Ð
ááŸááºáá»ááºáá»á¬ážááœááºá Linux á¡ááœáẠá¡áá¯á¶ážá¡áá»á¬ážáá¯á¶áž áááºáá¬áá¬áá»á¬áž - nginx ááŸáá·áº Apache á¡ááœáẠáááºážááœáŸááºáá»ááºáá»á¬ážááᯠáá±ážááá¯ááºážáá²á·áááºá
áá±áž - áá«ááá¯á·áá±ážáááºá
á áááºááẠáááºáá¬ááá¯á¡ááºááááºážá
- áááºááá·áºáá±ááºáá® Linux ááŒáá·áºááŒá°ážááŸá¯áááá¯á MX Linux 18.2_x64 ááœáẠá ááºážáááºááŸá¯áá áºáᯠááŒá¯áá¯ááºáá²á·áááºá áááºážááẠáá¬áá¬ááŒáá·áºáá»á®ááŒááºážááá¯ááºáá±á¬áºáááºáž Debian á¡ááœáẠááœá²ááŒá¬ážááŸá¯áá áºá á¯á¶áá áºáá¬áááŸáááá¯ááºáá«á á¡ááŒá¬ážááŒáá·áºáá±ááŸá¯áá»á¬ážá¡ááœááºá config á á¬ááŒáá·áºááá¯ááºáá»á¬ážááá¯á· áááºážááŒá±á¬ááºážáá»á¬áž á¡áááºážáááºááœá²ááœá²ááá¯ááºáá«áááºá
- ááá¯áááºá áá±á¬áºáááºááᯠáááºáá¯á¶ážáá±áá«áááºá
Rutoken EDS PKI áá±á«ááºážá ááºá¡áá¯á¶ážááŒá¯ááŸá¯á¡ááœáẠá¡ááŸáááºá¡áá¯ááºááá¹ááá¬áá»á¬ážááá¯ááºáᬠá á¶ááŒááŒá áºááá·áºá - Linux ááœáẠááá¯áááºáá
áºáá¯ááŸáá·áº á¡áá¯ááºáá¯ááºáááºá á¡á±á¬ááºáá« packages áá»á¬ážááᯠááá·áºááœááºážááẠááá¯á¡ááºáááº-
libccid libpcsclite1 pcscd pcsc-tools ááá¯ááœáá·áºáááºá
áááºááŸááºáá»á¬ážáá¯ááºáá±ážááŒááºážá
ááááºáá±á¬ááºážáá«ážáá»á¬ážááœááºá áá»áœááºá¯ááºááá¯á·ááẠMicrosoft CA ááᯠá¡áá¯á¶ážááŒá¯á áá¬áá¬ááŸáá·áº áá±á¬ááºáááºáááºááŸááºáá»á¬ážááᯠáá¯ááºáá±ážáááºáá°áá±á¬á¡áá»ááºááᯠá¡á¬ážááá¯ážáá«áááºá ááá¯á·áá±á¬áº áá»áœááºá¯ááºááá¯á·ááẠLinux ááœáẠá¡áá¬á¡á¬ážáá¯á¶ážááᯠá
áá
áºááá·áºááœááºážáá±áá±á¬ááŒá±á¬áá·áºá Linux ááᯠáááœááºááœá¬áá² á€á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬ážáá¯ááºáá±ážááẠá¡ááŒá¬ážáááºážáááºážáá
áºáá¯á¡ááŒá±á¬ááºážáááºáž ááŒá±á¬ááŒáá«áááºá
áá»áœááºá¯ááºááá¯á·ááẠXCA ááᯠCA á¡ááŒá
áºá¡áá¯á¶ážááŒá¯áá«ááẠ(
á áááº
- ááá·áºááœááºážáá«-
$ apt-get install xca
- áá«ááá¯á·ááŒá±ážáááº-
$ xca
- áá»áœááºá¯ááºááá¯á·ááẠCA - /root/CA.xdb á¡ááœáẠáá»áœááºá¯ááºááá¯á·ááá±áá¬áá±á·á
áºááᯠáááºáá®ážáá«áááºá
á á®áá¶ááá·áºááœá²áá°áá¬áááºáá±á¬ááºááœáá·áºááŸáááá·áº ááá¯áá«áá áºáá¯ááœáẠáááºááŸááºá¡á¬áá¬ááá¯ááºáá±áá¬áá±á·á áºááᯠááááºážáááºážááẠáá»áœááºá¯ááºááá¯á·á¡ááŒá¶ááŒá¯áá«áááºá á¡ááŒá¬ážáááºááŸááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠáááºááŸááºááá¯ážááẠá¡áá¯á¶ážááŒá¯ááá·áº root áááºááŸááºáá»á¬ážá áá®ážááá·áºáá±á¬á·áá»á¬ážááᯠáá¬ááœááºáááºá¡ááœáẠáááºážááẠá¡áá±ážááŒá®ážáá«áááºá
