Aza adino ny misafidy Sha-256.
4. Mifidy ho modely izahay [default] HTTPS_server. Tsindrio eo Ampiharo daholo.
5. Avy eo eo amin'ny tabilao Subject safidio ny fanalahintsika ary fenoy ny saha ilaina.

Mamorona fanalahidy sy taratasy fanamarinana ho an'ny mpampiasa

1. Ny fanalahidin'ny mpampiasa dia hotehirizina ao amin'ny token-tsika. Raha te hiasa amin'izany ianao dia mila mametraka ny tranomboky PKCS#11 avy amin'ny tranokalanay. Ho an'ny fizarana malaza dia mizara fonosana efa vita izahay, izay hita eto - https://www.rutoken.ru/support/download/pkcs/. Manana fivoriambe ihany koa izahay ho an'ny arm64, armv7el, armv7hf, e2k, mipso32el, izay azo alaina avy amin'ny SDK - https://www.rutoken.ru/developers/sdk/. Ho fanampin'ny fivoriambe ho an'ny Linux dia misy ihany koa ny fivoriambe ho an'ny macOS, freebsd ary android.
2. Manampy Mpanome PKCS#11 vaovao amin'ny XCA. Mba hanaovana izany, mandehana any amin'ny sakafo Options mankany amin'ny tabilao Mpanome PKCS#11.
3. Manindry izahay Add ary fidio ny lalana mankany amin'ny tranomboky PKCS#11. Raha ny ahy dia usrliblibrtpkcs11ecp.so.
4. Mila marika Rutoken EDS PKI misy format isika. Download ny rtAdmin utility - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. Izahay dia manatanteraka

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. Mifidy ny fanalahidy RSA-2048 ho an'ny Rutoken EDS PKI izahay ho karazana fanalahidy. Nantsoiko ity Key Client Key ity.

   

7. Ampidiro ny kaody PIN. Ary miandry ny fahavitan'ny famokarana fitaovana amin'ny mpivady fanalahidy

   

8. Mamorona taratasy fanamarinana ho an'ny mpampiasa amin'ny alàlan'ny fanoharana amin'ny taratasy fanamarinana mpizara izahay. Mifidy môdely isika amin'ity indray mitoraka ity [default] HTTPS_client ary aza adino ny manindry Ampiharo daholo.
9. Ao amin'ny tabilao Subject ampidiro fampahalalana momba ny mpampiasa. Mamaly amin'ny fanamafisana ny fangatahana hitahiry ny taratasy fanamarinana ho an'ny marika izahay.

Vokatr'izany, eo amin'ny tabilao taratasy fanamarinana ao amin'ny XCA dia tokony hahazo zavatra toy izany ianao.

Ity andiana fanalahidy sy mari-pankasitrahana kely indrindra ity dia ampy hanombohana ny fametrahana ny lohamilina.

Raha te hanamboatra dia mila manondrana ny mari-pankasitrahana CA, ny taratasy fanamarinana ny mpizara ary ny fanalahidin'ny server manokana.

Mba hanaovana izany, safidio ny fidirana tiana amin'ny tabilao mifandraika amin'ny XCA ary tsindrio Export.

Nginx

Tsy hanoratra momba ny fomba fametrahana sy fampandehanana mpizara nginx aho - ampy ny lahatsoratra momba ity lohahevitra ity ao amin'ny Internet, tsy lazaina intsony ny antontan-taratasy ofisialy. Andao hizotra mivantana amin'ny fametrahana HTTPS sy fanamarinana roa lafin-javatra mampiasa famantarana.

Ampio ireto andalana manaraka ireto amin'ny fizarana mpizara amin'ny nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

Ny famaritana amin'ny antsipiriany momba ny paramètre rehetra mifandraika amin'ny configuring ssl amin'ny nginx dia hita eto - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Holazaiko fohifohy ireo izay nanontaniako ny tenako:

• ssl_verify_client - mamaritra fa ny rojo fitokisana amin'ny taratasy fanamarinana dia mila hamarinina.
• ssl_verify_depth - Mamaritra ny halalin'ny fikarohana ho an'ny taratasy fanamarinana faka azo itokisana amin'ny rojo. Koa satria ny taratasy fanamarinana mpanjifantsika dia nosoniavina avy hatrany amin'ny taratasy fanamarinana fototra, ny halaliny dia napetraka amin'ny 1. Raha ny mari-pankasitrahana mpampiasa dia nosoniavina tamin'ny CA mpanelanelana, dia tsy maintsy 2 no voalaza ao amin'io parameter io, sy ny sisa.
• ssl_client_certificate - mamaritra ny lalana mankany amin'ny certificat root azo itokisana, izay ampiasaina rehefa manamarina ny fitokisana amin'ny taratasy fanamarinana ny mpampiasa.
• ssl_certificate/ssl_certificate_key - manondro ny lalana mankany amin'ny taratasy fanamarinana server/fanalahidy manokana.

