В
په نظرونو کې، موږ څخه وغوښتل شول چې د لینکس - nginx او Apache لپاره د ډیری عام ویب سرورونو لپاره لارښوونې ولیکئ.
تاسو د پیل کولو لپاره څه ته اړتیا لرئ؟
- د لینوکس هر ډول عصري توزیع. ما په MX لینکس 18.2_x64 کې د ازموینې تنظیم کړی. دا البته د سرور توزیع نده ، مګر د دیبیان لپاره هیڅ توپیر شتون نلري. د نورو توزیعونو لپاره، د ترتیب کتابتونونو ته لارې ممکن یو څه توپیر ولري.
- ټوکن. موږ د ماډل کارولو ته دوام ورکوو
Rutoken EDS PKI ، کوم چې د کارپوریټ کارونې لپاره د سرعت ځانګړتیاو له مخې غوره دی. - په لینکس کې د نښې سره کار کولو لپاره ، تاسو اړتیا لرئ لاندې کڅوړې نصب کړئ:
libccid libpcsclite1 pcscd pcsc-tools opensc
د سندونو صادرول
په تیرو مقالو کې، موږ په دې حقیقت تکیه وکړه چې د سرور او مراجعینو سندونه به د مایکروسافټ CA په کارولو سره صادر شي. مګر له هغه ځایه چې موږ په لینکس کې هرڅه تنظیم کوو ، موږ به تاسو ته د دې سندونو صادرولو لپاره د بدیل لارې په اړه هم ووایو - پرته لدې چې لینکس پریږدو.
موږ به XCA د CA په توګه وکاروو (
تر لاسه کول پیل شول
- لګول:
$ apt-get install xca
- او موږ چلوو:
$ xca
- موږ د CA - /root/CA.xdb لپاره خپل ډیټابیس جوړوو
موږ وړاندیز کوو چې د سند واک ډیټابیس په یو فولډر کې ذخیره کړئ چیرې چې یوازې مدیر لاسرسی لري. دا د روټ سندونو شخصي کیلي ساتلو لپاره مهم دي ، کوم چې د نورو ټولو سندونو لاسلیک کولو لپاره کارول کیږي.
کیلي او روټ CA سند جوړ کړئ
عامه کلیدي زیربنا (PKI) د یو ترتیب سیسټم پراساس ده. په دې سیسټم کې اصلي شی د روټ تصدیق کولو واک یا د روټ CA دی. د دې سند باید لومړی جوړ شي.
- موږ د CA لپاره RSA-2048 شخصي کیلي جوړوو. د دې کولو لپاره، په ټب کې شخصي کیلي د نوې کیلي او مناسب ډول غوره کړئ.
- د نوي کلیدي جوړه لپاره نوم وټاکئ. ما ورته د CA کیلي وویل.
- موږ پخپله د CA سند صادروو ، د رامینځته شوي کیلي جوړه په کارولو سره. د دې کولو لپاره، ټب ته لاړ شئ سندونه او کلیک نوی سند.
- ډاډ ترلاسه کړئ چې غوره کړئ SHA-256ځکه چې د SHA-1 کارول نور خوندي نه ګڼل کیږي.
- ډاډ ترلاسه کړئ چې د یوې نمونې په توګه غوره کړئ [default]CA. کلیک کول مه هیروئ ټول تطبیق کړئ, که نه نو کينډۍ نه پلي کيږي.
- په ټب کې ډول زموږ کلیدي جوړه غوره کړئ. هلته تاسو کولی شئ د سند ټولې اصلي ساحې ډکې کړئ.
د کیلي جوړول او د https سرور سند
- په ورته ډول، موږ د سرور لپاره RSA-2048 شخصي کیلي جوړوو، ما ورته د سرور کیلي نوم ورکړ.
- کله چې یو سند رامینځته کړئ ، موږ غوره کوو چې د سرور سند باید د CA سند سره لاسلیک شي.
- غوره کول مه هیروئ SHA-256.
- موږ د یوې نمونې په توګه غوره کوو [ډیفالټ] HTTPS_server. کلیک وکړه ټول تطبیق کړئ.
- بیا په ټب کې ډول زموږ کیلي غوره کړئ او اړین ځایونه ډک کړئ.