áá±á¬á·áá»á¬ážááŸáá·áº root CA áááºááŸááºááᯠáááºáá®ážáá«á
á¡áá»á¬ážáá°ááŸá¬áá±á¬á·á¡ááŒá±áá¶á¡áá±á¬ááºá¡áŠ (PKI) ááẠá¡áááºá¡á±á¬ááºá áá áºáá áºáá¯á¡áá±á«áºá¡ááŒá±áá¶áááºá á€á áá áºááœáẠá¡áááá¡áá¬ááŸá¬ á¡ááŒá áºá¡ááá¡ááŸááºááŒá¯ á¡ááœáá·áºá¡á¬áᬠááá¯á·ááá¯áẠroot CA ááŒá áºáááºá áááºážá áááºááŸááºááᯠáŠážá áœá¬ áááºáá®ážááá«áááºá
- áá»áœááºá¯ááºááá¯á·ááẠCA á¡ááœáẠRSA-2048 áá®ážááá·áºáá±á¬á·ááᯠáááºáá®ážáá«áááºá áá«ááá¯áá¯ááºááá¯á·á áááºááºáá±á«áºááŸá¬ áá®ážááá·áºáá±á¬á·áá»ááºáá»á¬áž ááœááºáž áá±á¬á·á¡áá ẠááŸáá·áºááá·áºáá»á±á¬áºáá±á¬á¡áá»áá¯ážá¡á á¬ážááá¯ááœá±ážáá»ááºáá«á
- áá±á¬á·á¡ááœá²á¡áá áºá¡ááœáẠá¡áááºáá áºáᯠáááºááŸááºáá«á á¡á²áá«ááᯠCA Key ááá¯á·áá±á«áºáááºá
- áááºáá®ážáá¬ážáá±á¬áá±á¬á·ááœá²ááᯠá¡áá¯á¶ážááŒá¯á áá»áœááºá¯ááºááá¯á·ááẠCA áááºááŸááºááᯠááá¯ááºááá¯ááºáá¯ááºáá±ážáá«áááºá áá«ááá¯áá¯ááºááá¯á·á áááºááºááá¯ááœá¬ážáá«á áááºááŸááºáá»á¬áž ááŸááºá·á á¬áááºáááºáž áááºááŸááºá¡áá áº.
- áá±áá»á¬ááœá±ážáá»ááºáá«á SHA-256á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áº SHA-1 ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááẠáá±ážáááºážáááºáᯠááá°áááá¯ááºáá«á
- ááá°áá¬áá¯á¶á á¶á¡ááŒá Ạáá±áá»á¬ááœá±ážáá»ááºáá«á [áá°áááºáž]CA. ááŸáááºááá¯á·ááá±á·áá²á·áá±á¬áºá á¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážáá»áá«áááá¯ááºáá«á áá¯á¶á á¶áááááºááᯠá¡áá¯á¶ážááŒá¯áááºááá¯ááºáá«á
- tab ááŸá¬ áá¬áá¬ááẠáá»áœááºá¯ááºááá¯á·ááá±á¬á·ááœá²ááá¯ááœá±ážáá»ááºáá«á ááá¯áá±áá¬ááœáẠáááºááẠáááºááŸááºá á¡ááááááºáááºá¡á¬ážáá¯á¶ážááᯠááŒáá·áºá áœááºááá¯ááºáááºá
áá±á¬á·áá»á¬ážááŸáá·áº https áá¬áá¬áááºááŸááºááᯠáááºáá®ážááŒááºážá
- á¡áá¬ážáá°áááºá áá»áœááºá¯ááºááá¯á·ááẠáá¬áá¬á¡ááœáẠRSA-2048 áá®ážááá·áºáá±á¬á·ááᯠáááºáá®ážáááºá áá»áœááºá¯áẠáááºážááᯠServer Key áá¯áá±á«áºáááºá
- á¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠáááºáá®ážááá·áºá¡áá«á áá¬áá¬á¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠCA áááºááŸááºááŒáá·áº áááºááŸááºáá±ážááá¯ážááááºáᯠáá»áœááºá¯ááºááá¯á·ááœá±ážáá»ááºáááºá
- ááœá±ážáá»ááºááá¯á·ááá±á·áá«áá²á·á SHA-256.