Aza adino ny mihazakazaka nginx -t mba hanamarina fa tsy misy typos ao amin'ny config, ary ny rakitra rehetra dia eo amin'ny toerana mety, sy ny sisa.

Ary izay ihany! Araka ny hitanao, ny setup dia tena tsotra.

Manamarina fa miasa ao amin'ny Firefox izy io

Koa satria manao ny zava-drehetra tanteraka amin'ny Linux izahay, dia hihevitra izahay fa miasa amin'ny Linux koa ny mpampiasa anay (raha manana Windows izy ireo, dia jereo ny torolàlana momba ny fametrahana navigateur ao amin'ny lahatsoratra teo aloha.

1. Andao hanomboka Firefox.
2. Andao hiezaka hiditra tsy misy marika aloha. Mahazo ity sary ity izahay:

   

3. Mandeha isika about: safidinao # fiainana manokana, ary mandeha izahay Fitaovana fiarovana…
4. Manindry izahay Loadmba hanampiana mpamily fitaovana PKCS#11 vaovao ary ambarao ny lalana mankany amin'ny librtpkcs11ecp.so.
5. Mba hanamarinana fa hita ny taratasy fanamarinana dia afaka mandeha any Taratasy fanamarinana. Asaina ianao hampiditra PIN anao. Aorian'ny fampidirana marina dia azonao atao ny manamarina izay eo amin'ny tabilao Ny mari-pankasitrahana anao nipoitra ny taratasy fanamarinana avy amin'ny marika.
6. Andeha hojerentsika ny famantarana. Firefox dia manasa anao hisafidy taratasy fanamarinana izay hofantenana ho an'ny mpizara. Fidio ny taratasy fanamarinanay.

   

7. MAHASOA!

   

Vita indray mandeha ny fanamboarana, ary araka ny hitanao eo amin'ny varavarankely fangatahana fanamarinana, dia afaka mitahiry ny safidintsika isika. Aorian'izany, isaky ny miditra ao amin'ny vavahadin-tserasera isika dia mila mampiditra marika fotsiny ary ampidiro ny kaody PIN mpampiasa izay voafaritra nandritra ny fandrafetana. Aorian'ny fanamarinana toy izany dia efa fantatry ny mpizara izay mpampiasa niditra ary tsy afaka mamorona varavarankely fanampiny ho an'ny fanamarinana intsony ianao, fa avelao avy hatrany ny mpampiasa hiditra ao amin'ny kaontiny manokana.

Apache

Tahaka ny amin'ny nginx, tsy misy tokony hanana olana amin'ny fametrahana apache. Raha tsy hainao ny fametrahana ity mpizara tranonkala ity dia ampiasao fotsiny ny antontan-taratasy ofisialy.

Ary manomboka manangana ny HTTPS sy ny fanamarinana roa izahay:

1. Voalohany dia mila manetsika mod_ssl ianao:

   $ a2enmod ssl

2. Ary avy eo dia avelao ny fikandrana HTTPS default an'ny tranokala:

   $ a2ensite default-ssl

3. Amin'izao fotoana izao dia manitsy ny rakitra fanamafisana: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   Araka ny hitanao, ny anaran'ny masontsivana dia mifanandrify amin'ny anaran'ny paramètre amin'ny nginx, ka tsy hanazava azy ireo aho. Averina indray, izay liana amin'ny antsipiriany dia tongasoa eto amin'ny antontan-taratasy.
   Amin'izao fotoana izao dia manomboka ny servery izahay:

   $ service apache2 reload
   $ service apache2 restart

Araka ny hitanao, mila adiny iray ny fametrahana fanamarinana roa-antony amin'ny mpizara tranonkala rehetra, na amin'ny Windows na Linux. Ary mila 5 minitra eo ho eo ny fametrahana navigateur. Olona maro no mihevitra fa sarotra sy tsy mazava ny fametrahana sy ny fiasana amin'ny fanamarinana roa lafin-javatra. Manantena aho fa ny lahatsoratsika dia manala an'io angano io, farafaharatsiny.

Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. HiditraPlease.

Mila torolàlana momba ny fametrahana TLS miaraka amin'ny taratasy fanamarinana araka ny GOST 34.10-2012 ve ianao:

• Eny, tena ilaina ny TLS-GOST

• Tsia, tsy mahaliana ny fampifanarahana amin'ny algorithm GOST

Mpampiasa 44 no nifidy. Mpampiasa 9 no nifady.

Source: www.habr.com