USB टोकन प्रयोग गरेर साइटमा दुई-कारक प्रमाणीकरण। अब लिनक्सको लागि पनि

В हाम्रो अघिल्लो लेख मध्ये एक हामीले कम्पनीहरूको कर्पोरेट पोर्टलहरूमा दुई-कारक प्रमाणीकरणको महत्त्वको बारेमा कुरा गर्यौं। पछिल्लो पटक हामीले IIS वेब सर्भरमा कसरी सुरक्षित प्रमाणीकरण सेटअप गर्ने भनेर प्रदर्शन गर्यौं।

टिप्पणीहरूमा, हामीलाई लिनक्स - nginx र Apache को लागि सबैभन्दा सामान्य वेब सर्भरहरूको लागि निर्देशनहरू लेख्न भनियो।

तपाईंले सोध्नुभयो - हामीले लेख्यौं।

तपाईंलाई सुरु गर्न के चाहिन्छ?

• कुनै पनि आधुनिक लिनक्स वितरण। मैले MX Linux 18.2_x64 मा परीक्षण सेटअप गरें। यो अवश्य पनि सर्भर वितरण होइन, तर डेबियनको लागि कुनै भिन्नता हुने सम्भावना छैन। अन्य वितरणका लागि, कन्फिगरेसन पुस्तकालयहरूमा जाने बाटोहरू थोरै फरक हुन सक्छन्।
• टोकन। हामी मोडेल प्रयोग गर्न जारी छ Rutoken EDS PKI, जुन कर्पोरेट प्रयोगको लागि गति विशेषताहरूको सन्दर्भमा आदर्श हो।
• लिनक्समा टोकनसँग काम गर्न, तपाईंले निम्न प्याकेजहरू स्थापना गर्न आवश्यक छ:
  libccid libpcsclite1 pcscd pcsc-उपकरणहरू opensc

प्रमाणपत्र जारी गर्दै

अघिल्लो लेखहरूमा, हामीले Microsoft CA प्रयोग गरेर सर्भर र क्लाइन्ट प्रमाणपत्रहरू जारी गरिनेछ भन्ने तथ्यमा भर परेका थियौं। तर हामीले लिनक्समा सबै कुरा सेटअप गरिरहँदा, हामी तपाईंलाई यी प्रमाणपत्रहरू जारी गर्ने वैकल्पिक तरिकाको बारेमा पनि बताउनेछौं - लिनक्स नछोडिकन।
हामी XCA को CA को रूपमा प्रयोग गर्नेछौं (https://hohnstaedt.de/xca/), जुन कुनै पनि आधुनिक लिनक्स वितरणमा उपलब्ध छ। हामीले XCA मा गर्ने सबै कार्यहरू OpenSSL र pkcs11-उपकरण उपयोगिताहरू प्रयोग गरेर कमाण्ड लाइन मोडमा गर्न सकिन्छ, तर अधिक सरलता र स्पष्टताको लागि, हामी तिनीहरूलाई यस लेखमा प्रस्तुत गर्दैनौं।

सुरुवात

1. स्थापना गर्नुहोस्:

   $ apt-get install xca

2. र हामी दौडन्छौं:

   $ xca

3. हामी CA - /root/CA.xdb को लागि हाम्रो डाटाबेस सिर्जना गर्छौं
   हामी सर्टिफिकेट प्राधिकरण डाटाबेसलाई फोल्डरमा भण्डारण गर्न सिफारिस गर्छौं जहाँ प्रशासकको मात्र पहुँच छ। यो रूट प्रमाणपत्रहरूको निजी कुञ्जीहरू सुरक्षित गर्न महत्त्वपूर्ण छ, जुन अन्य सबै प्रमाणपत्रहरूमा हस्ताक्षर गर्न प्रयोग गरिन्छ।

कुञ्जीहरू र रूट CA प्रमाणपत्र सिर्जना गर्नुहोस्

सार्वजनिक कुञ्जी पूर्वाधार (PKI) पदानुक्रम प्रणालीमा आधारित छ। यस प्रणालीमा मुख्य कुरा रूट प्रमाणीकरण प्राधिकरण वा रूट CA हो। यसको प्रमाणपत्र पहिले सिर्जना गर्नुपर्छ।