- áá»áœááºá¯ááºááá¯á·ááẠáá¯á¶á á¶ááœááºáá áºáá¯á¡ááŒá Ạááœá±ážáá»ááºáááºá [default] HTTPS_server. ááá¯ááŸáááºáá«á á¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážáá»áá«á.
- ááŒá®ážááẠtab áá±á«áºááŸá¬ áá¬áá¬ááẠáá»áœááºá¯ááºááá¯á·ááá±á¬á·ááá¯ááœá±ážáá»ááºááŒá®áž ááá¯á¡ááºáá±á¬ááœááºáááºáá»á¬ážááá¯ááŒáá·áºáá«á
á¡áá¯á¶ážááŒá¯áá°á¡ááœáẠáá±á¬á·ááŸáá·áº áááºááŸááºááᯠáááºáá®ážáá«á
- áá¯á¶ážá
áœá²áá°á áá®ážááá·áºáá±á¬á·ááᯠáá»áœááºá¯ááºááá¯á·á ááá¯áááºááœáẠááááºážáááºážáá¬ážáááºááŒá
áºáááºá áááºážááŸáá·áºáá¯ááºáá±á¬ááºáááºá áá»áœááºá¯ááºááá¯á·ááááºááá¯ááºá០PKCS#11 á
á¬ááŒáá·áºááá¯ááºááᯠááá·áºááœááºážááẠááá¯á¡ááºáá«áááºá áá°ááŒáá¯ááºáá»á¬ážáá±á¬ ááŒáá·áºááŒá°ážááŸá¯á¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠá€áá±áá¬ááœáẠáááºááŸááá±á¬ á¡ááá·áºáá¯ááºáá¬ážáá±á¬ áááºáá±á·áá»áºáá»á¬ážááᯠááŒáá·áºáá±ááẠ-
https://www.rutoken.ru/support/download/pkcs/ . áá»áœááºá¯ááºááá¯á·á SDK ááŸáá±á«ááºážáá¯ááºáá¯ááºááá¯ááºááá·áº arm64á armv7elá armv7hfá e2ká mipso32el á¡ááœáẠá ááºážáá±ážáá»á¬ážáááºážááŸááááºáhttps://www.rutoken.ru/developers/sdk/ . Linux á¡ááœáẠá ááºážáá±ážááœá²áá»á¬ážá¡ááŒáẠmacOSá freebsd ááŸáá·áº android á¡ááœáẠá á¯áá±ážááŸá¯áá»á¬ážáááºáž ááŸááá«áááºá - XCA ááá¯á· PKCS#11 áááºáá±á¬ááºááŸá¯áá±ážáá°á¡áá áºááᯠáá±á«ááºážááá·áºááŒááºážá áá®ááá¯áá¯ááºááá¯á·á áá®áá°ážááá¯ááœá¬ážáá«á Options ááᯠáááºááºááá¯á· PKCS#11 áá¶á·ááá¯ážáá±ážáá°.
