ProHoster > Blog > fitantanan-draharaha > Fanamarinana roa sosona amin'ny tranokala amin'ny alàlan'ny famantarana USB. Ankehitriny koa ho an'ny Linux
Fanamarinana roa sosona amin'ny tranokala amin'ny alàlan'ny famantarana USB. Ankehitriny koa ho an'ny Linux
В iray amin'ireo lahatsoratra teo aloha niresaka momba ny maha-zava-dehibe ny fanamarinana roa lafin-javatra eo amin'ny vavahadin-tseraseran'ny orinasa. Tamin'ny farany dia naneho ny fomba fametrahana fanamarinana azo antoka ao amin'ny mpizara tranonkala IIS izahay.
Ao amin'ny fanehoan-kevitra, nasaina nanoratra torolalana ho an'ny mpizara tranonkala mahazatra indrindra ho an'ny Linux - nginx sy Apache.
Nanontany ianao - nanoratra izahay.
Inona no ilainao hanombohana?
Izay fizarana Linux maoderina rehetra. Nanao fanamboarana fitsapana tamin'ny MX Linux 18.2_x64 aho. Mazava ho azy fa tsy fizarana mpizara izany, fa tsy misy fahasamihafana amin'ny Debian. Ho an'ny fizarana hafa dia mety miovaova kely ny lalana mankany amin'ny tranomboky config.
Token. Manohy mampiasa ny modely izahay Rutoken EDS PKI, izay mety indrindra amin'ny lafiny hafainganam-pandeha ho an'ny fampiasana orinasa.
Raha te hiasa amin'ny marika iray amin'ny Linux ianao dia mila mametraka ireto fonosana manaraka ireto:
libccid libpcsclite1 pcscd pcsc-fitaovana opensc
Famoahana taratasy fanamarinana
Tao amin'ny lahatsoratra teo aloha, niantehitra tamin'ny hoe havoaka amin'ny alàlan'ny Microsoft CA ny mari-pankasitrahana mpizara sy mpanjifa. Saingy satria mametraka ny zava-drehetra ao amin'ny Linux izahay, dia holazainay aminao ihany koa ny fomba hafa hamoahana ireo mari-pankasitrahana ireo - tsy miala amin'ny Linux.
Hampiasa XCA ho CA izahay (https://hohnstaedt.de/xca/), izay hita amin'ny fizarana Linux maoderina rehetra. Ny hetsika rehetra hataontsika ao amin'ny XCA dia azo atao amin'ny alàlan'ny baiko baiko amin'ny alàlan'ny fitaovana OpenSSL sy pkcs11-fitaovana, fa ho an'ny fahatsorana sy mazava kokoa dia tsy hanolotra azy ireo ato amin'ity lahatsoratra ity izahay.
fanombohana
Mametraka:
$ apt-get install xca
Ary mihazakazaka izahay:
$ xca
Mamorona tahiry ho an'ny CA - /root/CA.xdb izahay
Manoro hevitra izahay ny hitahiry ny angon-drakitra Manampahefana momba ny fanamarinana ao anaty lahatahiry iray izay ny mpitantana ihany no afaka miditra. Zava-dehibe izany mba hiarovana ny fanalahidy manokana amin'ny fanamarinana faka, izay ampiasaina hanasoniavana ny fanamarinana hafa rehetra.
Mamorona fanalahidy sy fanamarinana CA root
Ny fotodrafitrasa fototra ho an'ny daholobe (PKI) dia mifototra amin'ny rafitra ambaratonga. Ny tena zava-dehibe amin'ity rafitra ity dia ny fahefana fanamarinana faka na faka CA. Tsy maintsy amboarina aloha ny taratasy fanamarinana azy.
Mamorona fanalahidy manokana RSA-2048 ho an'ny CA izahay. Mba hanaovana izany, eo amin'ny tabilao Lakile tsy miankina Atoseho Key vaovao ary fidio ny karazana mety.
Mametraha anarana ho an'ny mpivady fanalahidy vaovao. Nantsoiko hoe CA Key izany.
