စနစ်တွင် အသုံးပြုသူများအား စာရင်းသွင်းခြင်းနှင့် ခွင့်ပြုခြင်းအတွက် Rutoken နည်းပညာကို အသုံးပြုခြင်း အတွေ့အကြုံ (အပိုင်း 2)

မင်္ဂလာနေ့လည်ခင်းပါ ဒီအကြောင်းအရာကို ဆက်ကြည့်ရအောင်ယခင်အပိုင်းကို link တွင်ကြည့်ရှုနိုင်ပါသည်။).

ဒီနေ့တော့ လက်တွေ့ကျတဲ့အပိုင်းကို ဆက်သွားပါမယ်။ ပြည့်စုံသော open source cryptographic library openSSL ကို အခြေခံ၍ ကျွန်ုပ်တို့၏ CA ကို စတင်သတ်မှတ်ခြင်းဖြင့် စတင်ကြပါစို့။ ဤ algorithm ကို windows 7 ကို အသုံးပြု၍ စမ်းသပ်ထားပါသည်။

openSSL ကို ထည့်သွင်းထားခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် command line မှတစ်ဆင့် အမျိုးမျိုးသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်သည် (သော့များနှင့် လက်မှတ်များ ဖန်တီးခြင်းကဲ့သို့) ကို လုပ်ဆောင်နိုင်ပါသည်။

လုပ်ရပ်များ၏ algorithm ကိုအောက်ပါအတိုင်းဖြစ်ပါသည်:

1. တပ်ဆင်ဖြန့်ချီရေး openssl-1.1.1g ကို ဒေါင်းလုဒ်လုပ်ပါ။
   openSSL တွင် မတူညီသောဗားရှင်းများရှိသည်။ Rutoken အတွက် စာရွက်စာတမ်းသည် openSSL ဗားရှင်း 1.1.0 သို့မဟုတ် ၎င်းထက်ပို၍ လိုအပ်သည်ဟု ဆိုသည်။ ငါ openssl-1.1.1g ဗားရှင်းကိုသုံးတယ်။ သင်သည် openSSL ကိုတရားဝင်ဆိုက်မှဒေါင်းလုဒ်လုပ်နိုင်သည်၊ သို့သော်ပိုမိုလွယ်ကူသောတပ်ဆင်မှုအတွက်၊ net ရှိ windows အတွက်ထည့်သွင်းမှုဖိုင်ကိုသင်ရှာရန်လိုအပ်သည်။ မင်းအတွက် ငါလုပ်ခဲ့တယ် slproweb.com/products/Win32OpenSSL.html
   စာမျက်နှာကို အောက်သို့ဆင်းပြီး Win64 OpenSSL v1.1.1g EXE 63MB ထည့်သွင်းသူအား ဒေါင်းလုဒ်လုပ်ပါ။
2. ကွန်ပျူတာတွင် openssl-1.1.1g ကို ထည့်သွင်းပါ။
   တပ်ဆင်ခြင်းကို C: Program Files ဖိုင်တွဲတွင် အလိုအလျောက်ညွှန်ပြသည့် စံလမ်းကြောင်းအတိုင်း လုပ်ဆောင်ရမည်ဖြစ်သည်။ ပရိုဂရမ်ကို OpenSSL-Win64 ဖိုင်တွဲတွင် ထည့်သွင်းမည်ဖြစ်သည်။
3. သင်လိုအပ်သည့်အတိုင်း openSSL ကို စနစ်ထည့်သွင်းရန်အတွက် openssl.cfg ဖိုင်ရှိပါသည်။ ယခင်စာပိုဒ်တွင်ဖော်ပြထားသည့်အတိုင်း openSSL ကို သင်ထည့်သွင်းပါက ဤဖိုင်သည် C:\Program Files\OpenSSL-Win64bin လမ်းကြောင်းတွင် တည်ရှိပါသည်။ openssl.cfg ကို သိမ်းဆည်းထားသည့် ဖိုင်တွဲသို့ သွားကာ ဥပမာ၊ Notepad++ ကို အသုံးပြု၍ ဤဖိုင်ကို ဖွင့်ပါ။
4. openssl.cfg ဖိုင်၏ အကြောင်းအရာများကို ပြောင်းလဲခြင်းဖြင့် အသိအမှတ်ပြု အခွင့်အာဏာကို တစ်နည်းတစ်ဖုံ ပြင်ဆင်သတ်မှတ်မည်ဟု သင် ခန့်မှန်းထားနိုင်ပြီး၊ သင်သည် လုံးဝမှန်ပါသည်။ ၎င်းသည် [ca] အမိန့်ကို စိတ်ကြိုက်ပြင်ဆင်ရန် လိုအပ်သည်။ openssl.cfg ဖိုင်တွင်၊ ကျွန်ုပ်တို့ ပြုလုပ်မည့် ပြောင်းလဲမှု စာသား၏ အစကို- [ ca ] အဖြစ် တွေ့ရှိနိုင်သည်။
5. ယခုကျွန်ုပ်သည် ၎င်း၏ဖော်ပြချက်နှင့်အတူ ဆက်တင်တစ်ခု၏ ဥပမာတစ်ခုကို ပေးပါမည်။

