यूएसबी टोकन वापरून साइटवर द्वि-घटक प्रमाणीकरण. आता लिनक्ससाठी देखील

В आमच्या मागील लेखांपैकी एक आम्ही कंपन्यांच्या कॉर्पोरेट पोर्टलवर द्वि-घटक प्रमाणीकरणाच्या महत्त्वाबद्दल बोललो. गेल्या वेळी आम्ही IIS वेब सर्व्हरमध्ये सुरक्षित प्रमाणीकरण कसे सेट करायचे ते दाखवले.

टिप्पण्यांमध्ये, आम्हाला लिनक्स - nginx आणि Apache साठी सर्वात सामान्य वेब सर्व्हरसाठी सूचना लिहिण्यास सांगितले होते.

आपण विचारले - आम्ही लिहिले.

आपल्याला प्रारंभ करण्यासाठी काय आवश्यक आहे?

• कोणतेही आधुनिक लिनक्स वितरण. मी MX Linux 18.2_x64 वर चाचणी सेटअप केला. हे अर्थातच सर्व्हर वितरण नाही, परंतु डेबियनसाठी कोणतेही फरक असण्याची शक्यता नाही. इतर वितरणांसाठी, कॉन्फिगरेशन लायब्ररीचे मार्ग थोडेसे बदलू शकतात.
• टोकन. आम्ही मॉडेल वापरणे सुरू ठेवतो Rutoken EDS PKI, जे कॉर्पोरेट वापरासाठी गती वैशिष्ट्यांच्या दृष्टीने आदर्श आहे.
• लिनक्समध्ये टोकनसह कार्य करण्यासाठी, तुम्हाला खालील पॅकेजेस स्थापित करणे आवश्यक आहे:
  libccid libpcsclite1 pcscd pcsc-टूल्स opensc

प्रमाणपत्रे देणे

मागील लेखांमध्ये, आम्ही Microsoft CA वापरून सर्व्हर आणि क्लायंट प्रमाणपत्रे जारी केली जातील यावर अवलंबून राहिलो. परंतु आम्‍ही Linux मध्‍ये सर्वकाही सेट करत असल्‍याने, आम्‍ही तुम्‍हाला ही प्रमाणपत्रे जारी करण्‍याच्‍या पर्यायी मार्गाबद्दल देखील सांगू - Linux न सोडता.
आम्ही CA म्हणून XCA चा वापर करू.https://hohnstaedt.de/xca/), जे कोणत्याही आधुनिक लिनक्स वितरणावर उपलब्ध आहे. आम्ही XCA मध्ये करणार असलेल्या सर्व क्रिया ओपनएसएसएल आणि pkcs11-टूल युटिलिटिज वापरून कमांड लाइन मोडमध्ये केल्या जाऊ शकतात, परंतु अधिक साधेपणा आणि स्पष्टतेसाठी, आम्ही या लेखात त्या सादर करणार नाही.

प्रारंभ करणे

1. स्थापित करा:

   $ apt-get install xca

2. आणि आम्ही धावतो:

   $ xca

3. आम्ही आमचा डेटाबेस CA - /root/CA.xdb साठी तयार करतो
   आम्ही प्रमाणपत्र प्राधिकरण डेटाबेस एका फोल्डरमध्ये संचयित करण्याची शिफारस करतो जिथे केवळ प्रशासकास प्रवेश आहे. इतर सर्व प्रमाणपत्रांवर स्वाक्षरी करण्यासाठी वापरल्या जाणार्‍या रूट प्रमाणपत्रांच्या खाजगी की संरक्षित करण्यासाठी हे महत्त्वाचे आहे.

की आणि रूट CA प्रमाणपत्र तयार करा

सार्वजनिक की पायाभूत सुविधा (PKI) श्रेणीबद्ध प्रणालीवर आधारित आहे. या प्रणालीतील मुख्य गोष्ट म्हणजे रूट प्रमाणन प्राधिकरण किंवा रूट CA. त्याचे प्रमाणपत्र प्रथम तयार करणे आवश्यक आहे.