Izahay dia mamoaka ny mari-pankasitrahana CA, amin'ny fampiasana ilay mpivady fanalahidy noforonina. Mba hanaovana izany, mandehana any amin'ny tabilao taratasy fanamarinana ary tsindrio Taratasy vaovao.
Mahaiza misafidy Sha-256, satria tsy azo heverina ho azo antoka intsony ny fampiasana SHA-1.
Aza hadino ny misafidy ho modely [default]CA. Aza adino ny manindry Ampiharo daholo, raha tsy izany dia tsy ampiharina ny môdely.
Ao amin'ny tabilao Subject safidio ny mpivady fanalahidy. Any ianao dia afaka mameno ny sehatra lehibe rehetra amin'ny taratasy fanamarinana.
Mamorona fanalahidy sy fanamarinana mpizara https
Toy izany koa, mamorona fanalahidy manokana RSA-2048 ho an'ny mpizara izahay, nantsoiko hoe Server Key.
Rehefa mamorona taratasy fanamarinana dia misafidy izahay fa tsy maintsy sonia miaraka amin'ny taratasy fanamarinana CA ny taratasy fanamarinana mpizara.
Aza adino ny misafidy Sha-256.
Mifidy ho modely izahay [default] HTTPS_server. Tsindrio eo Ampiharo daholo.
Avy eo eo amin'ny tabilao Subject safidio ny fanalahintsika ary fenoy ny saha ilaina.
Mamorona fanalahidy sy taratasy fanamarinana ho an'ny mpampiasa
Ny fanalahidin'ny mpampiasa dia hotehirizina ao amin'ny token-tsika. Raha te hiasa amin'izany ianao dia mila mametraka ny tranomboky PKCS#11 avy amin'ny tranokalanay. Ho an'ny fizarana malaza dia mizara fonosana efa vita izahay, izay hita eto - https://www.rutoken.ru/support/download/pkcs/. Manana fivoriambe ihany koa izahay ho an'ny arm64, armv7el, armv7hf, e2k, mipso32el, izay azo alaina avy amin'ny SDK - https://www.rutoken.ru/developers/sdk/. Ho fanampin'ny fivoriambe ho an'ny Linux dia misy ihany koa ny fivoriambe ho an'ny macOS, freebsd ary android.
Manampy Mpanome PKCS#11 vaovao amin'ny XCA. Mba hanaovana izany, mandehana any amin'ny sakafo Options mankany amin'ny tabilao Mpanome PKCS#11.
Manindry izahay Add ary fidio ny lalana mankany amin'ny tranomboky PKCS#11. Raha ny ahy dia usrliblibrtpkcs11ecp.so.
Ao amin'ny tabilao Subject ampidiro fampahalalana momba ny mpampiasa. Mamaly amin'ny fanamafisana ny fangatahana hitahiry ny taratasy fanamarinana ho an'ny marika izahay.
Vokatr'izany, eo amin'ny tabilao taratasy fanamarinana ao amin'ny XCA dia tokony hahazo zavatra toy izany ianao.
Ity andiana fanalahidy sy mari-pankasitrahana kely indrindra ity dia ampy hanombohana ny fametrahana ny lohamilina.
Raha te hanamboatra dia mila manondrana ny mari-pankasitrahana CA, ny taratasy fanamarinana ny mpizara ary ny fanalahidin'ny server manokana.
Mba hanaovana izany, safidio ny fidirana tiana amin'ny tabilao mifandraika amin'ny XCA ary tsindrio Export.
Nginx
Tsy hanoratra momba ny fomba fametrahana sy fampandehanana mpizara nginx aho - ampy ny lahatsoratra momba ity lohahevitra ity ao amin'ny Internet, tsy lazaina intsony ny antontan-taratasy ofisialy. Andao hizotra mivantana amin'ny fametrahana HTTPS sy fanamarinana roa lafin-javatra mampiasa famantarana.