   [ ca ]
   default_ca	= CA_default		
   
    [ CA_default ]
   dir		= /Users/username/bin/openSSLca/demoCA		 
   certs		= $dir/certs		
   crl_dir		= $dir/crl		
   database	= $dir/index.txt	
   new_certs_dir	= $dir/newcerts	
   certificate	= $dir/ca.crt 	
   serial		= $dir/private/serial 		
   crlnumber	= $dir/crlnumber	
   					
   crl		= $dir/crl.pem 		
   private_key	= $dir/private/ca.key
   x509_extensions	= usr_cert
   

   ယခု ကျွန်ုပ်တို့သည် အထက်နမူနာတွင် ပြထားသည့်အတိုင်း demoCA လမ်းညွှန်နှင့် လမ်းကြောင်းခွဲများကို ဖန်တီးရန် လိုအပ်ပါသည်။ ပြီးလျှင် dir တွင် သတ်မှတ်ထားသည့် လမ်းကြောင်းတစ်လျှောက် ဤလမ်းညွှန်တွင် ထားလိုက်ပါ (ကျွန်ုပ်တွင် /Users/username/bin/openSSLca/demoCA)။

   dir ကို မှန်ကန်စွာ စာလုံးပေါင်းတတ်ရန် အလွန်အရေးကြီးပါသည် - ဤသည်မှာ ကျွန်ုပ်တို့၏ လက်မှတ်ဌာနတည်ရှိရာ လမ်းညွှန်လမ်းကြောင်းဆီသို့ ဖြစ်ပါသည်။ ဤလမ်းညွှန်ချက်သည် /Users (အသုံးပြုသူအချို့၏အကောင့်ထဲတွင်) တွင်တည်ရှိရပါမည်။ ဥပမာအားဖြင့်၊ သင်သည် ဤလမ်းညွှန်ချက်ကို C: Program Files တွင်ထားပါက၊ system သည် openssl.cfg ဆက်တင်များဖြင့် ဖိုင်ကိုမြင်ရလိမ့်မည်မဟုတ်ပါ (အနည်းဆုံးတော့ ကျွန်ုပ်အတွက် ထိုကဲ့သို့ဖြစ်သည်)။

   $dir - dir တွင် သတ်မှတ်ထားသော လမ်းကြောင်းကို ဤနေရာတွင် အစားထိုးထားသည်။

   နောက်ထပ်အရေးကြီးသောအချက်မှာ အလွတ် index.txt ဖိုင်ကို ဖန်တီးရန်ဖြစ်ပြီး၊ ဤဖိုင်မပါဘဲ “openSSL ca…” ညွှန်ကြားချက်များသည် အလုပ်မဖြစ်ပါ။

   သင့်တွင် အမှတ်စဉ်ဖိုင်၊ root သီးသန့်ကီး (ca.key)၊ root လက်မှတ် (ca.crt) လည်းရှိရန် လိုအပ်ပါသည်။ ဤဖိုင်များရရှိရေး လုပ်ငန်းစဉ်ကို အောက်တွင် ဖော်ပြပါမည်။

