🥇 ਇੱਕ USB ਟੋਕਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਾਈਟ 'ਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ। ਹੁਣ ਲੀਨਕਸ ਲਈ ਵੀ

В ਸਾਡੇ ਪਿਛਲੇ ਲੇਖਾਂ ਵਿੱਚੋਂ ਇੱਕ ਅਸੀਂ ਕੰਪਨੀਆਂ ਦੇ ਕਾਰਪੋਰੇਟ ਪੋਰਟਲ 'ਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਮਹੱਤਵ ਬਾਰੇ ਗੱਲ ਕੀਤੀ। ਪਿਛਲੀ ਵਾਰ ਅਸੀਂ ਦਿਖਾਇਆ ਸੀ ਕਿ IIS ਵੈੱਬ ਸਰਵਰ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਵੇਂ ਸੈਟ ਅਪ ਕਰਨੀ ਹੈ।

ਟਿੱਪਣੀਆਂ ਵਿੱਚ, ਸਾਨੂੰ ਲੀਨਕਸ - nginx ਅਤੇ Apache ਲਈ ਸਭ ਤੋਂ ਆਮ ਵੈਬ ਸਰਵਰਾਂ ਲਈ ਨਿਰਦੇਸ਼ ਲਿਖਣ ਲਈ ਕਿਹਾ ਗਿਆ ਸੀ।

ਤੁਸੀਂ ਪੁੱਛਿਆ - ਅਸੀਂ ਲਿਖਿਆ.

ਤੁਹਾਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਕੀ ਚਾਹੀਦਾ ਹੈ?

ਕੋਈ ਵੀ ਆਧੁਨਿਕ ਲੀਨਕਸ ਵੰਡ। ਮੈਂ MX Linux 18.2_x64 'ਤੇ ਇੱਕ ਟੈਸਟ ਸੈੱਟਅੱਪ ਕੀਤਾ ਹੈ। ਇਹ ਬੇਸ਼ਕ ਇੱਕ ਸਰਵਰ ਵੰਡ ਨਹੀਂ ਹੈ, ਪਰ ਡੇਬੀਅਨ ਲਈ ਕੋਈ ਅੰਤਰ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੈ. ਹੋਰ ਡਿਸਟਰੀਬਿਊਸ਼ਨਾਂ ਲਈ, ਸੰਰਚਨਾ ਲਾਇਬ੍ਰੇਰੀਆਂ ਲਈ ਮਾਰਗ ਥੋੜ੍ਹਾ ਵੱਖਰਾ ਹੋ ਸਕਦਾ ਹੈ।
ਟੋਕਨ। ਅਸੀਂ ਮਾਡਲ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦੇ ਹਾਂ Rutoken EDS PKI, ਜੋ ਕਾਰਪੋਰੇਟ ਵਰਤੋਂ ਲਈ ਸਪੀਡ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਆਦਰਸ਼ ਹੈ।
ਲੀਨਕਸ ਵਿੱਚ ਇੱਕ ਟੋਕਨ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ:
libccid libpcsclite1 pcscd pcsc-ਟੂਲ opensc

ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨਾ

ਪਿਛਲੇ ਲੇਖਾਂ ਵਿੱਚ, ਅਸੀਂ ਇਸ ਤੱਥ 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ ਹੈ ਕਿ ਸਰਵਰ ਅਤੇ ਕਲਾਇੰਟ ਸਰਟੀਫਿਕੇਟ Microsoft CA ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜਾਰੀ ਕੀਤੇ ਜਾਣਗੇ। ਪਰ ਕਿਉਂਕਿ ਅਸੀਂ ਲੀਨਕਸ ਵਿੱਚ ਸਭ ਕੁਝ ਸਥਾਪਤ ਕਰ ਰਹੇ ਹਾਂ, ਅਸੀਂ ਤੁਹਾਨੂੰ ਇਹ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਦੇ ਇੱਕ ਵਿਕਲਪਿਕ ਤਰੀਕੇ ਬਾਰੇ ਵੀ ਦੱਸਾਂਗੇ - Linux ਨੂੰ ਛੱਡੇ ਬਿਨਾਂ।
ਅਸੀਂ XCA ਨੂੰ CA (https://hohnstaedt.de/xca/), ਜੋ ਕਿ ਕਿਸੇ ਵੀ ਆਧੁਨਿਕ ਲੀਨਕਸ ਡਿਸਟਰੀਬਿਊਸ਼ਨ 'ਤੇ ਉਪਲਬਧ ਹੈ। ਸਾਰੀਆਂ ਕਾਰਵਾਈਆਂ ਜੋ ਅਸੀਂ XCA ਵਿੱਚ ਕਰਾਂਗੇ, OpenSSL ਅਤੇ pkcs11-ਟੂਲ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਮਾਂਡ ਲਾਈਨ ਮੋਡ ਵਿੱਚ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ, ਪਰ ਵਧੇਰੇ ਸਰਲਤਾ ਅਤੇ ਸਪਸ਼ਟਤਾ ਲਈ, ਅਸੀਂ ਉਹਨਾਂ ਨੂੰ ਇਸ ਲੇਖ ਵਿੱਚ ਪੇਸ਼ ਨਹੀਂ ਕਰਾਂਗੇ।

ਸ਼ੁਰੂਆਤ

ਸਥਾਪਿਤ ਕਰੋ:
```
$ apt-get install xca
```
ਅਤੇ ਅਸੀਂ ਚਲਾਉਂਦੇ ਹਾਂ:
```
$ xca
```
ਅਸੀਂ CA - /root/CA.xdb ਲਈ ਆਪਣਾ ਡੇਟਾਬੇਸ ਬਣਾਉਂਦੇ ਹਾਂ
ਅਸੀਂ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਡੇਟਾਬੇਸ ਨੂੰ ਇੱਕ ਫੋਲਡਰ ਵਿੱਚ ਸਟੋਰ ਕਰਨ ਦੀ ਸਿਫ਼ਾਰਿਸ਼ ਕਰਦੇ ਹਾਂ ਜਿੱਥੇ ਸਿਰਫ਼ ਪ੍ਰਸ਼ਾਸਕ ਦੀ ਪਹੁੰਚ ਹੈ। ਇਹ ਰੂਟ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀਆਂ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਜੋ ਹੋਰ ਸਾਰੇ ਸਰਟੀਫਿਕੇਟਾਂ 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਕੁੰਜੀਆਂ ਅਤੇ ਰੂਟ CA ਸਰਟੀਫਿਕੇਟ ਬਣਾਓ

ਇੱਕ ਜਨਤਕ ਕੁੰਜੀ ਬੁਨਿਆਦੀ ਢਾਂਚਾ (PKI) ਇੱਕ ਲੜੀਵਾਰ ਪ੍ਰਣਾਲੀ 'ਤੇ ਅਧਾਰਤ ਹੈ। ਇਸ ਸਿਸਟਮ ਵਿੱਚ ਮੁੱਖ ਚੀਜ਼ ਰੂਟ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਜਾਂ ਰੂਟ CA ਹੈ। ਇਸ ਦਾ ਸਰਟੀਫਿਕੇਟ ਪਹਿਲਾਂ ਬਣਾਇਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।

