🥇സിസ്റ്റത്തിൽ ഉപയോക്താക്കളെ രജിസ്റ്റർ ചെയ്യുന്നതിനും അംഗീകരിക്കുന്നതിനും Rutoken സാങ്കേതികവിദ്യ ഉപയോഗിച്ചതിന്റെ അനുഭവം (ഭാഗം 2)

ഗുഡ് ആഫ്റ്റർനൂൺ ഈ വിഷയത്തിൽ നമുക്ക് തുടരാംമുൻ ഭാഗം ലിങ്കിൽ കാണാം).

ഇന്ന് നമ്മൾ പ്രായോഗിക ഭാഗത്തേക്ക് പോകുന്നു. പൂർണ്ണമായ ഓപ്പൺ സോഴ്‌സ് ക്രിപ്‌റ്റോഗ്രാഫിക് ലൈബ്രറി openSSL അടിസ്ഥാനമാക്കി നമ്മുടെ CA സജ്ജീകരിച്ചുകൊണ്ട് നമുക്ക് ആരംഭിക്കാം. വിൻഡോസ് 7 ഉപയോഗിച്ച് ഈ അൽഗോരിതം പരീക്ഷിച്ചു.

ഓപ്പൺഎസ്എസ്എൽ ഇൻസ്റ്റാൾ ചെയ്താൽ, കമാൻഡ് ലൈൻ വഴി നമുക്ക് വിവിധ ക്രിപ്റ്റോഗ്രാഫിക് പ്രവർത്തനങ്ങൾ (കീകളും സർട്ടിഫിക്കറ്റുകളും സൃഷ്ടിക്കുന്നത് പോലുള്ളവ) ചെയ്യാൻ കഴിയും.

പ്രവർത്തനങ്ങളുടെ അൽഗോരിതം ഇപ്രകാരമാണ്:

ഇൻസ്റ്റലേഷൻ ഡിസ്ട്രിബ്യൂഷൻ openssl-1.1.1g ഡൗൺലോഡ് ചെയ്യുക.
openSSL-ന് വ്യത്യസ്ത പതിപ്പുകളുണ്ട്. Rutoken-നുള്ള ഡോക്യുമെന്റേഷൻ ഓപ്പൺഎസ്എസ്എൽ പതിപ്പ് 1.1.0 അല്ലെങ്കിൽ പുതിയത് ആവശ്യമാണെന്ന് പറഞ്ഞു. ഞാൻ openssl-1.1.1g പതിപ്പ് ഉപയോഗിച്ചു. നിങ്ങൾക്ക് ഔദ്യോഗിക സൈറ്റിൽ നിന്ന് openSSL ഡൗൺലോഡ് ചെയ്യാം, എന്നാൽ എളുപ്പമുള്ള ഇൻസ്റ്റാളേഷനായി, നിങ്ങൾ നെറ്റിൽ വിൻഡോകൾക്കായുള്ള ഇൻസ്റ്റാളേഷൻ ഫയൽ കണ്ടെത്തേണ്ടതുണ്ട്. ഞാൻ നിങ്ങൾക്കായി ഇത് ചെയ്തു: slproweb.com/products/Win32OpenSSL.html
പേജ് താഴേക്ക് സ്ക്രോൾ ചെയ്ത് Win64 OpenSSL v1.1.1g EXE 63MB ഇൻസ്റ്റാളർ ഡൗൺലോഡ് ചെയ്യുക.
കമ്പ്യൂട്ടറിൽ openssl-1.1.1g ഇൻസ്റ്റാൾ ചെയ്യുക.
സി: പ്രോഗ്രാം ഫയലുകൾ ഫോൾഡറിൽ യാന്ത്രികമായി സൂചിപ്പിച്ചിരിക്കുന്ന സ്റ്റാൻഡേർഡ് പാത്ത് അനുസരിച്ച് ഇൻസ്റ്റാളേഷൻ നടത്തണം. പ്രോഗ്രാം OpenSSL-Win64 ഫോൾഡറിൽ ഇൻസ്റ്റാൾ ചെയ്യപ്പെടും.
നിങ്ങൾക്ക് ആവശ്യമുള്ള രീതിയിൽ openSSL സജ്ജീകരിക്കുന്നതിന്, openssl.cfg ഫയൽ ഉണ്ട്. മുമ്പത്തെ ഖണ്ഡികയിൽ വിവരിച്ചിരിക്കുന്നതുപോലെ നിങ്ങൾ openSSL ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടെങ്കിൽ, ഈ ഫയൽ C:\Program Files\OpenSSL-Win64bin പാതയിലാണ് സ്ഥിതി ചെയ്യുന്നത്. openssl.cfg സംഭരിച്ചിരിക്കുന്ന ഫോൾഡറിലേക്ക് പോയി ഈ ഫയൽ തുറക്കുക, ഉദാഹരണത്തിന്, Notepad++.
openssl.cfg ഫയലിന്റെ ഉള്ളടക്കം മാറ്റിക്കൊണ്ട് സർട്ടിഫിക്കേഷൻ അതോറിറ്റി എങ്ങനെയെങ്കിലും കോൺഫിഗർ ചെയ്യപ്പെടുമെന്ന് നിങ്ങൾ ഊഹിച്ചിരിക്കാം, നിങ്ങൾ പറഞ്ഞത് തികച്ചും ശരിയാണ്. ഇതിന് [ca ] കമാൻഡിന്റെ ഇഷ്‌ടാനുസൃതമാക്കൽ ആവശ്യമാണ്. openssl.cfg ഫയലിൽ, ഞങ്ങൾ മാറ്റങ്ങൾ വരുത്തുന്ന വാചകത്തിന്റെ തുടക്കം ഇങ്ങനെ കാണാം: [ca ].
ഇപ്പോൾ ഞാൻ ഒരു ക്രമീകരണത്തിന്റെ ഒരു ഉദാഹരണം അതിന്റെ വിവരണത്തോടൊപ്പം നൽകും:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
മുകളിലുള്ള ഉദാഹരണത്തിൽ കാണിച്ചിരിക്കുന്നതുപോലെ ഇപ്പോൾ നമ്മൾ demoCA ഡയറക്ടറിയും ഉപഡയറക്‌ടറികളും സൃഷ്‌ടിക്കേണ്ടതുണ്ട്. കൂടാതെ അത് ഈ ഡയറക്‌ടറിയിൽ dir-ൽ വ്യക്തമാക്കിയ പാതയിൽ സ്ഥാപിക്കുക (എനിക്ക് /Users/username/bin/openSSLca/demoCA ഉണ്ട്).