1. आम्ही CA साठी RSA-2048 खाजगी की तयार करतो. हे करण्यासाठी, टॅबवर खाजगी की ढकलणे नवीन की आणि योग्य प्रकार निवडा.
2. नवीन की जोडीसाठी नाव सेट करा. मी त्याला सीए की म्हटले.
3. तयार केलेल्या की जोडीचा वापर करून आम्ही CA प्रमाणपत्र स्वतः जारी करतो. हे करण्यासाठी, टॅबवर जा प्रमाणपत्रे आणि धक्का नवीन प्रमाणपत्र.
4. निवडण्याची खात्री करा SHA-256, कारण SHA-1 वापरणे यापुढे सुरक्षित मानले जाऊ शकत नाही.
5. टेम्पलेट म्हणून निवडण्याची खात्री करा [डिफॉल्ट] CA. क्लिक करायला विसरू नका सर्व लागू करा, अन्यथा टेम्पलेट लागू केले जात नाही.
6. टॅबमध्ये विषय आमची प्रमुख जोडी निवडा. तेथे तुम्ही प्रमाणपत्राची सर्व मुख्य फील्ड भरू शकता.

की आणि https सर्व्हर प्रमाणपत्र तयार करा

1. त्याच प्रकारे, आम्ही सर्व्हरसाठी RSA-2048 खाजगी की तयार करतो, मी त्याला सर्व्हर की म्हणतो.
2. प्रमाणपत्र तयार करताना, आम्ही निवडतो की सर्व्हर प्रमाणपत्र CA प्रमाणपत्रासह स्वाक्षरी केलेले असणे आवश्यक आहे.
3. निवडण्यास विसरू नका SHA-256.
4. आम्ही टेम्पलेट म्हणून निवडतो [डीफॉल्ट] HTTPS_server. वर क्लिक करा सर्व लागू करा.
5. मग टॅबवर विषय आमची की निवडा आणि आवश्यक फील्ड भरा.

वापरकर्त्यासाठी की आणि प्रमाणपत्र तयार करा

1. वापरकर्त्याची खाजगी की आमच्या टोकनवर संग्रहित केली जाईल. यासह कार्य करण्यासाठी, तुम्हाला आमच्या वेबसाइटवरून PKCS#11 लायब्ररी स्थापित करणे आवश्यक आहे. लोकप्रिय वितरणासाठी, आम्ही तयार पॅकेज वितरित करतो, जे येथे आहेत - https://www.rutoken.ru/support/download/pkcs/. आमच्याकडे arm64, armv7el, armv7hf, e2k, mipso32el साठी असेंब्ली देखील आहेत, ज्या आमच्या SDK वरून डाउनलोड केल्या जाऊ शकतात - https://www.rutoken.ru/developers/sdk/. Linux साठी असेंब्ली व्यतिरिक्त, macOS, freebsd आणि android साठी असेंब्ली देखील आहेत.
2. XCA मध्ये नवीन PKCS#11 प्रदाता जोडत आहे. हे करण्यासाठी, मेनूवर जा पर्याय टॅबवर PKCS#11 प्रदाता.
3. क्लिक करा जोडा आणि PKCS#11 लायब्ररीचा मार्ग निवडा. माझ्या बाबतीत ते usrliblibrtpkcs11ecp.so आहे.
4. आम्हाला फॉरमॅट केलेले रुटोकेन EDS PKI टोकन आवश्यक असेल. rtAdmin युटिलिटी डाउनलोड करा - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. आम्ही पार पाडतो

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. आम्ही की प्रकार म्हणून Rutoken EDS PKI साठी RSA-2048 की निवडतो. मी या कीला क्लायंट की म्हटले.

   

7. पिन कोड टाका. आणि आम्ही की जोडीची हार्डवेअर निर्मिती पूर्ण होण्याची वाट पाहत आहोत

   

8. आम्ही वापरकर्त्यासाठी सर्व्हर प्रमाणपत्राच्या सादृश्याने प्रमाणपत्र तयार करतो. यावेळी आपण टेम्पलेट निवडतो [डीफॉल्ट] HTTPS_client आणि क्लिक करायला विसरू नका सर्व लागू करा.
9. टॅबमध्ये विषय वापरकर्त्याबद्दल माहिती प्रविष्ट करा. टोकनसाठी प्रमाणपत्र जतन करण्याच्या विनंतीला आम्ही होकारार्थी उत्तर देतो.