1. हामीले CA को लागि RSA-2048 निजी कुञ्जी सिर्जना गर्छौं। यो गर्नको लागि, ट्याबमा निजी कुञ्जीहरू ।। नयाँ कुञ्जी र उपयुक्त प्रकार चयन गर्नुहोस्।
2. नयाँ कुञ्जी जोडीको लागि नाम सेट गर्नुहोस्। मैले यसलाई CA कुञ्जी भनें।
3. हामी सिर्जना गरिएको कुञ्जी जोडी प्रयोग गरेर CA प्रमाणपत्र आफै जारी गर्छौं। यो गर्नको लागि, ट्याबमा जानुहोस् सर्टिफिकेट र क्लिक गर्नुहोस् नयाँ प्रमाणपत्र.
4. छनौट गर्न निश्चित हुनुहोस् SHA-256, किनभने SHA-1 को प्रयोग अब सुरक्षित मान्न सकिँदैन।
5. टेम्प्लेटको रूपमा छनौट गर्न निश्चित हुनुहोस् [पूर्वनिर्धारित] CA। क्लिक गर्न नबिर्सनुहोस् सबै लागू गर्नुहोस्, अन्यथा टेम्प्लेट लागू हुँदैन।
6. ट्याबमा विषय हाम्रो प्रमुख जोडी छान्नुहोस्। त्यहाँ तपाइँ प्रमाणपत्रको सबै मुख्य क्षेत्रहरू भर्न सक्नुहुन्छ।

कुञ्जीहरू र https सर्भर प्रमाणपत्र सिर्जना गर्नुहोस्

1. त्यसै गरी, हामीले सर्भरको लागि RSA-2048 निजी कुञ्जी सिर्जना गर्छौं, मैले यसलाई सर्भर कुञ्जी भनिन्छ।
2. प्रमाणपत्र सिर्जना गर्दा, हामी चयन गर्छौं कि सर्भर प्रमाणपत्र CA प्रमाणपत्रसँग हस्ताक्षर गरिएको हुनुपर्छ।
3. चयन गर्न नबिर्सनुहोस् SHA-256.
4. हामी टेम्प्लेटको रूपमा छनौट गर्छौं [पूर्वनिर्धारित] HTTPS_सर्भर। थिच्नुस सबै लागू गर्नुहोस्.
5. त्यसपछि ट्याबमा विषय हाम्रो कुञ्जी चयन गर्नुहोस् र आवश्यक क्षेत्रहरू भर्नुहोस्।

प्रयोगकर्ताको लागि कुञ्जी र प्रमाणपत्र सिर्जना गर्नुहोस्

1. प्रयोगकर्ताको निजी कुञ्जी हाम्रो टोकनमा भण्डारण गरिनेछ। यसको साथ काम गर्न, तपाईंले हाम्रो वेबसाइटबाट PKCS#11 पुस्तकालय स्थापना गर्न आवश्यक छ। लोकप्रिय वितरणको लागि, हामी यहाँ अवस्थित तयार-बनाएका प्याकेजहरू वितरण गर्छौं - https://www.rutoken.ru/support/download/pkcs/। हामीसँग arm64, armv7el, armv7hf, e2k, mipso32el को लागि एसेम्बलीहरू पनि छन्, जुन हाम्रो SDK बाट डाउनलोड गर्न सकिन्छ - https://www.rutoken.ru/developers/sdk/। लिनक्सका लागि एसेम्बलीहरू बाहेक, त्यहाँ म्याकओएस, फ्रीबीएसडी र एन्ड्रोइडका लागि सम्मेलनहरू पनि छन्।
2. XCA मा नयाँ PKCS#11 प्रदायक थप्दै। यो गर्नका लागि, मेनुमा जानुहोस् विकल्प ट्याबमा PKCS#11 प्रदायक.
3. हामी थिच्छौं थप र PKCS#11 पुस्तकालयमा जाने बाटो चयन गर्नुहोस्। मेरो मामला मा यो usrliblibrtpkcs11ecp.so हो।
4. हामीलाई ढाँचा गरिएको Rutoken EDS PKI टोकन चाहिन्छ। rtAdmin उपयोगिता डाउनलोड गर्नुहोस् - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. हामी बोक्छौं

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. हामीले कुञ्जी प्रकारको रूपमा Rutoken EDS PKI को लागि RSA-2048 कुञ्जी चयन गर्छौं। मैले यो कुञ्जी ग्राहक कुञ्जीलाई बोलाएँ।

   

7. PIN कोड प्रविष्ट गर्नुहोस्। र हामी कुञ्जी जोडीको हार्डवेयर उत्पादन पूरा हुनको लागि पर्खिरहेका छौं

   