ਅਸੀਂ CA ਲਈ ਇੱਕ RSA-2048 ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਬਣਾਉਂਦੇ ਹਾਂ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਟੈਬ 'ਤੇ ਨਿੱਜੀ ਕੁੰਜੀਆਂ ਧੱਕਾ ਨਵੀਂ ਕੁੰਜੀ ਅਤੇ ਉਚਿਤ ਕਿਸਮ ਦੀ ਚੋਣ ਕਰੋ।
ਨਵੇਂ ਕੁੰਜੀ ਜੋੜੇ ਲਈ ਇੱਕ ਨਾਮ ਸੈੱਟ ਕਰੋ। ਮੈਂ ਇਸਨੂੰ CA ਕੁੰਜੀ ਕਿਹਾ।
ਅਸੀਂ ਬਣਾਈ ਕੁੰਜੀ ਜੋੜੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, CA ਸਰਟੀਫਿਕੇਟ ਖੁਦ ਜਾਰੀ ਕਰਦੇ ਹਾਂ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਟੈਬ 'ਤੇ ਜਾਓ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਦਬਾਓ ਨਵਾਂ ਸਰਟੀਫਿਕੇਟ.
ਚੁਣਨਾ ਯਕੀਨੀ ਬਣਾਓ SHA-256, ਕਿਉਂਕਿ SHA-1 ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਹੁਣ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਇੱਕ ਨਮੂਨੇ ਵਜੋਂ ਚੁਣਨਾ ਯਕੀਨੀ ਬਣਾਓ [ਡਿਫੌਲਟ] CA. 'ਤੇ ਕਲਿੱਕ ਕਰਨਾ ਨਾ ਭੁੱਲੋ ਸਾਰੇ ਲਾਗੂ ਕਰੋ, ਨਹੀਂ ਤਾਂ ਟੈਮਪਲੇਟ ਲਾਗੂ ਨਹੀਂ ਹੁੰਦਾ।
ਟੈਬ ਵਿੱਚ ਵਿਸ਼ਾ ਸਾਡਾ ਕੁੰਜੀ ਜੋੜਾ ਚੁਣੋ। ਉੱਥੇ ਤੁਸੀਂ ਸਰਟੀਫਿਕੇਟ ਦੇ ਸਾਰੇ ਮੁੱਖ ਖੇਤਰਾਂ ਨੂੰ ਭਰ ਸਕਦੇ ਹੋ।

ਕੁੰਜੀਆਂ ਅਤੇ ਇੱਕ https ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ ਬਣਾਉਣਾ

ਇਸੇ ਤਰ੍ਹਾਂ, ਅਸੀਂ ਸਰਵਰ ਲਈ ਇੱਕ RSA-2048 ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਬਣਾਉਂਦੇ ਹਾਂ, ਮੈਂ ਇਸਨੂੰ ਸਰਵਰ ਕੁੰਜੀ ਕਹਿੰਦੇ ਹਾਂ।
ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਬਣਾਉਣ ਵੇਲੇ, ਅਸੀਂ ਚੁਣਦੇ ਹਾਂ ਕਿ ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ ਇੱਕ CA ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਹਸਤਾਖਰਿਤ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।
ਚੁਣਨਾ ਨਾ ਭੁੱਲੋ SHA-256.
ਅਸੀਂ ਇੱਕ ਨਮੂਨੇ ਵਜੋਂ ਚੁਣਦੇ ਹਾਂ [ਡਿਫੌਲਟ] HTTPS_ਸਰਵਰ. 'ਤੇ ਕਲਿੱਕ ਕਰੋ ਸਾਰੇ ਲਾਗੂ ਕਰੋ.
ਫਿਰ ਟੈਬ 'ਤੇ ਵਿਸ਼ਾ ਸਾਡੀ ਕੁੰਜੀ ਚੁਣੋ ਅਤੇ ਲੋੜੀਂਦੇ ਖੇਤਰਾਂ ਨੂੰ ਭਰੋ।