6. Rutoken မှပေးသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ကျွန်ုပ်တို့ ချိတ်ဆက်ပါသည်။
   ဤချိတ်ဆက်မှုသည် openssl.cfg ဖိုင်တွင် တည်ရှိသည်။
   • ပထမဆုံးအနေနဲ့ လိုအပ်တဲ့ Rutoken algorithms တွေကို ဒေါင်းလုဒ်လုပ်ရပါမယ်။ ၎င်းတို့သည် rtengine.dll, rtpkcs11ecp.dll ဖိုင်များဖြစ်သည်။
     ဒါကိုလုပ်ဖို့ Rutoken SDK ကိုဒေါင်းလုဒ်လုပ်ပါ။ www.rutoken.ru/developers/sdk.

     Rutoken SDK သည် Rutoken ကိုစမ်းသုံးလိုသော developer များအတွက်ဖြစ်သည်။ မတူညီသော ပရိုဂရမ်းမင်းဘာသာစကားများဖြင့် Rutoken နှင့် လုပ်ဆောင်ခြင်းအတွက် သီးခြားဥပမာနှစ်ခုလုံးရှိပြီး အချို့စာကြည့်တိုက်များကို တင်ပြထားပါသည်။ ကျွန်ုပ်တို့၏စာကြည့်တိုက်များသည် rtengine.dll နှင့် rtpkcs11ecp.dll တို့သည် Rutoken sdk တွင် အသီးသီးတည်ရှိပြီး တည်နေရာ-

     sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll

     အလွန်အရေးကြီးသောအချက်ဖြစ်သည်။ Libraries rtengine.dll၊ rtpkcs11ecp.dll သည် Rutoken အတွက် ထည့်သွင်းထားသော driver မပါဘဲ အလုပ်မလုပ်ပါ။ ဒါ့အပြင် Rutoken ကိုလည်း ကွန်ပျူတာနဲ့ ချိတ်ဆက်ထားရပါမယ်။ (Rutoken အတွက် သင်လိုအပ်သမျှကို ထည့်သွင်းရန်အတွက်၊ ဆောင်းပါး၏ ယခင်အပိုင်းကို ကြည့်ပါ။ habr.com/en/post/506450)

   • rtengine.dll နှင့် rtpkcs11ecp.dll စာကြည့်တိုက်များကို အသုံးပြုသူအကောင့်၏ မည်သည့်နေရာတွင်မဆို သိမ်းဆည်းထားနိုင်သည်။
   • ဤစာကြည့်တိုက်များသို့ လမ်းကြောင်းများကို openssl.cfg တွင် ရေးပါသည်။ ဒါကိုလုပ်ဖို့ openssl.cfg ဖိုင်ကိုဖွင့်ပြီး ဒီဖိုင်ရဲ့အစမှာ စာကြောင်းထည့်ပါ။

     openssl_conf = openssl_def

     ဖိုင်၏အဆုံးတွင် သင်ထည့်ရန်လိုအပ်သည်-

     [ openssl_def ]
     engines = engine_section
     [ engine_section ]
     rtengine = gost_section
     [ gost_section ]
     dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
     RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
     default_algorithms = CIPHERS, DIGEST, PKEY, RAND
     

     dynamic_path - သင်သည် rtengine.dll စာကြည့်တိုက်သို့ သင်၏လမ်းကြောင်းကို သတ်မှတ်ရပါမည်။
     MODULE_PATH - သင်သည် rtpkcs11ecp.dll စာကြည့်တိုက်သို့ သင်၏လမ်းကြောင်းကို သတ်မှတ်ရန် လိုအပ်သည်။

7. ပတ်ဝန်းကျင် ကိန်းရှင်များကို ထည့်ခြင်း။

   openssl.cfg configuration ဖိုင်သို့ လမ်းကြောင်းကို သတ်မှတ်သည့် ပတ်၀န်းကျင် ကိန်းရှင်ကို ထည့်ရန် သေချာပါစေ။ ငါ့ကိစ္စတွင်၊ OPENSSL_CONF ကိန်းရှင်ကို C:Program FilesOpenSSL-Win64binopenssl.cfg လမ်းကြောင်းဖြင့် ဖန်တီးထားသည်။

   path variable တွင် openssl.exe တည်ရှိသည့် folder သို့ လမ်းကြောင်းကို သတ်မှတ်ရမည်၊ ကျွန်ုပ်၏ ကိစ္စမှာ C: Program FilesOpenSSL-Win64bin ဖြစ်သည်။