Holazaiko fohifohy ireo izay nanontaniako ny tenako:
ssl_verify_client - mamaritra fa ny rojo fitokisana amin'ny taratasy fanamarinana dia mila hamarinina.
ssl_verify_depth - Mamaritra ny halalin'ny fikarohana ho an'ny taratasy fanamarinana faka azo itokisana amin'ny rojo. Koa satria ny taratasy fanamarinana mpanjifantsika dia nosoniavina avy hatrany amin'ny taratasy fanamarinana fototra, ny halaliny dia napetraka amin'ny 1. Raha ny mari-pankasitrahana mpampiasa dia nosoniavina tamin'ny CA mpanelanelana, dia tsy maintsy 2 no voalaza ao amin'io parameter io, sy ny sisa.
ssl_client_certificate - mamaritra ny lalana mankany amin'ny certificat root azo itokisana, izay ampiasaina rehefa manamarina ny fitokisana amin'ny taratasy fanamarinana ny mpampiasa.
Mba hanamarinana fa hita ny taratasy fanamarinana dia afaka mandeha any Taratasy fanamarinana. Asaina ianao hampiditra PIN anao. Aorian'ny fampidirana marina dia azonao atao ny manamarina izay eo amin'ny tabilao Ny mari-pankasitrahana anao nipoitra ny taratasy fanamarinana avy amin'ny marika.
Andeha hojerentsika ny famantarana. Firefox dia manasa anao hisafidy taratasy fanamarinana izay hofantenana ho an'ny mpizara. Fidio ny taratasy fanamarinanay.
MAHASOA!
Vita indray mandeha ny fanamboarana, ary araka ny hitanao eo amin'ny varavarankely fangatahana fanamarinana, dia afaka mitahiry ny safidintsika isika. Aorian'izany, isaky ny miditra ao amin'ny vavahadin-tserasera isika dia mila mampiditra marika fotsiny ary ampidiro ny kaody PIN mpampiasa izay voafaritra nandritra ny fandrafetana. Aorian'ny fanamarinana toy izany dia efa fantatry ny mpizara izay mpampiasa niditra ary tsy afaka mamorona varavarankely fanampiny ho an'ny fanamarinana intsony ianao, fa avelao avy hatrany ny mpampiasa hiditra ao amin'ny kaontiny manokana.
Apache
Tahaka ny amin'ny nginx, tsy misy tokony hanana olana amin'ny fametrahana apache. Raha tsy hainao ny fametrahana ity mpizara tranonkala ity dia ampiasao fotsiny ny antontan-taratasy ofisialy.
Ary manomboka manangana ny HTTPS sy ny fanamarinana roa izahay:
Voalohany dia mila manetsika mod_ssl ianao:
$ a2enmod ssl
Ary avy eo dia avelao ny fikandrana HTTPS default an'ny tranokala:
$ a2ensite default-ssl
Amin'izao fotoana izao dia manitsy ny rakitra fanamafisana: /etc/apache2/sites-enabled/default-ssl.conf:
SSLEngine on
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/sites-enabled/Server.crt
SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
SSLVerifyClient require
SSLVerifyDepth 10
Araka ny hitanao, ny anaran'ny masontsivana dia mifanandrify amin'ny anaran'ny paramètre amin'ny nginx, ka tsy hanazava azy ireo aho. Averina indray, izay liana amin'ny antsipiriany dia tongasoa eto amin'ny antontan-taratasy.
Amin'izao fotoana izao dia manomboka ny servery izahay:
$ service apache2 reload
$ service apache2 restart
Araka ny hitanao, mila adiny iray ny fametrahana fanamarinana roa-antony amin'ny mpizara tranonkala rehetra, na amin'ny Windows na Linux. Ary mila 5 minitra eo ho eo ny fametrahana navigateur. Olona maro no mihevitra fa sarotra sy tsy mazava ny fametrahana sy ny fiasana amin'ny fanamarinana roa lafin-javatra. Manantena aho fa ny lahatsoratsika dia manala an'io angano io, farafaharatsiny.