Tajba jum!
Ħloqna b'suċċess iċ-ċentru ta 'ċertifikazzjoni tagħna stess. Kif jista 'jkun utli għall-iskopijiet tagħna?
Bl-użu ta 'awtorità ta' ċertifikazzjoni lokali, nistgħu noħorġu ċertifikati u wkoll nivverifikaw firem fuq dawn iċ-ċertifikati.
Meta toħroġ ċertifikat lil utent, l-awtorità taċ-ċertifikazzjoni tuża talba għal ċertifikat speċjali Pkcs#10, li għandha l-format tal-fajl '.csr'. Din it-talba fiha sekwenza kodifikata li l-awtorità taċ-ċertifikazzjoni tkun taf kif teżamina b'mod korrett. It-talba fiha kemm iċ-ċavetta pubblika tal-utent kif ukoll dejta għall-ħolqien ta’ ċertifikat (matriċi assoċjattiva b’dejta dwar l-utent).
Se nħarsu lejn kif nirċievu talba għal ċertifikat fl-artikolu li jmiss, u f'dan l-artikolu nixtieq nagħti l-kmandi ewlenin tal-awtorità taċ-ċertifikazzjoni li tgħinna nlestu l-kompitu tagħna fuq in-naħa ta 'backend.
Allura l-ewwel irridu noħolqu ċertifikat. Biex nagħmlu dan aħna nużaw il-kmand:
openssl ca -batch -in user.csr -out user.crt
ca huwa l-kmand openSSL li jirrelata mal-awtorità taċ-ċertifikazzjoni,
-batch - tikkanċella talbiet ta' konferma meta tiġġenera ċertifikat.
user.csr — talba biex jinħoloq ċertifikat (fajl fil-format .csr).
user.crt - ċertifikat (riżultat tal-kmand).
Sabiex dan il-kmand jaħdem, l-awtorità taċ-ċertifikazzjoni trid tiġi kkonfigurata eżatt kif deskritt . Inkella, ikollok tispeċifika wkoll il-post taċ-ċertifikat tal-għeruq tal-awtorità taċ-ċertifikazzjoni.
Kmand tal-verifika taċ-ċertifikat:
openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.filecms huwa kmand openSSL li jintuża għall-iffirmar, il-verifika, il-kriptaġġ tad-dejta u operazzjonijiet kriptografiċi oħra bl-użu ta’ openSSL.
-verifika - f'dan il-każ, aħna nivverifikaw iċ-ċertifikat.
authenticate.cms - fajl li fih data ffirmata biċ-ċertifikat li nħareġ mill-kmand preċedenti.
-inform PEM - jintuża l-format PEM.
-CAfile /Users/……/demoCA/ca.crt - mogħdija għaċ-ċertifikat tal-għeruq. (mingħajr dan il-kmand ma ħadimx għalija, għalkemm il-mogħdijiet għal ca.crt inkitbu fil-fajl openssl.cfg)
-out data.file — Nibgħat id-dejta decrypted fil-fajl data.file.
L-algoritmu għall-użu ta 'awtorità ta' ċertifikazzjoni fuq in-naħa ta 'backend huwa kif ġej:
- Reġistrazzjoni tal-utent:
- Nirċievu talba biex noħolqu ċertifikat u nsalvawh fil-fajl user.csr.
- Aħna nissejvjaw l-ewwel kmand ta 'dan l-artikolu għal fajl bl-estensjoni .bat jew .cmd. Aħna nħaddmu dan il-fajl mill-kodiċi, wara li qabel issejvjajna t-talba biex jinħoloq ċertifikat għall-fajl user.csr. Nirċievu fajl biċ-ċertifikat user.crt.
- Naqraw il-fajl user.crt u nibagħtu lill-klijent.
- Awtorizzazzjoni tal-utent:
- Nirċievu data ffirmata mill-klijent u nissejvjaha fil-fajl authenticate.cms.
- Ħlief it-tieni kmand ta 'dan l-artikolu għal fajl bl-estensjoni .bat jew .cmd. Aħna nħaddmu dan il-fajl mill-kodiċi, wara li qabel issejvjajna d-dejta ffirmata mis-server f'authenticate.cms. Nirċievu fajl b'data decrypted data.file.
- Naqraw data.file u niċċekkjaw din id-dejta għall-validità. X'jiċċekkja eżattament huwa deskritt . Jekk id-dejta hija valida, allura l-awtorizzazzjoni tal-utent titqies bħala suċċess.
Biex timplimenta dawn l-algoritmi, tista 'tuża kwalunkwe lingwa ta' programmar li tintuża biex tikteb il-backend.
Fl-artiklu li jmiss se nħarsu lejn kif taħdem mal-plugin Retoken.
Grazzi tal-attenzjoni tiegħek!
Sors: www.habr.com