- áá»áá±á¬áºááá¯á·á á á¬áááºáááºáž áá±á«ááºáž PKCS#11 á á¬ááŒáá·áºááá¯ááºááá¯á· áááºážááŒá±á¬ááºážááᯠááœá±ážáá»ááºáá«á áá«á·ááá á¹á ááœááºá áááºážááẠusrliblibrtpkcs11ecp.so ááŒá áºáááºá
- áá±á¬áºáááºáá¯ááºáá¬ážáá±á¬ Rutoken EDS PKI ááá¯áááºáá
áºáᯠááá¯á¡ááºáá«áááºá rtAdmin utility ááá¯áá±á«ááºážáá¯ááºáá¯ááºáá« -
https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615 - áá¯ááºáá±á¬ááº
$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-кПЎ пПлÑзПваÑелÑ>
- áá»áœááºá¯ááºááá¯á·ááẠáá±á¬á·á¡áá»áá¯ážá¡á á¬ážá¡ááŒá ẠRutoken EDS PKI á¡ááœáẠRSA-2048 áá±á¬á·ááᯠááœá±ážáá»ááºáááºá áá®áá®ážááᯠClient Key ááá¯á·áá±á«áºáá«áááºá
- PIN áá¯ááºááᯠááá¯ááºááá·áºáá«á áá±á¬á·ááœá²á¡ááœá²á áá¬á·ááºáá² áá¯ááºáá¯ááºááŸá¯ ááŒá®ážáá¯á¶ážááẠáá»áœááºá¯ááºááá¯á· á á±á¬áá·áºáá»áŸá±á¬áºáá±áá«áááºá
- áá»áœááºá¯ááºááá¯á·ááẠáá¬áá¬á¡ááá¡ááŸááºááŒá¯áááºááŸááºááŸáá·áº ááŸááºááœá²áᬠá¡áá¯á¶ážááŒá¯áá°á¡ááœáẠáááºááŸááºáá áºáᯠáááºáá®ážáá«áááºá áá®áá áºáá«áá±á¬á· ááá°áá¬áá¯á¶á á¶áá áºáá¯ááᯠááœá±ážáá«áááºá [default] HTTPS_client ááŸáááºááá¯á·ááá±á·áá«áá²á·á á¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážáá»áá«á.
- tab ááŸá¬ áá¬áá¬ááẠá¡áá¯á¶ážááŒá¯áá°á á¡áá»ááºá¡áááºááᯠááá·áºááœááºážáá«á ááá¯áááºá¡ááœáẠá¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠááááºážáááºážááẠáá±á¬ááºážááá¯áá»ááºááᯠá¡áááºááŒá¯áá»ááºááŒáá·áº áá»áœááºá¯ááºááá¯á·ááŒá±ááŒá¬ážáá«áááºá
ááááºá¡áá±áá²á· tab ááá¯áá±á«áºááŸá¬ áááºááŸááºáá»á¬áž XCA ááŸá¬ áá®ááá¯áá»áá¯áž áááá·áºáááºá
á€á¡áááºážáá¯á¶ážáá±á¬á·áá»á¬ážááŸáá·áº áááºááŸááºáá»á¬áž á¡á
á¯á¶ááẠáá¬áá¬áá»á¬ážááá¯ááºááá¯áẠá
áááºáááºááŸááºááẠáá¯á¶áá±á¬ááºáá«áááºá
ááŒááºáááºáááºááŸááºáááºá áá»áœááºá¯ááºááá¯á·ááẠCA áááºááŸááºá áá¬áá¬á¡ááá¡ááŸááºááŒá¯áááºááŸááºááŸáá·áº áá¬áá¬áá®ážááá·áºáá±á¬á·ááá¯á·ááᯠáááºááá¯á·ááẠááá¯á¡ááºáááºá
áááºážááá¯áá¯ááºáá±á¬ááºááẠXCA ááŸá áááºááá¯ááºáᬠtab áá±á«áºááŸá ááá¯áá»ááºáá±á¬ entry ááᯠááœá±ážááŒá®áž ááŸáááºáá«á áá¯ááºáá¯ááº.
