🥇 सिस्टममध्ये वापरकर्त्यांची नोंदणी आणि अधिकृत करण्यासाठी रुटोकेन तंत्रज्ञान वापरण्याचा अनुभव (भाग 2)

शुभ दुपार चला या विषयासह पुढे जाऊयामागील भाग लिंकवर मिळेल).

आज आपण व्यावहारिक भागाकडे वळू. पूर्ण विकसित ओपन सोर्स क्रिप्टोग्राफिक लायब्ररी openSSL वर आधारित आमचे CA सेट करून सुरुवात करूया. हे अल्गोरिदम विंडोज ७ वापरून तपासले गेले आहे.

ओपनएसएसएल स्थापित केल्यावर, आम्ही कमांड लाइनद्वारे विविध क्रिप्टोग्राफिक ऑपरेशन्स (जसे की की आणि प्रमाणपत्रे तयार करणे) करू शकतो.

क्रियांचा अल्गोरिदम खालीलप्रमाणे आहेः

इंस्टॉलेशन वितरण openssl-1.1.1g डाउनलोड करा.
openSSL च्या भिन्न आवृत्त्या आहेत. Rutoken साठी दस्तऐवजात सांगितले आहे की openSSL आवृत्ती 1.1.0 किंवा नवीन आवश्यक आहे. मी openssl-1.1.1g आवृत्ती वापरली. तुम्ही अधिकृत साइटवरून ओपनएसएसएल डाउनलोड करू शकता, परंतु सोप्या इन्स्टॉलेशनसाठी तुम्हाला नेटवर विंडोजसाठी इन्स्टॉलेशन फाइल शोधणे आवश्यक आहे. मी तुमच्यासाठी हे केले: slproweb.com/products/Win32OpenSSL.html
पृष्ठ खाली स्क्रोल करा आणि Win64 OpenSSL v1.1.1g EXE 63MB इंस्टॉलर डाउनलोड करा.
संगणकावर openssl-1.1.1g स्थापित करा.
स्थापना मानक मार्गानुसार केली जाणे आवश्यक आहे, जी स्वयंचलितपणे C: प्रोग्राम फाइल्स फोल्डरमध्ये दर्शविली जाते. प्रोग्राम OpenSSL-Win64 फोल्डरमध्ये स्थापित केला जाईल.
तुम्हाला ज्या प्रकारे ओपनएसएसएल आवश्यक आहे त्या पद्धतीने सेट करण्यासाठी, openssl.cfg फाइल आहे. ही फाईल C:\Program Files\OpenSSL-Win64bin पथ मध्ये स्थित आहे जर तुम्ही मागील परिच्छेदात वर्णन केल्याप्रमाणे openSSL स्थापित केले असेल. openssl.cfg साठवलेल्या फोल्डरवर जा आणि ही फाईल उघडा, उदाहरणार्थ, Notepad++.
तुम्ही कदाचित अंदाज लावला असेल की प्रमाणन प्राधिकरण openssl.cfg फाइलमधील मजकूर बदलून कसे तरी कॉन्फिगर केले जाईल आणि तुम्ही अगदी बरोबर आहात. यासाठी [ca ] कमांडचे कस्टमायझेशन आवश्यक आहे. openssl.cfg फाईलमध्ये, ज्या मजकुरात आपण बदल करणार आहोत त्या मजकुराची सुरुवात खालीलप्रमाणे आढळू शकते: [ ca ].
आता मी त्याच्या वर्णनासह सेटिंगचे उदाहरण देईन:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
आता वरील उदाहरणात दाखवल्याप्रमाणे डेमोसीए डिरेक्ट्री आणि सबडिरेक्टरीज तयार कराव्या लागतील. आणि dir मध्ये निर्दिष्ट केलेल्या मार्गावर या निर्देशिकेत ठेवा (माझ्याकडे /Users/username/bin/openSSLca/demoCA आहे).

dir अचूकपणे लिहिणे खूप महत्वाचे आहे - हा त्या निर्देशिकेचा मार्ग आहे जिथे आमचे प्रमाणन केंद्र स्थित असेल. ही निर्देशिका /Users मध्ये (म्हणजे काही वापरकर्त्याच्या खात्यात) स्थित असणे आवश्यक आहे. तुम्ही ही डिरेक्टरी ठेवल्यास, उदाहरणार्थ, C: Program Files मध्ये, सिस्टमला openssl.cfg सेटिंग्ज असलेली फाइल दिसणार नाही (किमान माझ्यासाठी असेच होते).

$dir - dir मध्ये निर्दिष्ट केलेला मार्ग येथे बदलला आहे.

दुसरा महत्त्वाचा मुद्दा म्हणजे रिकामी index.txt फाइल तयार करणे, या फाइलशिवाय “openSSL ca …” कमांड काम करणार नाहीत.

तुमच्याकडे सीरियल फाइल, रूट प्रायव्हेट की (ca.key), रूट प्रमाणपत्र (ca.crt) असणे आवश्यक आहे. या फायली मिळविण्याची प्रक्रिया खाली वर्णन केली जाईल.
आम्ही Rutoken द्वारे प्रदान केलेले एन्क्रिप्शन अल्गोरिदम कनेक्ट करतो.
हे कनेक्शन openssl.cfg फाइलमध्ये होते.
- सर्व प्रथम, आपल्याला आवश्यक Rutoken अल्गोरिदम डाउनलोड करणे आवश्यक आहे. या rtengine.dll, rtpkcs11ecp.dll फाइल्स आहेत.
  हे करण्यासाठी, Rutoken SDK डाउनलोड करा: www.rutoken.ru/developers/sdk.
  