8. हामी प्रयोगकर्ताको लागि सर्भर प्रमाणपत्रसँग समानताद्वारा प्रमाणपत्र सिर्जना गर्छौं। यस पटक हामी टेम्प्लेट चयन गर्छौं [पूर्वनिर्धारित] HTTPS_client र क्लिक गर्न नबिर्सनुहोस् सबै लागू गर्नुहोस्.
9. ट्याबमा विषय प्रयोगकर्ता बारे जानकारी प्रविष्ट गर्नुहोस्। हामी टोकनको लागि प्रमाणपत्र बचत गर्न अनुरोधको सकारात्मक जवाफ दिन्छौं।

फलस्वरूप, ट्याबमा .Ы XCA मा तपाईंले यस्तो केहि प्राप्त गर्नुपर्छ।

कुञ्जी र प्रमाणपत्रहरूको यो न्यूनतम सेट सर्भरहरू आफैं सेटअप गर्न सुरु गर्न पर्याप्त छ।

कन्फिगर गर्न, हामीले CA प्रमाणपत्र, सर्भर प्रमाणपत्र र सर्भर निजी कुञ्जी निर्यात गर्न आवश्यक छ।

यो गर्नको लागि, XCA मा सम्बन्धित ट्याबमा इच्छित प्रविष्टि चयन गर्नुहोस् र क्लिक गर्नुहोस् निर्यात.

निजिनक्स

म nginx सर्भर कसरी स्थापना गर्ने र चलाउने भनेर लेख्ने छैन - त्यहाँ इन्टरनेटमा यस विषयमा पर्याप्त लेखहरू छन्, आधिकारिक कागजात उल्लेख नगर्न। टोकन प्रयोग गरेर HTTPS र दुई-कारक प्रमाणीकरण सेटअप गर्न सिधा जाऔं।

nginx.conf मा सर्भर खण्डमा निम्न रेखाहरू थप्नुहोस्:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx मा ssl कन्फिगर गर्न सम्बन्धित सबै प्यारामिटरहरूको विस्तृत विवरण यहाँ फेला पार्न सकिन्छ - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

मैले आफूलाई सोधेका कुराहरू म संक्षिप्त रूपमा वर्णन गर्नेछु:

• ssl_verify_client - प्रमाणपत्रको लागि विश्वासको श्रृंखला प्रमाणित गर्न आवश्यक छ भनेर निर्दिष्ट गर्दछ।
• ssl_verify_depth - श्रृंखलामा विश्वसनीय मूल प्रमाणपत्रको लागि खोजी गहिराइ परिभाषित गर्दछ। हाम्रो क्लाइन्ट प्रमाणपत्र तुरुन्तै मूल प्रमाणपत्रमा हस्ताक्षर गरिएको हुनाले, गहिराई 1 मा सेट गरिएको छ। यदि प्रयोगकर्ता प्रमाणपत्र एक मध्यवर्ती CA मा हस्ताक्षर गरिएको छ भने, त्यसपछि 2 यस प्यारामिटरमा निर्दिष्ट हुनुपर्छ, र यस्तै।
• ssl_client_certificate - विश्वसनीय रूट प्रमाणपत्रको लागि मार्ग निर्दिष्ट गर्दछ, जुन प्रयोगकर्ताको प्रमाणपत्रमा विश्वास जाँच गर्दा प्रयोग गरिन्छ।
• ssl_certificate/ssl_certificate_key - सर्भर प्रमाणपत्र/निजी कुञ्जीको मार्ग संकेत गर्नुहोस्।

nginx -t चलाउन नबिर्सनुहोस् कन्फिगरेसनमा कुनै टाईपोहरू छैनन्, र सबै फाइलहरू सही ठाउँमा छन्, र यस्तै।

र यो सबै हो! तपाईं देख्न सक्नुहुन्छ, सेटअप धेरै सरल छ।

यो Firefox मा काम गरिरहेको जाँच गर्दै

हामी लिनक्समा सबै कुरा पूर्ण रूपमा गर्छौं, हामी मान्नेछौं कि हाम्रा प्रयोगकर्ताहरूले लिनक्समा पनि काम गर्छन् (यदि तिनीहरूसँग विन्डोज छ भने अघिल्लो लेखमा ब्राउजरहरू सेटअप गर्नका लागि निर्देशनहरू हेर्नुहोस्.