Nginx
nginx áá¬áá¬ááᯠáááºáááºáá¯á¶ááŸáá·áº á¡áá¯ááºáá¯ááºáá¯á¶á¡ááŒá±á¬ááºáž áá»áœááºá¯ááºáá±ážáááºááá¯ááºáá« - ááá¬ážáááºá á¬ááœááºá á¬áááºážáá»á¬ážááᯠááá±á¬áºááŒáá¬ážáá² á¡ááºáá¬áááºáá±á«áºááœáẠá€á¡ááŒá±á¬ááºážá¡áá¬ááŸáá·áºáááºáááºááá·áº áá±á¬ááºážáá«ážáá»á¬áž á¡áá¯á¶á¡áá±á¬ááºááŸááá«áááºá ááá¯áááºááᯠá¡áá¯á¶ážááŒá¯á HTTPS ááŸáá·áº two-factor authentication ááᯠááá¯ááºááá¯ááºááœáá·áºááá¯ááºááŒáá«á áá¯á·á
nginx.conf ááŸá áá¬áá¬ááá¹áááá¯á· á¡á±á¬ááºáá«á á¬ááŒá±á¬ááºážáá»á¬ážááᯠááá·áºáá«á
server {
listen 443 ssl;
ssl_verify_depth 1;
ssl_certificate /etc/nginx/Server.crt;
ssl_certificate_key /etc/nginx/ServerKey.pem;
ssl_client_certificate /etc/nginx/CA.crt;
ssl_verify_client on;
}
nginx ááœáẠssl ááᯠconfigure áá¯ááºááŒááºážááá¯ááºáᬠááá·áºáááºáá»ááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá¡áá±ážá
áááºáá±á¬áºááŒáá»ááºááᯠá€áá±áá¬ááœáẠááœá±á·ááá¯ááºááẠ-
ááá¯áá·áºááá¯ááá¯ááºáá±ážáá¬ážáá²á· á¡ááŒá±á¬ááºážá¡áá¬ááœá±ááᯠá¡ááá¯áá»á¯á¶ážááŒá®áž ááŒá±á¬ááŒáá«á·áááºá
- ssl_verify_client - áááºááŸááºá¡ááœáẠáá¯á¶ááŒááºááŸá¯ááœááºážáááºááᯠá¡áááºááŒá¯ááẠááá¯á¡ááºááŒá±á¬ááºáž áááºááŸááºáááºá
- ssl_verify_depth - ááœááºážáááºááŸá áá¯á¶ááŒááºááá±á¬ á¡áááºážáááºááŸááºá¡ááœáẠááŸá¬ááœá±ááŸá¯á¡ááááºá¡áááºááᯠáááºááŸááºáááºá áá»áœááºá¯ááºááá¯á·á client áááºááŸááºááᯠroot áááºááŸááºááœáẠáá»ááºááŒááºážáááºááŸááºááá¯ážáá¬ážáá±á¬ááŒá±á¬áá·áº á¡ááááºá¡áááºááᯠ1 áᯠáááºááŸááºáá¬ážáááºá á¡áá¯á¶ážááŒá¯áá°áááºááŸááºááᯠá¡áááºá¡ááẠCA ááœáẠáááºááŸááºáá±ážááá¯ážáá«áá 2 ááᯠá€ááá·áºáááºáá»ááºááœáẠáááºááŸááºáá¬ážááááºá á¡á ááŸááááºááŒáá·áº áá¯ááºáá±á¬ááºááá«áááºá
- ssl_client_certificate - á¡áá¯á¶ážááŒá¯áá°á á¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠá á áºáá±ážáá¬ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº áá¯á¶ááŒááºá áááºáá»ááá±á¬ á¡áááºážáááºááŸááºááá¯á· áááºážááŒá±á¬ááºážááᯠáááºááŸááºáá±ážáá«áááºá
- ssl_certificate/ssl_certificate_key - áá¬áá¬á¡ááá¡ááŸááºááŒá¯áááºááŸááº/ááá¯ááºáá±ážááá¯ááºáá¬áá±á¬á·áá®ááá¯á· áááºážááŒá±á¬ááºážááá¯ááœáŸááºááŒáá«á
config ááœáẠtypos áááŸáááŒá±á¬ááºážá ááá¯ááºáá»á¬ážá¡á¬ážáá¯á¶áž áá±áá¬ááŸááºá á¡á ááŸááááŒáá·áº á á áºáá±ážááẠnginx -t ááᯠrun ááẠááá±á·áá«ááŸáá·áºá
áá«áá«áá²! áááºááŒááºáááá·áºá¡ááá¯ááºážá á áá áºááá·áºááœááºážááŸá¯ááẠá¡ááœááºááá¯ážááŸááºážáá«áááºá
Firefox ááœáẠá¡áá¯ááºáá¯ááºáá±ááŒá±á¬ááºáž á á áºáá±ážáá«á