dir ശരിയായി ഉച്ചരിക്കുന്നത് വളരെ പ്രധാനമാണ് - ഇത് ഞങ്ങളുടെ സർട്ടിഫിക്കേഷൻ സെന്റർ സ്ഥിതി ചെയ്യുന്ന ഡയറക്ടറിയിലേക്കുള്ള പാതയാണ്. ഈ ഡയറക്‌ടറി/ഉപയോക്താക്കൾ (അതായത്, ചില ഉപയോക്താവിന്റെ അക്കൗണ്ടിൽ) സ്ഥിതിചെയ്യണം. നിങ്ങൾ ഈ ഡയറക്‌ടറി സ്ഥാപിക്കുകയാണെങ്കിൽ, ഉദാഹരണത്തിന്, C: പ്രോഗ്രാം ഫയലുകളിൽ, openssl.cfg ക്രമീകരണങ്ങളുള്ള ഫയൽ സിസ്റ്റം കാണില്ല (കുറഞ്ഞത് എനിക്ക് അത് അങ്ങനെയായിരുന്നു).

$dir - dir-ൽ വ്യക്തമാക്കിയ പാത ഇവിടെ പകരം വയ്ക്കുന്നു.

മറ്റൊരു പ്രധാന കാര്യം ഒരു ശൂന്യമായ index.txt ഫയൽ സൃഷ്ടിക്കുക എന്നതാണ്, ഈ ഫയൽ ഇല്ലാതെ "openSSL ca ..." കമാൻഡുകൾ പ്രവർത്തിക്കില്ല.