1. फायरफक्स सुरु गरौं।
2. पहिले टोकन बिना लग इन गर्ने प्रयास गरौं। हामीले यो चित्र पाउँछौं:

   

3. जाऔं बारेमा: प्राथमिकताहरू # गोपनीयता, र हामी जान्छौं सुरक्षा उपकरणहरू…
4. हामी थिच्छौं लोडनयाँ PKCS#11 यन्त्र चालक थप्न र हाम्रो librtpkcs11ecp.so को मार्ग निर्दिष्ट गर्न।
5. प्रमाणपत्र देखिने छ भनेर जाँच गर्न, तपाईं जान सक्नुहुन्छ प्रमाणपत्र प्रबन्धक। तपाईंलाई आफ्नो PIN प्रविष्ट गर्न प्रेरित गरिनेछ। सही इनपुट पछि, तपाइँ ट्याबमा के छ भनेर जाँच गर्न सक्नुहुन्छ तपाईंको प्रमाणपत्रहरू टोकनबाट हाम्रो प्रमाणपत्र देखा पर्‍यो।
6. अब टोकन लिएर जाऔं। फायरफक्सले तपाइँलाई सर्भरको लागि चयन गरिने प्रमाणपत्र चयन गर्न प्रम्प्ट गर्दछ। हाम्रो प्रमाणपत्र छान्नुहोस्।

   

7. लाभ!

   

सेटअप एक पटक सकियो, र तपाईंले प्रमाणपत्र अनुरोध विन्डोमा देख्न सक्नुहुन्छ, हामी हाम्रो चयन बचत गर्न सक्छौं। यस पछि, प्रत्येक चोटि हामी पोर्टलमा लग इन गर्छौं, हामीले केवल टोकन घुसाउनु पर्छ र प्रयोगकर्ताको PIN कोड प्रविष्ट गर्नुपर्छ जुन ढाँचाको समयमा निर्दिष्ट गरिएको थियो। यस्तो प्रमाणीकरण पछि, सर्भरलाई पहिले नै थाहा छ कुन प्रयोगकर्ताले लग इन गरेको छ र तपाईले प्रमाणीकरणको लागि कुनै अतिरिक्त विन्डोहरू सिर्जना गर्न सक्नुहुन्न, तर तुरुन्तै प्रयोगकर्तालाई उसको व्यक्तिगत खातामा जान दिनुहोस्।

अपाचे

Nginx को साथ जस्तै, अपाचे स्थापना गर्न कसैलाई कुनै समस्या हुनुपर्दैन। यदि तपाइँ यो वेब सर्भर कसरी स्थापना गर्ने थाहा छैन भने, आधिकारिक कागजात प्रयोग गर्नुहोस्।

र हामी हाम्रो HTTPS र दुई-कारक प्रमाणीकरण सेटअप सुरु गर्छौं:

1. पहिले तपाईंले mod_ssl सक्रिय गर्न आवश्यक छ:

   $ a2enmod ssl

2. र त्यसपछि साइटको पूर्वनिर्धारित HTTPS सेटिङहरू सक्षम गर्नुहोस्:

   $ a2ensite default-ssl

3. अब हामी कन्फिगरेसन फाइल सम्पादन गर्छौं: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   तपाईले देख्न सक्नुहुन्छ, प्यारामिटरहरूको नाम व्यावहारिक रूपमा nginx मा प्यारामिटरहरूको नामसँग मेल खान्छ, त्यसैले म तिनीहरूलाई व्याख्या गर्दैन। फेरि, विवरणहरूमा रुचि राख्ने जो कोहीलाई कागजातमा स्वागत छ।
   अब हामी हाम्रो सर्भर पुन: सुरु:

   $ service apache2 reload
   $ service apache2 restart

तपाईले देख्न सक्नुहुने रूपमा, कुनै पनि वेब सर्भरमा दुई-कारक प्रमाणीकरण सेटअप गर्नुहोस्, चाहे Windows वा लिनक्समा, अधिकतम एक घण्टाको कुरा हो। र ब्राउजरहरू सेटअप गर्न लगभग 5 मिनेट लाग्छ। धेरै मानिसहरू सोच्छन् कि सेटअप र दुई-कारक प्रमाणीकरण संग काम गर्न गाह्रो र अस्पष्ट छ। मलाई आशा छ कि हाम्रो लेखले यो मिथकलाई कम्तिमा अलिकति खण्डन गर्दछ।

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

के तपाईंलाई GOST 34.10-2012 अनुसार प्रमाणपत्रहरू सहित TLS सेटअप गर्न निर्देशनहरू चाहिन्छ:

• हो, TLS-GOST धेरै आवश्यक छ

• होइन, GOST एल्गोरिदमको साथ ट्युनिङ रोचक छैन

44 प्रयोगकर्ताहरूले मतदान गरे। 9 प्रयोगकर्ताहरू रोकिए।

स्रोत: www.habr.com