🥇 प्रणालीमा प्रयोगकर्ताहरूलाई दर्ता र अधिकृत गर्न रुटोकेन प्रविधि प्रयोग गर्ने अनुभव (भाग २)

शुभ दिउँसो यो विषय संग जारी गरौंअघिल्लो भाग लिङ्कमा फेला पार्न सकिन्छ).

आज हामी व्यावहारिक भागमा जान्छौं। पूर्ण विकसित खुला स्रोत क्रिप्टोग्राफिक पुस्तकालय openSSL मा आधारित हाम्रो CA सेटअप गरेर सुरु गरौं। यो एल्गोरिथ्म विन्डोज 7 प्रयोग गरेर परीक्षण गरिएको छ।

OpenSSL स्थापना भएकोले, हामी कमाण्ड लाइन मार्फत विभिन्न क्रिप्टोग्राफिक कार्यहरू (जस्तै कुञ्जी र प्रमाणपत्रहरू सिर्जना गर्ने) गर्न सक्छौं।

कार्यहरूको एल्गोरिथ्म निम्नानुसार छ:

स्थापना वितरण openssl-1.1.1g डाउनलोड गर्नुहोस्।
openSSL को विभिन्न संस्करणहरू छन्। रुटोकेनका लागि कागजातले ओपनएसएसएल संस्करण १.१.० वा नयाँ आवश्यक छ भनी बताएको छ। मैले openssl-1.1.0g संस्करण प्रयोग गरें। तपाईं आधिकारिक साइटबाट openSSL डाउनलोड गर्न सक्नुहुन्छ, तर सजिलो स्थापनाको लागि, तपाईंले नेटमा विन्डोजको लागि स्थापना फाइल फेला पार्न आवश्यक छ। मैले तपाईंको लागि यो गरें: slproweb.com/products/Win32OpenSSL.html
पृष्ठ तल स्क्रोल गर्नुहोस् र Win64 OpenSSL v1.1.1g EXE 63MB स्थापनाकर्ता डाउनलोड गर्नुहोस्।
कम्प्युटरमा openssl-1.1.1g स्थापना गर्नुहोस्।
स्थापना मानक मार्ग अनुसार गरिनु पर्छ, जुन स्वचालित रूपमा C: प्रोग्राम फाइल फोल्डरमा संकेत गरिएको छ। कार्यक्रम OpenSSL-Win64 फोल्डरमा स्थापित हुनेछ।
ओपनएसएसएल सेटअप गर्नको लागि तपाईलाई आवश्यक छ, त्यहाँ openssl.cfg फाइल छ। यो फाइल C:\Program Files\OpenSSL-Win64bin पथमा अवस्थित छ यदि तपाईंले अघिल्लो अनुच्छेदमा वर्णन गरिए अनुसार openSSL स्थापना गर्नुभयो। openssl.cfg भण्डारण गरिएको फोल्डरमा जानुहोस् र यो फाइल खोल्नुहोस्, उदाहरणका लागि, Notepad++।
तपाईंले सायद अनुमान गर्नुभएको छ कि प्रमाणीकरण प्राधिकरण कुनै न कुनै रूपमा openssl.cfg फाइलको सामग्री परिवर्तन गरेर कन्फिगर हुनेछ, र तपाईं बिल्कुल सही हुनुहुन्छ। यसका लागि [ca] आदेशको अनुकूलन आवश्यक छ। openssl.cfg फाइलमा, हामीले परिवर्तन गर्ने पाठको शुरुवात निम्न रूपमा फेला पार्न सकिन्छ: [ ca ]।
अब म यसको विवरणको साथ सेटिङको उदाहरण दिनेछु:
```
[ ca ]
default_ca	= CA_default		

 [ CA_default ]
dir		= /Users/username/bin/openSSLca/demoCA		 
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts	
certificate	= $dir/ca.crt 	
serial		= $dir/private/serial 		
crlnumber	= $dir/crlnumber	
					
crl		= $dir/crl.pem 		
private_key	= $dir/private/ca.key
x509_extensions	= usr_cert
```
अब हामीले माथिको उदाहरणमा देखाइए अनुसार डेमोसीए डाइरेक्टरी र उपनिर्देशिकाहरू सिर्जना गर्न आवश्यक छ। र dir मा निर्दिष्ट गरिएको मार्गमा यो डाइरेक्टरीमा राख्नुहोस् (मसँग /प्रयोगकर्ता/प्रयोगकर्ता नाम/बिन/openSSLca/demoCA छ)।