നിങ്ങൾക്ക് ഒരു സീരിയൽ ഫയൽ, ഒരു റൂട്ട് പ്രൈവറ്റ് കീ (ca.key), ഒരു റൂട്ട് സർട്ടിഫിക്കറ്റ് (ca.crt) എന്നിവയും ഉണ്ടായിരിക്കണം. ഈ ഫയലുകൾ നേടുന്നതിനുള്ള പ്രക്രിയ താഴെ വിവരിക്കും.
Rutoken നൽകുന്ന എൻക്രിപ്ഷൻ അൽഗോരിതം ഞങ്ങൾ ബന്ധിപ്പിക്കുന്നു.
ഈ കണക്ഷൻ openssl.cfg ഫയലിൽ നടക്കുന്നു.
- ഒന്നാമതായി, നിങ്ങൾ ആവശ്യമായ Rutoken അൽഗോരിതങ്ങൾ ഡൗൺലോഡ് ചെയ്യേണ്ടതുണ്ട്. ഇവയാണ് rtengine.dll, rtpkcs11ecp.dll ഫയലുകൾ.
  ഇത് ചെയ്യുന്നതിന്, Rutoken SDK ഡൗൺലോഡ് ചെയ്യുക: www.rutoken.ru/developers/sdk.
  
  Rutoken പരീക്ഷിക്കാൻ ആഗ്രഹിക്കുന്ന ഡെവലപ്പർമാർക്കായി Rutoken SDK മാത്രമാണുള്ളത്. വ്യത്യസ്‌ത പ്രോഗ്രാമിംഗ് ഭാഷകളിൽ Rutoken ഉപയോഗിച്ച് പ്രവർത്തിക്കുന്നതിന് രണ്ട് പ്രത്യേക ഉദാഹരണങ്ങളുണ്ട്, കൂടാതെ ചില ലൈബ്രറികൾ അവതരിപ്പിക്കുന്നു. ഞങ്ങളുടെ ലൈബ്രറികൾ rtengine.dll, rtpkcs11ecp.dll എന്നിവ യഥാക്രമം Rutoken sdk-ൽ സ്ഥിതിചെയ്യുന്നു:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  വളരെ പ്രധാനപ്പെട്ട ഒരു പോയിന്റ്. Rutoken-നായി ഇൻസ്റ്റാൾ ചെയ്ത ഡ്രൈവർ ഇല്ലാതെ rtengine.dll, rtpkcs11ecp.dll ലൈബ്രറികൾ പ്രവർത്തിക്കില്ല. കൂടാതെ Rutoken കമ്പ്യൂട്ടറുമായി ബന്ധിപ്പിച്ചിരിക്കണം. (Rutoken-ന് ആവശ്യമായതെല്ലാം ഇൻസ്റ്റാൾ ചെയ്യുന്നതിന്, ലേഖനത്തിന്റെ മുൻഭാഗം കാണുക habr.com/en/post/506450)
- rtengine.dll, rtpkcs11ecp.dll ലൈബ്രറികൾ ഉപയോക്തൃ അക്കൗണ്ടിൽ എവിടെയും സൂക്ഷിക്കാം.
- ഈ ലൈബ്രറികളിലേക്കുള്ള പാതകൾ ഞങ്ങൾ openssl.cfg-ൽ എഴുതുന്നു. ഇത് ചെയ്യുന്നതിന്, openssl.cfg ഫയൽ തുറക്കുക, ഈ ഫയലിന്റെ തുടക്കത്തിൽ ലൈൻ ഇടുക:
```
openssl_conf = openssl_def
```
  ഫയലിന്റെ അവസാനം നിങ്ങൾ ചേർക്കേണ്ടതുണ്ട്:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - rtengine.dll ലൈബ്രറിയിലേക്കുള്ള നിങ്ങളുടെ പാത നിങ്ങൾ വ്യക്തമാക്കണം.
  MODULE_PATH - നിങ്ങളുടെ പാത rtpkcs11ecp.dll ലൈബ്രറിയിലേക്ക് സജ്ജീകരിക്കേണ്ടതുണ്ട്.
പരിസ്ഥിതി വേരിയബിളുകൾ ചേർക്കുന്നു.
openssl.cfg കോൺഫിഗറേഷൻ ഫയലിലേക്കുള്ള പാത വ്യക്തമാക്കുന്ന ഒരു എൻവയോൺമെന്റ് വേരിയബിൾ ചേർക്കുന്നത് ഉറപ്പാക്കുക. എന്റെ കാര്യത്തിൽ, OPENSSL_CONF വേരിയബിൾ സൃഷ്ടിച്ചത് C:Program FilesOpenSSL-Win64binopenssl.cfg എന്ന പാത ഉപയോഗിച്ചാണ്.