ਉਪਭੋਗਤਾ ਲਈ ਕੁੰਜੀਆਂ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਬਣਾਓ

ਉਪਭੋਗਤਾ ਦੀ ਨਿੱਜੀ ਕੁੰਜੀ ਸਾਡੇ ਟੋਕਨ 'ਤੇ ਸਟੋਰ ਕੀਤੀ ਜਾਵੇਗੀ। ਇਸ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਸਾਡੀ ਵੈੱਬਸਾਈਟ ਤੋਂ PKCS#11 ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਪ੍ਰਸਿੱਧ ਡਿਸਟਰੀਬਿਊਸ਼ਨਾਂ ਲਈ, ਅਸੀਂ ਤਿਆਰ ਪੈਕੇਜ ਵੰਡਦੇ ਹਾਂ, ਜੋ ਇੱਥੇ ਸਥਿਤ ਹਨ - https://www.rutoken.ru/support/download/pkcs/. ਸਾਡੇ ਕੋਲ arm64, armv7el, armv7hf, e2k, mipso32el ਲਈ ਅਸੈਂਬਲੀਆਂ ਵੀ ਹਨ, ਜੋ ਸਾਡੇ SDK ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ - https://www.rutoken.ru/developers/sdk/. ਲੀਨਕਸ ਲਈ ਅਸੈਂਬਲੀਆਂ ਤੋਂ ਇਲਾਵਾ, ਮੈਕੋਸ, ਫ੍ਰੀਬੀਐਸਡੀ ਅਤੇ ਐਂਡਰੌਇਡ ਲਈ ਅਸੈਂਬਲੀਆਂ ਵੀ ਹਨ।
XCA ਵਿੱਚ ਇੱਕ ਨਵਾਂ PKCS#11 ਪ੍ਰਦਾਤਾ ਸ਼ਾਮਲ ਕਰਨਾ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਮੀਨੂ 'ਤੇ ਜਾਓ ਚੋਣ ਟੈਬ ਨੂੰ PKCS#11 ਪ੍ਰਦਾਤਾ.
ਅਸੀਂ ਦਬਾਉਂਦੇ ਹਾਂ ਜੋੜੋ ਅਤੇ PKCS#11 ਲਾਇਬ੍ਰੇਰੀ ਦਾ ਮਾਰਗ ਚੁਣੋ। ਮੇਰੇ ਕੇਸ ਵਿੱਚ ਇਹ usrliblibrtpkcs11ecp.so ਹੈ.
ਸਾਨੂੰ ਇੱਕ ਫਾਰਮੈਟ ਕੀਤੇ Rutoken EDS PKI ਟੋਕਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ। rtAdmin ਉਪਯੋਗਤਾ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰੋ - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

ਅਸੀਂ ਪੂਰਾ ਕਰਦੇ ਹਾਂ

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

ਅਸੀਂ ਕੁੰਜੀ ਕਿਸਮ ਦੇ ਤੌਰ 'ਤੇ Rutoken EDS PKI ਲਈ RSA-2048 ਕੁੰਜੀ ਚੁਣਦੇ ਹਾਂ। ਮੈਂ ਇਸ ਕੁੰਜੀ ਨੂੰ ਕਲਾਇੰਟ ਕੁੰਜੀ ਕਿਹਾ।
ਪਿੰਨ ਕੋਡ ਦਰਜ ਕਰੋ। ਅਤੇ ਅਸੀਂ ਕੁੰਜੀ ਜੋੜੀ ਦੇ ਹਾਰਡਵੇਅਰ ਉਤਪਾਦਨ ਦੇ ਪੂਰਾ ਹੋਣ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹਾਂ
ਅਸੀਂ ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਸਮਾਨਤਾ ਦੁਆਰਾ ਉਪਭੋਗਤਾ ਲਈ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਬਣਾਉਂਦੇ ਹਾਂ. ਇਸ ਵਾਰ ਅਸੀਂ ਇੱਕ ਟੈਂਪਲੇਟ ਚੁਣਦੇ ਹਾਂ [ਡਿਫੌਲਟ] HTTPS_client ਅਤੇ ਕਲਿੱਕ ਕਰਨਾ ਨਾ ਭੁੱਲੋ ਸਾਰੇ ਲਾਗੂ ਕਰੋ.
ਟੈਬ ਵਿੱਚ ਵਿਸ਼ਾ ਉਪਭੋਗਤਾ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦਰਜ ਕਰੋ। ਅਸੀਂ ਟੋਕਨ ਲਈ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੀ ਬੇਨਤੀ ਦਾ ਹਾਂ ਵਿਚ ਜਵਾਬ ਦਿੰਦੇ ਹਾਂ।

ਨਤੀਜੇ ਵਜੋਂ, ਟੈਬ 'ਤੇ ਸਰਟੀਫਿਕੇਟ XCA ਵਿੱਚ ਤੁਹਾਨੂੰ ਅਜਿਹਾ ਕੁਝ ਪ੍ਰਾਪਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਕੁੰਜੀਆਂ ਅਤੇ ਪ੍ਰਮਾਣ-ਪੱਤਰਾਂ ਦਾ ਇਹ ਘੱਟੋ-ਘੱਟ ਸੈੱਟ ਸਰਵਰਾਂ ਨੂੰ ਆਪਣੇ ਆਪ ਸਥਾਪਤ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਕਾਫੀ ਹੈ।

ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ, ਸਾਨੂੰ CA ਸਰਟੀਫਿਕੇਟ, ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਸਰਵਰ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਨੂੰ ਨਿਰਯਾਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

ਅਜਿਹਾ ਕਰਨ ਲਈ, XCA ਵਿੱਚ ਸੰਬੰਧਿਤ ਟੈਬ 'ਤੇ ਲੋੜੀਂਦੀ ਐਂਟਰੀ ਚੁਣੋ ਅਤੇ ਕਲਿੱਕ ਕਰੋ ਨਿਰਯਾਤ.

ਐਨਜੀਕਸ

ਮੈਂ ਇਸ ਬਾਰੇ ਨਹੀਂ ਲਿਖਾਂਗਾ ਕਿ ਐਨਜੀਨੈਕਸ ਸਰਵਰ ਨੂੰ ਕਿਵੇਂ ਸਥਾਪਿਤ ਕਰਨਾ ਹੈ ਅਤੇ ਚਲਾਉਣਾ ਹੈ - ਇੰਟਰਨੈਟ ਤੇ ਇਸ ਵਿਸ਼ੇ 'ਤੇ ਕਾਫ਼ੀ ਲੇਖ ਹਨ, ਅਧਿਕਾਰਤ ਦਸਤਾਵੇਜ਼ਾਂ ਦਾ ਜ਼ਿਕਰ ਕਰਨ ਲਈ ਨਹੀਂ. ਆਉ ਇੱਕ ਟੋਕਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ HTTPS ਅਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਸਿੱਧੇ ਚੱਲੀਏ।

nginx.conf ਵਿੱਚ ਸਰਵਰ ਭਾਗ ਵਿੱਚ ਹੇਠ ਲਿਖੀਆਂ ਲਾਈਨਾਂ ਜੋੜੋ:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx ਵਿੱਚ ssl ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਨਾਲ ਸਬੰਧਤ ਸਾਰੇ ਪੈਰਾਮੀਟਰਾਂ ਦਾ ਵਿਸਤ੍ਰਿਤ ਵੇਰਵਾ ਇੱਥੇ ਪਾਇਆ ਜਾ ਸਕਦਾ ਹੈ - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

ਮੈਂ ਉਹਨਾਂ ਬਾਰੇ ਸੰਖੇਪ ਵਿੱਚ ਵਰਣਨ ਕਰਾਂਗਾ ਜੋ ਮੈਂ ਆਪਣੇ ਆਪ ਤੋਂ ਪੁੱਛੇ:

ssl_verify_client - ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਸਰਟੀਫਿਕੇਟ ਲਈ ਟਰੱਸਟ ਦੀ ਲੜੀ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।
ssl_verify_depth - ਚੇਨ ਵਿੱਚ ਭਰੋਸੇਯੋਗ ਰੂਟ ਸਰਟੀਫਿਕੇਟ ਲਈ ਖੋਜ ਡੂੰਘਾਈ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਕਿਉਂਕਿ ਸਾਡਾ ਕਲਾਇੰਟ ਸਰਟੀਫਿਕੇਟ ਰੂਟ ਸਰਟੀਫਿਕੇਟ 'ਤੇ ਤੁਰੰਤ ਹਸਤਾਖਰਿਤ ਹੁੰਦਾ ਹੈ, ਇਸ ਲਈ ਡੂੰਘਾਈ 1 'ਤੇ ਸੈੱਟ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਜੇਕਰ ਉਪਭੋਗਤਾ ਸਰਟੀਫਿਕੇਟ ਇੱਕ ਇੰਟਰਮੀਡੀਏਟ CA 'ਤੇ ਦਸਤਖਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ 2 ਨੂੰ ਇਸ ਪੈਰਾਮੀਟਰ ਵਿੱਚ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਇਸ ਤਰ੍ਹਾਂ ਹੋਰ ਵੀ।
ssl_client_certificate - ਭਰੋਸੇਯੋਗ ਰੂਟ ਸਰਟੀਫਿਕੇਟ ਦਾ ਮਾਰਗ ਦਰਸਾਉਂਦਾ ਹੈ, ਜੋ ਉਪਭੋਗਤਾ ਦੇ ਸਰਟੀਫਿਕੇਟ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਦੀ ਜਾਂਚ ਕਰਨ ਵੇਲੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ssl_certificate/ssl_certificate_key - ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ/ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਦਾ ਮਾਰਗ ਦਰਸਾਉਂਦਾ ਹੈ।