यो dir सही हिज्जे गर्न धेरै महत्त्वपूर्ण छ - यो हाम्रो प्रमाणीकरण केन्द्र स्थित डाइरेक्टरी को बाटो हो। यो डाइरेक्टरी / प्रयोगकर्ताहरूमा अवस्थित हुनुपर्छ (अर्थात, केही प्रयोगकर्ताको खातामा)। यदि तपाईंले यो डाइरेक्टरी राख्नुभयो भने, उदाहरणका लागि, C: Program Files मा, प्रणालीले openssl.cfg सेटिङहरूसँग फाइल देख्ने छैन (कम्तीमा यो मेरो लागि त्यस्तै थियो)।

$dir - dir मा निर्दिष्ट मार्ग यहाँ प्रतिस्थापन गरिएको छ।

अर्को महत्त्वपूर्ण बिन्दु एउटा खाली index.txt फाइल सिर्जना गर्नु हो, यो फाइल बिना "openSSL ca …" आदेशहरूले काम गर्दैन।

तपाईंसँग सीरियल फाइल, रूट निजी कुञ्जी (ca.key), रूट प्रमाणपत्र (ca.crt) पनि हुन आवश्यक छ। यी फाइलहरू प्राप्त गर्ने प्रक्रिया तल वर्णन गरिनेछ।
हामी Rutoken द्वारा प्रदान गरिएको एन्क्रिप्शन एल्गोरिदम जडान गर्छौं।
यो जडान openssl.cfg फाइलमा हुन्छ।
- सबै भन्दा पहिले, तपाईंले आवश्यक Rutoken एल्गोरिदम डाउनलोड गर्न आवश्यक छ। यी फाइलहरू rtengine.dll, rtpkcs11ecp.dll हुन्।
  यो गर्नको लागि, Rutoken SDK डाउनलोड गर्नुहोस्: www.rutoken.ru/developers/sdk.
  
  Rutoken SDK सबै विकासकर्ताहरूका लागि छ जो Rutoken प्रयास गर्न चाहन्छन्। विभिन्न प्रोग्रामिङ भाषाहरूमा Rutoken सँग काम गर्नका लागि दुवै अलग उदाहरणहरू छन्, र केही पुस्तकालयहरू प्रस्तुत गरिएका छन्। हाम्रा पुस्तकालयहरू rtengine.dll र rtpkcs11ecp.dll क्रमशः Rutoken sdk मा, स्थानमा अवस्थित छन्:
  
  sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
  sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
  
  एक धेरै महत्त्वपूर्ण बिन्दु। पुस्तकालयहरू rtengine.dll, rtpkcs11ecp.dll Rutoken को लागि स्थापित ड्राइभर बिना काम गर्दैन। साथै Rutoken कम्प्युटरमा जडान हुनुपर्छ। (रुटोकेनको लागि तपाईलाई आवश्यक सबै स्थापना गर्नको लागि, लेखको अघिल्लो भाग हेर्नुहोस् habr.com/en/post/506450)
- rtengine.dll र rtpkcs11ecp.dll पुस्तकालयहरू प्रयोगकर्ता खातामा जहाँ पनि राख्न सकिन्छ।
- हामी Openssl.cfg मा यी पुस्तकालयहरूको मार्गहरू लेख्छौं। यो गर्नको लागि, openssl.cfg फाइल खोल्नुहोस्, यो फाइलको सुरुमा लाइन राख्नुहोस्:
```
openssl_conf = openssl_def
```
  फाइलको अन्त्यमा तपाईंले थप्नु पर्छ:
```
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
```
  dynamic_path - तपाईंले rtengine.dll पुस्तकालयमा आफ्नो मार्ग निर्दिष्ट गर्नुपर्छ।
  MODULE_PATH - तपाईंले rtpkcs11ecp.dll पुस्तकालयमा आफ्नो मार्ग लेख्नुपर्छ।
वातावरण चर थप्दै।
Openssl.cfg कन्फिगरेसन फाइलमा मार्ग निर्दिष्ट गर्ने वातावरणीय चर थप्न निश्चित हुनुहोस्। मेरो केसमा, OPENSSL_CONF चर C:Program FilesOpenSSL-Win64binopenssl.cfg मार्गको साथ सिर्जना गरिएको थियो।

