Salama Andeha isika hanohy ity lohahevitra ity).
Miroso aminβny ampahany azo ampiharina isika anio. Andeha isika hanomboka amin'ny fametrahana ny CA mifototra amin'ny tranomboky kriptografika openSSL feno open source. Ity algorithm ity dia nosedraina tamin'ny fampiasana windows 7.
Amin'ny fametrahana openSSL dia afaka manao asa kriptografika isan-karazany isika (toy ny famoronana fanalahidy sy mari-pankasitrahana) amin'ny alΓ lan'ny baiko.
Ny algorithm amin'ny fihetsika dia toy izao:
- Ampidino ny fizarana fametrahana openssl-1.1.1g.
OpenSSL dia manana dikan-teny samihafa. Ny antontan-taratasy momba an'i Rutoken dia nilaza fa ny openSSL version 1.1.0 na vao haingana no ilaina. Nampiasa version openssl-1.1.1g aho. Azonao atao ny misintona openSSL amin'ny tranokala ofisialy, fa ho an'ny fametrahana mora kokoa dia mila mahita ny rakitra fametrahana ho an'ny windows amin'ny net ianao. Nataoko ho anao izao:
Tsindrio ny pejy ary alaivo Win64 OpenSSL v1.1.1g EXE 63MB Installer. - Mametraka openssl-1.1.1g amin'ny solosaina.
Ny fametrahana dia tsy maintsy atao araka ny lalana mahazatra, izay aseho ho azy ao amin'ny C: Program Files folder. Ny programa dia hapetraka ao amin'ny lahatahiry OpenSSL-Win64. - Mba hametrahana ny openSSL araka izay ilainao dia misy ny rakitra openssl.cfg. Ity rakitra ity dia hita ao amin'ny lalana C:Program FilesOpenSSL-Win64bin raha nametraka openSSL araka ny voalaza ao amin'ny paragrafy teo aloha ianao. Mandehana any amin'ny lahatahiry misy openssl.cfg ary sokafy ity rakitra ity amin'ny fampiasana, ohatra, Notepad++.
- Noheverinao angamba fa hamboarina amin'ny fomba ahoana ny fahefana fanamarinana amin'ny alΓ lan'ny fanovana ny votoatin'ny rakitra openssl.cfg, ary marina tokoa ny anao. Mitaky fanamboarana ny baiko [ ca ] izany. Ao amin'ny rakitra openssl.cfg, ny fiandohan'ny lahatsoratra izay hanaovanay fanovana dia hita amin'ny hoe: [ ca ].
- Hanome ohatra momba ny toe-javatra misy ny famaritana azy aho izao:
[ ca ] default_ca = CA_default [ CA_default ] dir = /Users/username/bin/openSSLca/demoCA certs = $dir/certs crl_dir = $dir/crl database = $dir/index.txt new_certs_dir = $dir/newcerts certificate = $dir/ca.crt serial = $dir/private/serial crlnumber = $dir/crlnumber crl = $dir/crl.pem private_key = $dir/private/ca.key x509_extensions = usr_certAnkehitriny dia mila mamorona ny lahatahiry sy ny subdirectories demoCA araka ny aseho amin'ny ohatra etsy ambony. Ary apetraho ao anatin'ity lahatahiry ity eo amin'ny lalana voatondro ao amin'ny dir (manana /Users/username/bin/openSSLca/demoCA).
Tena zava-dehibe ny tsipelina tsara ny dir - ity no lalana mankany amin'ny lahatahiry izay hisy ny foibe fanamarinana anay. Ity lahatahiry ity dia tsy maintsy hita ao amin'ny /Users (izany hoe ao amin'ny kaontin'ny mpampiasa sasany). Raha mametraka an'io lahatahiry io ianao, ohatra, ao amin'ny C: Program Files, dia tsy ho hitan'ny rafitra ilay rakitra miaraka amin'ny fikandrana openssl.cfg (farafaharatsiny mba toy izany amiko).
$dir - ny lalana voalaza ao amin'ny dir dia soloina eto.
Hevi-dehibe iray hafa dia ny famoronana rakitra index.txt tsy misy na inona na inona, raha tsy misy ity rakitra ity dia tsy mandeha ny baiko "openSSL ca ...".
Mila manana fichier serial koa ianao, fanalahidin'ny fakany manokana (ca.key), taratasy fanamarinana faka (ca.crt). Ny fizotran'ny fahazoana ireo rakitra ireo dia holazaina eto ambany.
- Mampifandray ny algorithm encryption nomen'i Rutoken izahay.
Ity fifandraisana ity dia mitranga ao amin'ny rakitra openssl.cfg.- Voalohany indrindra, mila misintona ny algorithm Rutoken ilaina ianao. Ireto ny rakitra rtengine.dll, rtpkcs11ecp.dll.