nginx -t ਨੂੰ ਚਲਾਉਣਾ ਨਾ ਭੁੱਲੋ ਤਾਂ ਜੋ ਇਹ ਪਤਾ ਲਗਾਇਆ ਜਾ ਸਕੇ ਕਿ ਸੰਰਚਨਾ ਵਿੱਚ ਕੋਈ ਟਾਈਪੋਜ਼ ਨਹੀਂ ਹਨ, ਅਤੇ ਇਹ ਕਿ ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਸਹੀ ਥਾਂ 'ਤੇ ਹਨ, ਆਦਿ।

ਅਤੇ ਇਹ ਸਭ ਹੈ! ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਦੇਖ ਸਕਦੇ ਹੋ, ਸੈੱਟਅੱਪ ਬਹੁਤ ਹੀ ਸਧਾਰਨ ਹੈ.

ਜਾਂਚ ਕਰ ਰਿਹਾ ਹੈ ਕਿ ਇਹ ਫਾਇਰਫਾਕਸ ਵਿੱਚ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ

ਕਿਉਂਕਿ ਅਸੀਂ ਲੀਨਕਸ ਵਿੱਚ ਸਭ ਕੁਝ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕਰਦੇ ਹਾਂ, ਅਸੀਂ ਇਹ ਮੰਨਾਂਗੇ ਕਿ ਸਾਡੇ ਉਪਭੋਗਤਾ ਵੀ ਲੀਨਕਸ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹਨ (ਜੇ ਉਹਨਾਂ ਕੋਲ ਵਿੰਡੋਜ਼ ਹੈ, ਤਾਂ ਪਿਛਲੇ ਲੇਖ ਵਿੱਚ ਬ੍ਰਾਊਜ਼ਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦੇਖੋ.

ਚਲੋ ਫਾਇਰਫਾਕਸ ਲਾਂਚ ਕਰੀਏ।
ਆਓ ਪਹਿਲਾਂ ਬਿਨਾਂ ਟੋਕਨ ਦੇ ਲਾਗਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੀਏ। ਸਾਨੂੰ ਇਹ ਤਸਵੀਰ ਮਿਲਦੀ ਹੈ:
ਅਸੀਂ ਚਲਦੇ ਹਾਂ ਬਾਰੇ: ਪਸੰਦ # ਗੋਪਨੀਯਤਾ, ਅਤੇ ਅਸੀਂ ਜਾਂਦੇ ਹਾਂ ਸੁਰੱਖਿਆ ਉਪਕਰਨ…
ਅਸੀਂ ਦਬਾਉਂਦੇ ਹਾਂ ਲੋਡ ਕਰੋਇੱਕ ਨਵਾਂ PKCS#11 ਡਿਵਾਈਸ ਡ੍ਰਾਈਵਰ ਜੋੜਨ ਅਤੇ ਸਾਡੇ librtpkcs11ecp.so ਦਾ ਮਾਰਗ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ।
ਇਹ ਦੇਖਣ ਲਈ ਕਿ ਸਰਟੀਫਿਕੇਟ ਦਿਖਾਈ ਦੇ ਰਿਹਾ ਹੈ, ਤੁਸੀਂ ਜਾ ਸਕਦੇ ਹੋ ਸਰਟੀਫਿਕੇਟ ਮੈਨੇਜਰ. ਤੁਹਾਨੂੰ ਆਪਣਾ ਪਿੰਨ ਦਰਜ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਵੇਗਾ। ਸਹੀ ਇਨਪੁਟ ਤੋਂ ਬਾਅਦ, ਤੁਸੀਂ ਜਾਂਚ ਕਰ ਸਕਦੇ ਹੋ ਕਿ ਟੈਬ 'ਤੇ ਕੀ ਹੈ ਤੁਹਾਡੇ ਸਰਟੀਫਿਕੇਟ ਟੋਕਨ ਤੋਂ ਸਾਡਾ ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਗਟ ਹੋਇਆ।
ਹੁਣ ਟੋਕਨ ਨਾਲ ਚੱਲੀਏ। ਫਾਇਰਫਾਕਸ ਤੁਹਾਨੂੰ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਚੁਣਨ ਲਈ ਪੁੱਛਦਾ ਹੈ ਜੋ ਸਰਵਰ ਲਈ ਚੁਣਿਆ ਜਾਵੇਗਾ। ਸਾਡਾ ਸਰਟੀਫਿਕੇਟ ਚੁਣੋ।
ਲਾਭ!