8. ယခု သင်သည် အဆင့် 5 သို့ပြန်သွားပြီး demoCA လမ်းညွှန်အတွက် ပျောက်ဆုံးနေသောဖိုင်များကို ဖန်တီးနိုင်ပါပြီ။
   1. မည်သည့်အရာမှ အလုပ်မလုပ်ဘဲ ပထမဆုံးအရေးကြီးသောဖိုင်သည် အမှတ်စဉ်ဖြစ်သည်။ ၎င်းသည် တိုးချဲ့မှုမပါသောဖိုင်ဖြစ်ပြီး၊ တန်ဖိုးမှာ 01 ဖြစ်သင့်သည်။ ဤဖိုင်ကို သင်ကိုယ်တိုင်ဖန်တီးပြီး အတွင်းတွင် 01 ဟုရေးနိုင်သည်။ ၎င်းကို Rutoken SDK လမ်းကြောင်းတစ်လျှောက် sdk/openssl/rtengine/samples/tool/demoCA မှလည်း ဒေါင်းလုဒ်လုပ်နိုင်ပါသည်။ /.
      demoCA လမ်းညွှန်တွင် ကျွန်ုပ်တို့လိုအပ်သည့် အတိအကျဖြစ်သည့် အမှတ်စဉ်ဖိုင်ပါရှိသည်။
   2. root သီးသန့်ကီး ဖန်တီးပါ။
      ၎င်းကိုလုပ်ဆောင်ရန်၊ ကျွန်ုပ်တို့သည် command line တွင်တိုက်ရိုက်လုပ်ဆောင်ရမည့် openSSL library command ကိုအသုံးပြုပါမည်-

      openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key

   3. ကျွန်ုပ်တို့သည် root လက်မှတ်တစ်ခုဖန်တီးသည်။
      ဒါကိုလုပ်ဖို့၊ အောက်ပါ openSSL စာကြည့်တိုက် command ကိုသုံးပါ။

      openssl req -utf8 -x509 -key ca.key -out ca.crt

      ယခင်အဆင့်တွင် ထုတ်ပေးခဲ့သည့် root သီးသန့်ကီးကို အရင်းလက်မှတ်ထုတ်ပေးရန် လိုအပ်ကြောင်း ကျေးဇူးပြု၍ သတိပြုပါ။ ထို့ကြောင့်၊ command line ကို တူညီသော directory တွင် စတင်ရပါမည်။

   ယခုအခါ အားလုံးတွင် demoCA လမ်းညွှန်၏ ပြီးပြည့်စုံသော ဖွဲ့စည်းမှုပုံစံအတွက် ပျောက်ဆုံးနေသော ဖိုင်များ အားလုံးရှိသည်။ ဖန်တီးထားသောဖိုင်များကို အမှတ် 5 တွင်ဖော်ပြထားသော လမ်းညွှန်များထဲတွင် ထည့်ပါ။

အချက် ၈ ချက်စလုံးကို ပြီးမြောက်ပြီးနောက်၊ ကျွန်ုပ်တို့၏ လက်မှတ်ဌာနကို အပြည့်အဝ ပြင်ဆင်သတ်မှတ်ထားကြောင်း ကျွန်ုပ်တို့ ယူဆပါမည်။

နောက်အပိုင်းမှာတော့ ဖော်ပြထားတဲ့ အရာတွေကို ပြီးမြောက်ဖို့အတွက် အသိအမှတ်ပြု အာဏာပိုင်တွေနဲ့ ဘယ်လို လက်တွဲဆောင်ရွက်မလဲဆိုတာကို ဖော်ပြသွားမှာဖြစ်ပါတယ်။ ဆောင်းပါး၏ယခင်အပိုင်း.

source: www.habr.com