áá»áœááºá¯ááºááá¯á·ááẠLinux ááœáẠá¡áá¬á¡á¬ážáá¯á¶ážááᯠáá¯á¶ážáá¯á¶ážáá»á¬ážáá»á¬ážáá¯ááºáá±á¬ááºáá±á¬ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·áá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠLinux ááœááºáááºáž áá¯ááºáá±á¬ááºááá¯ááºáááºáᯠáá»áœááºá¯ááºááá¯á·áá°ááá«ááẠ(ááá¯á·ááŒá±á¬áá·áº áááºážááá¯á·ááœáẠWindows ááŸááá»áŸááº
- Firefox ááá¯ááœáá·áºááŒáá·áºáá¡á±á¬ááºá
- ááá¯áááºááá«áá² áá±á¬á·ááºá¡ááºáááºááá¯á· á¡áááºááŒáá¯ážá á¬ážááŒáá·áºáá¡á±á¬ááºá á€áá¯á¶ááᯠáá»áœááºá¯ááºááá¯á· áááŸááá«áááº-
- áááºááœá¬ážááẠabout: á¥á®ážá á¬ážáá±áž # áá®ážáááºá·áááºááŸáááŸá¯, áá«ááá¯á·ááœá¬áž áá¯á¶ááŒá¯á¶áá±ážáááááá¬áá»á¬ážâŠ
- áá»áá±á¬áºááá¯á·á á á¬áááºáááºáž áááºPKCS#11 Device Driver á¡áá áºáá áºáá¯ááá·áºáááºááŸáá·áº áá»áœááºá¯ááºááá¯á·á librtpkcs11ecp.so ááá¯á· áááºážááŒá±á¬ááºážááᯠáááºááŸááºáá«á
- áááºááŸááºááᯠááŒááºááá¯ááºáááºááᯠá á áºáá±ážáááºá áááºááœá¬ážááá¯ááºáááºá áááºááŸááºáááºáá±áá»á¬. áááºá PIN ááá¯ááá¯ááºááá·áºááẠááá·áºá¡á¬áž ááááá±ážáááá·áºáááºá ááŸááºáááºáá±á¬ááá·áºááœááºážááŸá¯ááŒá®ážáá±á¬ááºá áááºááºáá±á«áºááŸáá¡áá¬áá»á¬ážááᯠáááºá á áºáá±ážááá¯ááºáá«áááºá áááºááááºááŸááºáá»á¬áž ááá¯áááºá០áá»áœááºá¯ááºááá¯á·á áááºááŸáẠáá±á«áºáá¬áááºá
- áá² ááá¯áááºáá²á·ááœá¬ážááŒáá·áºáá¡á±á¬ááºá Firefox ááẠáá¬áá¬á¡ááœáẠááœá±ážáá»ááºááá·áº áááºááŸááºááᯠááœá±ážáá»ááºááẠááá·áºá¡á¬áž áá±á¬ááºážááá¯áá«áááºá áá»áœááºá¯ááºááá¯á·ááááºááŸááºááá¯ááœá±ážáá»ááºáá«á
- á¡ááŒááºá¡á áœááºáž!
á áá áºááá·áºááœááºážááŸá¯ áá áºááŒáááºááŒá®ážáááºááŸáá·áº áááºááŸááºáá±á¬ááºážááá¯ááŸá¯ áááºážááá¯ážááœáẠáááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºáž áá»áœááºá¯ááºááá¯á·á ááœá±ážáá»ááºááŸá¯ááᯠááááºážáááºážááá¯ááºáá«áááºá áááºážááŒá®ážáá±á¬ááºá áá»áœááºá¯ááºááá¯á· áá±á«áºáááºááá¯á· á¡áá±á¬áá·áºáááºááá¯ááºážá áá»áœááºá¯ááºááá¯á·ááẠááá¯áááºáá áºáá¯ááᯠááá·áºááœááºážáááºááŸáá·áº áá±á¬áºáááºááŒá¯áá¯ááºá ááºááœáẠáááºááŸááºáá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá° PIN áá¯ááºááᯠááá·áºááœááºážáááºáᬠááá¯á¡ááºáááºááŒá áºáááºá áááºážáá²á·ááá¯á· á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒá®ážáá±á¬ááºá áá¬áá¬ááẠáááºááá·áºá¡áá¯á¶ážááŒá¯áá°á០áá±á¬á·ááºá¡ááºáááºáá¬ážáááºááᯠááááŸáááŒá®ážááŒá áºáᬠá¡áááºááŒá¯ááŒááºážá¡ááœáẠáá±á¬ááºáááºáááºážááá¯ážáá»á¬ážááᯠáááºááááºáá®ážááá¯ááºáá±á¬á·áá² á¡áá¯á¶ážááŒá¯áá°ááᯠáááºážáááá¯ááºáá±ážááá¯ááºáá¬á¡áá±á¬áá·áºáá²ááá¯á· áá»ááºáá»ááºážááœáá·áºááŒá¯ááá¯ááºáá«á
Apache ááá¯