ਸੈੱਟਅੱਪ ਇੱਕ ਵਾਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਸਰਟੀਫਿਕੇਟ ਬੇਨਤੀ ਵਿੰਡੋ ਵਿੱਚ ਦੇਖ ਸਕਦੇ ਹੋ, ਅਸੀਂ ਆਪਣੀ ਚੋਣ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰ ਸਕਦੇ ਹਾਂ। ਇਸ ਤੋਂ ਬਾਅਦ, ਹਰ ਵਾਰ ਜਦੋਂ ਅਸੀਂ ਪੋਰਟਲ ਵਿੱਚ ਲੌਗਇਨ ਕਰਦੇ ਹਾਂ, ਤਾਂ ਸਾਨੂੰ ਸਿਰਫ਼ ਇੱਕ ਟੋਕਨ ਪਾਉਣ ਅਤੇ ਉਪਭੋਗਤਾ ਪਿੰਨ ਕੋਡ ਨੂੰ ਦਾਖਲ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ ਜੋ ਫਾਰਮੈਟਿੰਗ ਦੌਰਾਨ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਅਜਿਹੀ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ, ਸਰਵਰ ਪਹਿਲਾਂ ਹੀ ਜਾਣਦਾ ਹੈ ਕਿ ਕਿਸ ਉਪਭੋਗਤਾ ਨੇ ਲੌਗਇਨ ਕੀਤਾ ਹੈ ਅਤੇ ਤੁਸੀਂ ਹੁਣ ਤਸਦੀਕ ਲਈ ਕੋਈ ਵਾਧੂ ਵਿੰਡੋਜ਼ ਨਹੀਂ ਬਣਾ ਸਕਦੇ ਹੋ, ਪਰ ਤੁਰੰਤ ਉਪਭੋਗਤਾ ਨੂੰ ਉਸਦੇ ਨਿੱਜੀ ਖਾਤੇ ਵਿੱਚ ਜਾਣ ਦਿਓ।

ਅਪਾਚੇ

ਜਿਵੇਂ ਕਿ nginx ਦੇ ਨਾਲ, ਕਿਸੇ ਨੂੰ ਵੀ ਅਪਾਚੇ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਵਿੱਚ ਕੋਈ ਸਮੱਸਿਆ ਨਹੀਂ ਹੋਣੀ ਚਾਹੀਦੀ. ਜੇਕਰ ਤੁਸੀਂ ਨਹੀਂ ਜਾਣਦੇ ਕਿ ਇਸ ਵੈੱਬ ਸਰਵਰ ਨੂੰ ਕਿਵੇਂ ਸਥਾਪਿਤ ਕਰਨਾ ਹੈ, ਤਾਂ ਸਿਰਫ਼ ਅਧਿਕਾਰਤ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ।

ਅਤੇ ਅਸੀਂ ਆਪਣੇ HTTPS ਅਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਸਥਾਪਤ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਦੇ ਹਾਂ:

ਪਹਿਲਾਂ ਤੁਹਾਨੂੰ mod_ssl ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਦੀ ਲੋੜ ਹੈ:
```
$ a2enmod ssl
```
ਅਤੇ ਫਿਰ ਸਾਈਟ ਦੀ ਡਿਫੌਲਟ HTTPS ਸੈਟਿੰਗਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ:
```
$ a2ensite default-ssl
```
ਹੁਣ ਅਸੀਂ ਸੰਰਚਨਾ ਫਾਇਲ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਦੇ ਹਾਂ: /etc/apache2/sites-enabled/default-ssl.conf:
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਵੇਖ ਸਕਦੇ ਹੋ, ਪੈਰਾਮੀਟਰਾਂ ਦੇ ਨਾਮ ਵਿਹਾਰਕ ਤੌਰ 'ਤੇ nginx ਵਿੱਚ ਪੈਰਾਮੀਟਰਾਂ ਦੇ ਨਾਮ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ, ਇਸ ਲਈ ਮੈਂ ਉਨ੍ਹਾਂ ਦੀ ਵਿਆਖਿਆ ਨਹੀਂ ਕਰਾਂਗਾ. ਦੁਬਾਰਾ ਫਿਰ, ਵੇਰਵਿਆਂ ਵਿੱਚ ਦਿਲਚਸਪੀ ਰੱਖਣ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਿਅਕਤੀ ਦਾ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਸਵਾਗਤ ਹੈ।
ਹੁਣ ਅਸੀਂ ਆਪਣੇ ਸਰਵਰ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਦੇ ਹਾਂ:
```
$ service apache2 reload
$ service apache2 restart
```

ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਵੇਖ ਸਕਦੇ ਹੋ, ਕਿਸੇ ਵੀ ਵੈੱਬ ਸਰਵਰ 'ਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਸਥਾਪਤ ਕਰਨਾ, ਭਾਵੇਂ ਵਿੰਡੋਜ਼ ਜਾਂ ਲੀਨਕਸ 'ਤੇ, ਵੱਧ ਤੋਂ ਵੱਧ ਇੱਕ ਘੰਟਾ ਲੈਂਦਾ ਹੈ। ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਸਥਾਪਤ ਕਰਨ ਵਿੱਚ ਲਗਭਗ 5 ਮਿੰਟ ਲੱਗਦੇ ਹਨ। ਬਹੁਤ ਸਾਰੇ ਲੋਕ ਸੋਚਦੇ ਹਨ ਕਿ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸਥਾਪਤ ਕਰਨਾ ਅਤੇ ਕੰਮ ਕਰਨਾ ਮੁਸ਼ਕਲ ਅਤੇ ਅਸਪਸ਼ਟ ਹੈ। ਮੈਨੂੰ ਉਮੀਦ ਹੈ ਕਿ ਸਾਡਾ ਲੇਖ ਇਸ ਮਿੱਥ ਨੂੰ ਖਤਮ ਕਰ ਦੇਵੇਗਾ, ਘੱਟੋ ਘੱਟ ਥੋੜਾ ਜਿਹਾ.

ਸਿਰਫ਼ ਰਜਿਸਟਰਡ ਉਪਭੋਗਤਾ ਹੀ ਸਰਵੇਖਣ ਵਿੱਚ ਹਿੱਸਾ ਲੈ ਸਕਦੇ ਹਨ। ਸਾਈਨ - ਇਨ, ਤੁਹਾਡਾ ਸੁਆਗਤ ਹੈ.

ਕੀ ਤੁਹਾਨੂੰ GOST 34.10-2012 ਦੇ ਅਨੁਸਾਰ ਸਰਟੀਫਿਕੇਟਾਂ ਦੇ ਨਾਲ TLS ਸਥਾਪਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਲੋੜ ਹੈ:

ਹਾਂ, TLS-GOST ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ
ਨਹੀਂ, GOST ਐਲਗੋਰਿਦਮ ਨਾਲ ਟਿਊਨਿੰਗ ਦਿਲਚਸਪ ਨਹੀਂ ਹੈ

44 ਉਪਭੋਗਤਾਵਾਂ ਨੇ ਵੋਟ ਕੀਤਾ। 9 ਉਪਭੋਗਤਾ ਬਚੇ ਰਹੇ।

ਸਰੋਤ: www.habr.com

ਇੱਕ USB ਟੋਕਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਾਈਟ 'ਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ। ਹੁਣ ਲੀਨਕਸ ਲਈ ਵੀ