परिणामी, टॅबवर .Ы XCA मध्ये तुम्हाला असे काहीतरी मिळाले पाहिजे.

की आणि प्रमाणपत्रांचा हा किमान संच सर्व्हर स्वतः सेट करणे सुरू करण्यासाठी पुरेसा आहे.

कॉन्फिगर करण्यासाठी, आम्हाला CA प्रमाणपत्र, सर्व्हर प्रमाणपत्र आणि सर्व्हर खाजगी की निर्यात करणे आवश्यक आहे.

हे करण्यासाठी, XCA मधील संबंधित टॅबवर इच्छित एंट्री निवडा आणि क्लिक करा निर्यात.

Nginx

मी nginx सर्व्हर कसा स्थापित आणि चालवायचा ते लिहिणार नाही - इंटरनेटवर या विषयावर पुरेसे लेख आहेत, अधिकृत दस्तऐवजीकरणाचा उल्लेख नाही. टोकन वापरून HTTPS आणि द्वि-घटक प्रमाणीकरण सेट करण्यासाठी सरळ जाऊ या.

nginx.conf मधील सर्व्हर विभागात खालील ओळी जोडा:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx मध्ये ssl कॉन्फिगर करण्याशी संबंधित सर्व पॅरामीटर्सचे तपशीलवार वर्णन येथे आढळू शकते - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

मी स्वतःला विचारलेल्या गोष्टींचे थोडक्यात वर्णन करेन:

• ssl_verify_client - निर्दिष्ट करते की प्रमाणपत्रासाठी ट्रस्टची साखळी सत्यापित करणे आवश्यक आहे.
• ssl_verify_depth - साखळीतील विश्वसनीय रूट प्रमाणपत्रासाठी शोध खोली परिभाषित करते. आमचे क्लायंट प्रमाणपत्र ताबडतोब रूट प्रमाणपत्रावर स्वाक्षरी केलेले असल्याने, खोली 1 वर सेट केली आहे. जर वापरकर्ता प्रमाणपत्र इंटरमीडिएट CA वर स्वाक्षरी केलेले असेल, तर या पॅरामीटरमध्ये 2 निर्दिष्ट करणे आवश्यक आहे, आणि असेच.
• ssl_client_certificate - विश्वसनीय रूट प्रमाणपत्राचा मार्ग निर्दिष्ट करते, जो वापरकर्त्याच्या प्रमाणपत्रावरील विश्वास तपासताना वापरला जातो.
• ssl_certificate/ssl_certificate_key - सर्व्हर प्रमाणपत्र/खाजगी कीचा मार्ग सूचित करा.

कॉन्फिगमध्ये कोणतेही टायपोज नाहीत आणि सर्व फाईल्स योग्य ठिकाणी आहेत हे तपासण्यासाठी nginx -t चालवण्यास विसरू नका.

आणि ते सर्व आहे! जसे आपण पाहू शकता, सेटअप अगदी सोपे आहे.

ते Firefox मध्ये काम करत आहे हे तपासत आहे

आम्ही सर्वकाही पूर्णपणे लिनक्समध्ये करत असल्याने, आम्ही असे गृहीत धरू की आमचे वापरकर्ते लिनक्समध्ये देखील काम करतात (जर त्यांच्याकडे विंडोज असेल तर मागील लेखात ब्राउझर सेट करण्यासाठी सूचना पहा.

1. चला फायरफॉक्स लाँच करूया.
2. प्रथम टोकनशिवाय लॉग इन करण्याचा प्रयत्न करूया. आम्हाला हे चित्र मिळाले:

   

3. चल जाऊया बद्दल: प्राधान्ये # गोपनीयता, आणि आम्ही जातो सुरक्षा उपकरणे…
4. क्लिक करा लोडनवीन PKCS#11 डिव्हाइस ड्रायव्हर जोडण्यासाठी आणि आमच्या librtpkcs11ecp.so चा मार्ग निर्दिष्ट करण्यासाठी.
5. प्रमाणपत्र दृश्यमान आहे हे तपासण्यासाठी, तुम्ही येथे जाऊ शकता प्रमाणपत्र व्यवस्थापक. तुम्हाला तुमचा पिन प्रविष्ट करण्यास सूचित केले जाईल. योग्य इनपुट केल्यानंतर, तुम्ही टॅबवर काय आहे ते तपासू शकता तुमची प्रमाणपत्रे टोकनवरून आमचे प्रमाणपत्र दिसून आले.
6. आता टोकन घेऊन जाऊया. फायरफॉक्स तुम्हाला सर्व्हरसाठी निवडले जाणारे प्रमाणपत्र निवडण्यास सूचित करते. आमचे प्रमाणपत्र निवडा.