Mba hanaovana izany, misintona ny Rutoken SDK: .Ny Rutoken SDK dia tsy misy afa-tsy ho an'ny mpamorona izay te hanandrana Rutoken. Misy ohatra misaraka roa amin'ny fiaraha-miasa amin'ny Rutoken amin'ny fiteny fandaharana samihafa, ary misy tranomboky sasany aseho. Ny tranomboky rtengine.dll sy rtpkcs11ecp.dll dia hita ao amin'ny Rutoken sdk, tsirairay avy, eo amin'ny toerana:
sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dllHevi-dehibe iray. Ny tranomboky rtengine.dll, rtpkcs11ecp.dll dia tsy mandeha raha tsy misy ny mpamily napetraka ho an'ny Rutoken. Tsy maintsy mifandray amin'ny solosaina ihany koa i Rutoken. (ho an'ny fametrahana izay rehetra ilainao amin'ny Rutoken, jereo ny ampahany teo aloha amin'ny lahatsoratra )
- Ny tranomboky rtengine.dll sy rtpkcs11ecp.dll dia azo tehirizina na aiza na aiza ao amin'ny kaonty mpampiasa.
- Soratanay ao amin'ny openssl.cfg ny lalana mankany amin'ireo tranomboky ireo. Mba hanaovana izany, sokafy ny rakitra openssl.cfg, apetraho eo am-piandohan'ity rakitra ity ny tsipika:
openssl_conf = openssl_defAmin'ny faran'ny rakitra dia mila manampy ianao:
[ openssl_def ] engines = engine_section [ engine_section ] rtengine = gost_section [ gost_section ] dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP default_algorithms = CIPHERS, DIGEST, PKEY, RANDdynamic_path - tsy maintsy mamaritra ny lalanao mankany amin'ny tranomboky rtengine.dll ianao.
MODULE_PATH - mila mametraka ny lalanao mankany amin'ny tranomboky rtpkcs11ecp.dll ianao.
- Voalohany indrindra, mila misintona ny algorithm Rutoken ilaina ianao. Ireto ny rakitra rtengine.dll, rtpkcs11ecp.dll.
- Manampy ny fari-piainana manodidina.
Ataovy azo antoka ny manampy fari-piainan'ny tontolo iainana izay mamaritra ny lalana mankany amin'ny fichier configuration openssl.cfg. Raha ny ahy, dia noforonina miaraka amin'ny lalana C:Program FilesOpenSSL-Win64binopenssl.cfg ny fari-piadidiana OPENSSL_CONF.
Ao amin'ny fari-dalana, tsy maintsy mamaritra ny lalana mankany amin'ny lahatahiry misy ny openssl.exe, raha ny ahy dia: C: Program FilesOpenSSL-Win64bin.
- Afaka miverina amin'ny dingana 5 ianao izao ary mamorona ny rakitra tsy hita ho an'ny lahatahiry demoCA.
- Ny rakitra manan-danja voalohany izay tsy misy na inona na inona mandeha dia serial. Ity dia rakitra tsy misy fanitarana, ny sandan'ny tokony ho 01. Azonao atao ny mamorona ity rakitra ity ary manoratra 01 ao anatiny. Azonao atao ihany koa ny misintona azy avy amin'ny Rutoken SDK amin'ny lalana sdk/openssl/rtengine/samples/tool/demoCA /.
Ny lahatahiry demoCA dia misy ny rakitra serial, izay tena ilaintsika. - Mamorona fanalahidy manokana faka.
Mba hanaovana izany dia hampiasa ny baikon'ny tranomboky openSSL izahay, izay tsy maintsy atao mivantana amin'ny tsipika baiko:openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key - Mamorona taratasy fanamarinana fototra izahay.
Mba hanaovana izany, ampiasao ity baiko openSSL library manaraka ity:openssl req -utf8 -x509 -key ca.key -out ca.crtMariho fa ny fanalahidin'ny faka tsy miankina, izay novokarina tamin'ny dingana teo aloha, dia ilaina mba hamoronana ny fanamarinana faka. Noho izany, ny tsipika baiko dia tsy maintsy alefa ao amin'ny lahatahiry iray ihany.
Ny zava-drehetra izao dia manana ny rakitra tsy hita rehetra ho an'ny fanamafisana feno ny lahatahiry demoCA. Apetraho ao amin'ny lahatahiry voalaza ao amin'ny teboka 5 ireo rakitra noforonina.
- Ny rakitra manan-danja voalohany izay tsy misy na inona na inona mandeha dia serial. Ity dia rakitra tsy misy fanitarana, ny sandan'ny tokony ho 01. Azonao atao ny mamorona ity rakitra ity ary manoratra 01 ao anatiny. Azonao atao ihany koa ny misintona azy avy amin'ny Rutoken SDK amin'ny lalana sdk/openssl/rtengine/samples/tool/demoCA /.
Heverintsika fa rehefa vita ny teboka 8 rehetra dia voarindra tanteraka ny foibe fanamarinana.
Amin'ny ampahany manaraka dia hamariparitra ny fomba hiarahantsika miasa miaraka amin'ny manampahefana fanamarinana mba hahatanteraka izay voalaza ao .
Source: www.habr.com