പാത്ത് വേരിയബിളിൽ, openssl.exe സ്ഥിതിചെയ്യുന്ന ഫോൾഡറിലേക്കുള്ള പാത നിങ്ങൾ വ്യക്തമാക്കണം, എന്റെ കാര്യത്തിൽ ഇത്: C: Program FilesOpenSSL-Win64bin.
ഇപ്പോൾ നിങ്ങൾക്ക് 5-ാം ഘട്ടത്തിലേക്ക് തിരികെ പോയി demoCA ഡയറക്‌ടറിക്കായി നഷ്‌ടമായ ഫയലുകൾ സൃഷ്‌ടിക്കാം.
1. ഒന്നും പ്രവർത്തിക്കാത്ത ആദ്യത്തെ പ്രധാനപ്പെട്ട ഫയൽ സീരിയലാണ്. ഇത് ഒരു വിപുലീകരണമില്ലാത്ത ഫയലാണ്, അതിന്റെ മൂല്യം 01 ആയിരിക്കണം. നിങ്ങൾക്ക് ഈ ഫയൽ സ്വയം സൃഷ്‌ടിച്ച് അകത്ത് 01 എഴുതാം. Rutoken SDK-ൽ നിന്ന് sdk/openssl/rtengine/samples/tool/demoCA എന്ന പാതയിലൂടെ നിങ്ങൾക്ക് ഇത് ഡൗൺലോഡ് ചെയ്യാം. /.
  demoCA ഡയറക്‌ടറിയിൽ സീരിയൽ ഫയൽ അടങ്ങിയിരിക്കുന്നു, അതാണ് നമുക്ക് വേണ്ടത്.
2. ഒരു റൂട്ട് പ്രൈവറ്റ് കീ ഉണ്ടാക്കുക.
  ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾ openSSL ലൈബ്രറി കമാൻഡ് ഉപയോഗിക്കും, അത് കമാൻഡ് ലൈനിൽ നേരിട്ട് പ്രവർത്തിപ്പിക്കേണ്ടതാണ്:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. ഞങ്ങൾ ഒരു റൂട്ട് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നു.
  ഇത് ചെയ്യുന്നതിന്, ഇനിപ്പറയുന്ന openSSL ലൈബ്രറി കമാൻഡ് ഉപയോഗിക്കുക:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  റൂട്ട് സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നതിന് മുമ്പത്തെ ഘട്ടത്തിൽ സൃഷ്ടിച്ച റൂട്ട് പ്രൈവറ്റ് കീ ആവശ്യമാണെന്ന കാര്യം ശ്രദ്ധിക്കുക. അതിനാൽ, അതേ ഡയറക്ടറിയിൽ കമാൻഡ് ലൈൻ സമാരംഭിക്കേണ്ടതാണ്.
ഡെമോസിഎ ഡയറക്‌ടറിയുടെ സമ്പൂർണ്ണ കോൺഫിഗറേഷനായി എല്ലാത്തിനും ഇപ്പോൾ എല്ലാ നഷ്‌ടമായ ഫയലുകളും ഉണ്ട്. പോയിന്റ് 5 ൽ സൂചിപ്പിച്ചിരിക്കുന്ന ഡയറക്ടറികളിൽ സൃഷ്ടിച്ച ഫയലുകൾ സ്ഥാപിക്കുക.

എല്ലാ 8 പോയിന്റുകളും പൂർത്തിയാക്കിയ ശേഷം, ഞങ്ങളുടെ സർട്ടിഫിക്കേഷൻ സെന്റർ പൂർണ്ണമായി കോൺഫിഗർ ചെയ്തതായി ഞങ്ങൾ അനുമാനിക്കും.

അടുത്ത ഭാഗത്ത്, സർട്ടിഫിക്കേഷൻ അതോറിറ്റിയുമായി ഞങ്ങൾ എങ്ങനെ പ്രവർത്തിക്കുമെന്ന് ഞാൻ വിവരിച്ചിരിക്കുന്നു. ലേഖനത്തിന്റെ മുൻ ഭാഗം.

അവലംബം: www.habr.com

ഒരു അഭിപ്രായം ചേർക്കുക മറുപടി റദ്ദാക്കാൻ

ഒരു അഭിപ്രായം ചേർക്കുക