   

7. लाभ!

   

सेटअप एकदाच केले जाते, आणि जसे तुम्ही प्रमाणपत्र विनंती विंडोमध्ये पाहू शकता, आम्ही आमची निवड जतन करू शकतो. यानंतर, प्रत्येक वेळी आम्ही पोर्टलमध्ये लॉग इन केल्यावर, आम्हाला फक्त एक टोकन टाकावे लागेल आणि वापरकर्ता पिन कोड प्रविष्ट करावा लागेल जो फॉरमॅटिंग दरम्यान निर्दिष्ट केला होता. अशा प्रमाणीकरणानंतर, सर्व्हरला आधीच माहित आहे की कोणत्या वापरकर्त्याने लॉग इन केले आहे आणि आपण यापुढे सत्यापनासाठी कोणत्याही अतिरिक्त विंडो तयार करू शकत नाही, परंतु वापरकर्त्यास त्याच्या वैयक्तिक खात्यात त्वरित प्रवेश करू द्या.

अपाचे

nginx प्रमाणेच, कोणालाही अपाचे स्थापित करण्यात कोणतीही अडचण येऊ नये. हा वेब सर्व्हर कसा इन्स्टॉल करायचा हे तुम्हाला माहीत नसल्यास, फक्त अधिकृत कागदपत्रे वापरा.

आणि आम्ही आमचे HTTPS आणि द्वि-घटक प्रमाणीकरण सेट करणे सुरू करतो:

1. प्रथम तुम्हाला mod_ssl सक्रिय करण्याची आवश्यकता आहे:

   $ a2enmod ssl

2. आणि नंतर साइटची डीफॉल्ट HTTPS सेटिंग्ज सक्षम करा:

   $ a2ensite default-ssl

3. आता आम्ही कॉन्फिगरेशन फाइल संपादित करू: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   जसे आपण पाहू शकता, पॅरामीटर्सची नावे व्यावहारिकपणे nginx मधील पॅरामीटर्सच्या नावांशी जुळतात, म्हणून मी त्यांचे स्पष्टीकरण करणार नाही. पुन्हा, तपशीलांमध्ये स्वारस्य असलेल्या कोणालाही दस्तऐवजीकरणात स्वागत आहे.
   आता आम्ही आमचा सर्व्हर रीस्टार्ट करतो:

   $ service apache2 reload
   $ service apache2 restart

तुम्ही बघू शकता, कोणत्याही वेब सर्व्हरवर द्वि-घटक प्रमाणीकरण सेट अप करा, मग ते Windows किंवा Linux वर, जास्तीत जास्त एक तास लागतो. आणि ब्राउझर सेट करण्यासाठी सुमारे 5 मिनिटे लागतात. बर्याच लोकांना असे वाटते की द्वि-घटक प्रमाणीकरणासह सेट करणे आणि कार्य करणे कठीण आणि अस्पष्ट आहे. मला आशा आहे की आमचा लेख हा मिथक दूर करेल, किमान थोडेसे.

केवळ नोंदणीकृत वापरकर्तेच सर्वेक्षणात भाग घेऊ शकतात. साइन इन करा, आपले स्वागत आहे.

GOST 34.10-2012 नुसार प्रमाणपत्रांसह TLS सेट करण्यासाठी तुम्हाला सूचनांची आवश्यकता आहे का:

• होय, TLS-GOST खूप आवश्यक आहे

• नाही, GOST अल्गोरिदमसह ट्यूनिंग मनोरंजक नाही

44 वापरकर्त्यांनी मतदान केले. 9 वापरकर्ते दूर राहिले.

स्त्रोत: www.habr.com