nginx áá²á·ááá¯á·áááºá apache ááá¯ááá·áºááœááºážáá¬ááœááºáááºáá°áá»áŸááŒá¿áá¬áááŸááá«á á€áááºáá¬áá¬ááᯠáááºááá¯á·áááºáááºááááºááᯠááááá«áá ááá¬ážáááºá á¬ááœááºá á¬áááºážááᯠá¡áá¯á¶ážááŒá¯áá«á
áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·á HTTPS ááŸáá·áº two-factor authentication ááᯠá áááºáááºááŸááºáááº-
- ááááŠážá
áœá¬áááºááẠmod_ssl ááá¯á¡áááºááœááºážáááºááá¯á¡ááºáááºá
$ a2enmod ssl
- ááá¯á·áá±á¬áẠáááºááá¯ááºá áá°áááºáž HTTPS áááºáááºáá»á¬ážááᯠááœáá·áºáá«-
$ a2ensite default-ssl
- ááᯠáá»áœááºá¯ááºááá¯á·ááẠááœá²á·á
ááºážááŸá¯ááá¯ááºááᯠáááºážááŒááºáááº- /etc/apache2/sites-enabled/default-ssl.conf:
SSLEngine on SSLProtocol all -SSLv2 SSLCertificateFile /etc/apache2/sites-enabled/Server.crt SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt SSLVerifyClient require SSLVerifyDepth 10
áááºááŒááºááá·áºá¡ááá¯ááºážá ááá·áºáááºáá»ááºáá»á¬ážáá¡áááºáá»á¬ážááẠnginx ááŸá parameters áá»á¬ážáá¡áááºáá»á¬ážááŸáá·áº áááºááœá±á·áá»áá» ááá¯ááºááá¯ááºáá±áá±á¬ááŒá±á¬áá·áº áááºážááá¯á·ááᯠáá»áœááºá¯ááºááŸááºážááŒáááºááá¯ááºáá«á áááºáá¶á á¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠá áááºáá«áááºá á¬ážáá° áááºáá°áááᯠá á¬ááœááºá á¬áááºážá¡á¬áž ááŒáá¯ááá¯áá«áááºá
ááᯠáá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·ááá¬áá¬ááᯠááŒááºáááºá áááºáááº-$ service apache2 reload $ service apache2 restart
áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºážá Windows ááá¯á·ááá¯áẠLinux ááœááºááŒá áºá á± áááºááá·áºáááºáá¬áá¬ááœááºáááᯠtwo-factor authentication ááá¯áááºááŸááºááŒááºážááẠá¡áá»á¬ážáá¯á¶ážáá áºáá¬áá®ááŒá¬áá«áááºá ááá±á¬ááºáá¬áá»á¬ážááᯠá áá áºááá·áºááœááºážááẠá áááá áºááá·áº ááŒá¬áááºá two-factor authentication ááŒáá·áº áááºáá±á¬ááºááŒááºážááŸáá·áº áá¯ááºáá±á¬ááºááŒááºážááẠáááºáá²ááŒá®áž áááŸááºážáááºážáᯠáá°á¡áá»á¬ážá áááºááŒááºááŒáááºá áá»áœááºá¯ááºááá¯á·á áá±á¬ááºážáá«ážááẠá€ááá¹áá¬áá®ááᯠá¡áááºážáá¯á¶áž á¡áááºážáááºáá»áŸ áá»á±áá»ááºááá¯ááºáááºáᯠáá»áŸá±á¬áºááá·áºáá«áááºá
á
á¬áááºážááœááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážáᬠá
á
áºáááºážááœáẠáá«áááºááá¯ááºáá«áááºá
GOST 34.10-2012 á¡á TLS ááᯠá¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬ážáááºáááºááẠááœáŸááºááŒá¬ážáá»ááºáá»á¬áž ááá¯á¡ááºáá«ááá¬ážá
-
áá¯ááºáá«áááºá TLS-GOST á á¡áááºážááá¯á¡ááºáá«áááºá
-
ááá¯ááºáá«á GOST algorithms ááŒáá·áº áá»áááºááŸáááŒááºážááẠá áááºáááºá á¬ážá áá¬ááá¯ááºáá«á
á¡áá¯á¶ážááŒá¯áá° 44 áŠáž áá²áá±ážáá²á·áááºá áá¯á¶ážá
áœá²áá° áá áŠáž ááŸá±á¬ááºáá±áá²á·áá«áááºá
source: www.habr.com