  Rutoken SDK हे सर्व विकसकांसाठी आहे ज्यांना Rutoken वापरून पहायचे आहे. वेगवेगळ्या प्रोग्रामिंग भाषांमध्ये रुटोकेनसह काम करण्यासाठी दोन्ही स्वतंत्र उदाहरणे आहेत आणि काही लायब्ररी सादर केल्या आहेत. आमची लायब्ररी rtengine.dll आणि rtpkcs11ecp.dll या स्थानावर अनुक्रमे Rutoken sdk मध्ये स्थित आहेत:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  एक अतिशय महत्त्वाचा मुद्दा. लायब्ररी rtengine.dll, rtpkcs11ecp.dll Rutoken साठी स्थापित ड्राइव्हरशिवाय कार्य करत नाहीत. तसेच, Rutoken संगणकाशी जोडलेले असणे आवश्यक आहे. (रुटोकेनसाठी आवश्यक असलेली प्रत्येक गोष्ट स्थापित करण्यासाठी, लेखाचा मागील भाग पहा habr.com/en/post/506450)
- rtengine.dll आणि rtpkcs11ecp.dll लायब्ररी वापरकर्त्याच्या खात्यात कुठेही ठेवता येतात.
- आम्ही openssl.cfg मध्ये या लायब्ररींचे मार्ग लिहितो. हे करण्यासाठी, openssl.cfg फाइल उघडा, या फाईलच्या सुरुवातीला ओळ ठेवा:
```
openssl_conf = openssl_def
```
  फाईलच्या शेवटी आपल्याला जोडण्याची आवश्यकता आहे:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - तुम्ही rtengine.dll लायब्ररीसाठी तुमचा मार्ग निर्दिष्ट करणे आवश्यक आहे.
  MODULE_PATH - तुम्हाला तुमचा मार्ग rtpkcs11ecp.dll लायब्ररीमध्ये लिहावा लागेल.
पर्यावरण व्हेरिएबल्स जोडणे.
Openssl.cfg कॉन्फिगरेशन फाइलचा मार्ग निर्दिष्ट करणारे पर्यावरण व्हेरिएबल जोडण्याची खात्री करा. माझ्या बाबतीत, OPENSSL_CONF व्हेरिएबल C:Program FilesOpenSSL-Win64binopenssl.cfg या मार्गाने तयार केले होते.

पथ व्हेरिएबलमध्ये, आपण openssl.exe स्थित असलेल्या फोल्डरचा मार्ग निर्दिष्ट करणे आवश्यक आहे, माझ्या बाबतीत ते आहे: C: Program FilesOpenSSL-Win64bin.
आता तुम्ही स्टेप 5 वर परत जाऊ शकता आणि demoCA डिरेक्टरीसाठी गहाळ फाइल्स तयार करू शकता.
1. पहिली महत्त्वाची फाईल ज्याशिवाय काहीही चालणार नाही ती सीरियल आहे. ही फाईल विस्ताराशिवाय आहे, तिचे मूल्य 01 असावे. तुम्ही ही फाइल स्वतः तयार करू शकता आणि आत 01 लिहू शकता. तुम्ही ती sdk/openssl/rtengine/samples/tool/demoCA मार्गावर असलेल्या Rutoken SDK वरून डाउनलोड करू शकता. /.
  डेमोसीए डिरेक्टरीमध्ये सीरियल फाइल असते, जी आपल्याला आवश्यक असते.
2. रूट खाजगी की तयार करा.
  हे करण्यासाठी, आम्ही ओपनएसएसएल लायब्ररी कमांड वापरू, जी थेट कमांड लाइनवर चालविली जाणे आवश्यक आहे:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. आम्ही रूट प्रमाणपत्र तयार करतो.
  हे करण्यासाठी, खालील ओपनएसएसएल लायब्ररी कमांड वापरा:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  कृपया लक्षात ठेवा की रूट खाजगी की, जी मागील चरणात व्युत्पन्न केली गेली होती, रूट प्रमाणपत्र व्युत्पन्न करण्यासाठी आवश्यक आहे. म्हणून, कमांड लाइन त्याच निर्देशिकेत लाँच करणे आवश्यक आहे.
डेमोसीए निर्देशिकेच्या संपूर्ण कॉन्फिगरेशनसाठी आता सर्व काही गहाळ फाइल्स आहेत. पॉइंट 5 मध्ये दर्शविलेल्या डिरेक्टरीमध्ये तयार केलेल्या फाइल्स ठेवा.

आम्ही असे गृहीत धरू की सर्व 8 गुण पूर्ण केल्यानंतर, आमचे प्रमाणन केंद्र पूर्णपणे कॉन्फिगर केले आहे.

पुढील भागात, मी वर्णन करेन की आम्ही प्रमाणन प्राधिकरणासोबत कसे कार्य करू ज्यामध्ये वर्णन केले आहे ते पूर्ण करण्यासाठी लेखाचा मागील भाग.

स्त्रोत: www.habr.com

सिस्टममध्ये वापरकर्त्यांची नोंदणी आणि अधिकृत करण्यासाठी रुटोकेन तंत्रज्ञान वापरण्याचा अनुभव (भाग 2)

एक टिप्पणी जोडा Отменить ответ