पथ चरमा, तपाईंले फोल्डरमा बाटो निर्दिष्ट गर्नुपर्छ जहाँ openssl.exe अवस्थित छ, मेरो मामलामा यो हो: C: Program FilesOpenSSL-Win64bin।
अब तपाईं चरण 5 मा फर्कन सक्नुहुन्छ र डेमोसीए डाइरेक्टरीका लागि छुटेका फाइलहरू सिर्जना गर्न सक्नुहुन्छ।
1. पहिलो महत्त्वपूर्ण फाइल जस बिना केहि काम गर्दैन सीरियल हो। यो एक्स्टेन्सन बिनाको फाइल हो, जसको मान ०१ हुनुपर्छ। तपाईं आफैले यो फाइल सिर्जना गर्न सक्नुहुन्छ र भित्र ०१ लेख्न सक्नुहुन्छ। तपाईं यसलाई रुटोकन SDK बाट पनि डाउनलोड गर्न सक्नुहुन्छ sdk/openssl/rtengine/samples/tool/demoCA /।
  डेमोसीए डाइरेक्टरीले सीरियल फाइल समावेश गर्दछ, जुन वास्तवमा हामीलाई चाहिन्छ।
2. रूट निजी कुञ्जी सिर्जना गर्नुहोस्।
  यो गर्नको लागि, हामी ओपनएसएसएल लाइब्रेरी कमाण्ड प्रयोग गर्नेछौं, जुन सीधा कमाण्ड लाइनमा चलाउनु पर्छ:
```
openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key
```
3. हामी मूल प्रमाणपत्र सिर्जना गर्छौं।
  यो गर्नको लागि, निम्न openSSL पुस्तकालय आदेश प्रयोग गर्नुहोस्:
```
openssl req -utf8 -x509 -key ca.key -out ca.crt
```
  कृपया ध्यान दिनुहोस् कि मूल निजी कुञ्जी, जुन अघिल्लो चरणमा उत्पन्न गरिएको थियो, मूल प्रमाणपत्र उत्पन्न गर्न आवश्यक छ। त्यसकारण, कमाण्ड लाइन एउटै डाइरेक्टरीमा सुरु हुनुपर्छ।
डेमोसीए डाइरेक्टरीको पूर्ण कन्फिगरेसनको लागि अब सबै हराइरहेको फाइलहरू छन्। बिन्दु 5 मा संकेत गरिएका निर्देशिकाहरूमा सिर्जना गरिएका फाइलहरू राख्नुहोस्।

हामी मान्नेछौं कि सबै 8 बिन्दुहरू पूरा गरेपछि, हाम्रो प्रमाणीकरण केन्द्र पूर्ण रूपमा कन्फिगर गरिएको छ।

अर्को भागमा, म वर्णन गर्नेछु कि हामी कसरी प्रमाणीकरण प्राधिकरणसँग काम गर्नेछौं जसमा वर्णन गरिएको थियो। लेखको अघिल्लो भाग.

स्रोत: www.habr.com

प्रणालीमा प्रयोगकर्ताहरू दर्ता र अधिकार दिन रुटोकेन प्रविधि प्रयोग गर्ने अनुभव (भाग २)

एक टिप्पणी थप्न Отменить ответ