د کارونکي لپاره کیلي او سند جوړ کړئ
- د کارونکي شخصي کیلي به زموږ په نښه کې زیرمه شي. د دې سره د کار کولو لپاره، تاسو اړتیا لرئ چې زموږ د ویب پاڼې څخه PKCS#11 کتابتون نصب کړئ. د مشهور توزیع لپاره ، موږ چمتو شوي کڅوړې توزیع کوو ، کوم چې دلته موقعیت لري -
https://www.rutoken.ru/support/download/pkcs/ . موږ د arm64، armv7el، armv7hf، e2k، mipso32el لپاره مجلسونه هم لرو، کوم چې زموږ د SDK څخه ډاونلوډ کیدی شي -https://www.rutoken.ru/developers/sdk/ . د لینکس لپاره د مجلسونو سربیره ، د ماکوس ، فری بی ایس ډی او انډرایډ لپاره اسمبلۍ هم شتون لري. - XCA ته د نوي PKCS#11 برابرونکي اضافه کول. د دې کولو لپاره، مینو ته لاړ شئ غوراوي ټب ته PKCS#11 برابرونکی.
- موږ فشار راوړو Add او د PKCS#11 کتابتون ته لاره وټاکئ. زما په قضیه کې دا ده usrliblibrtpkcs11ecp.so.
- موږ به یو فارمیټ شوي Rutoken EDS PKI ټوکن ته اړتیا ولرو. د rtAdmin افادیت ډاونلوډ کړئ -
https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615 - موږ ترسره کوو
$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>
- موږ د کلیدي ډول په توګه د Rutoken EDS PKI لپاره RSA-2048 کیلي غوره کوو. ما دا کلید کلینټ کلید ته بللی.
- د PIN کوډ دننه کړئ. او موږ د کلیدي جوړه د هارډویر تولید بشپړیدو ته انتظار باسو
- موږ د سرور سند سره ورته والي سره د کارونکي لپاره سند رامینځته کوو. دا ځل موږ یوه نمونه غوره کوو [default] HTTPS_client او کلیک کول مه هیروئ ټول تطبیق کړئ.
- په ټب کې ډول د کارونکي په اړه معلومات داخل کړئ. موږ د نښې لپاره د سند خوندي کولو غوښتنې ته مثبت ځواب ورکوو.
په پایله کې، په ټب کې ы په XCA کې تاسو باید داسې یو څه ترلاسه کړئ.
د کلیدونو او سندونو دا لږترلږه سیټ کافی دی ترڅو پخپله د سرورونو تنظیم کول پیل کړي.
د تنظیم کولو لپاره، موږ اړتیا لرو د CA سند، د سرور سند او د سرور شخصي کیلي صادر کړو.
د دې کولو لپاره، په XCA کې په اړونده ټب کې مطلوب ننوتل غوره کړئ او کلیک وکړئ د صادراتو د.
نګینکس
زه به ونه لیکم چې څنګه د نګینکس سرور نصب او چل کړم - په انټرنیټ کې پدې موضوع باندې کافي مقالې شتون لري ، نه د رسمي اسنادو یادونه. راځئ چې مستقیم د نښه کولو په کارولو سره د HTTPS او دوه فاکتور تصدیق تنظیم کولو ته ورسوو.
لاندې لینونه په nginx.conf کې د سرور برخې ته اضافه کړئ:
server {
listen 443 ssl;
ssl_verify_depth 1;
ssl_certificate /etc/nginx/Server.crt;
ssl_certificate_key /etc/nginx/ServerKey.pem;
ssl_client_certificate /etc/nginx/CA.crt;
ssl_verify_client on;
}
په نګینکس کې د ایس ایس ایل تنظیم کولو پورې اړوند د ټولو پیرامیټونو تفصيلي توضیحات دلته موندل کیدی شي -
زه به په لنډه توګه هغه څه بیان کړم چې ما له ځانه وپوښتل:
- ssl_verify_client - مشخص کوي چې د سند لپاره د باور سلسله باید تایید شي.
- ssl_verify_depth - په سلسله کې د باوري ریښې سند لپاره د لټون ژورتیا تعریفوي. څنګه چې زموږ د پیرودونکي سند سمدلاسه د روټ سند کې لاسلیک شوی ، ژوروالی 1 ته ټاکل شوی. که چیرې د کارونکي سند په منځمهاله CA کې لاسلیک شوی وي ، نو 2 باید پدې پیرامیټر کې مشخص شي ، او داسې نور.
- ssl_client_certificate - د باوري روټ سند ته لاره مشخصوي، کوم چې د کارونکي په سند کې د باور چک کولو پر مهال کارول کیږي.
- ssl_certificate/ssl_certificate_key - د سرور سند/شخصي کیلي ته لاره په ګوته کړئ.
د nginx -t چلول مه هیروئ ترڅو وګورئ چې په ترتیب کې هیڅ ډول ټایپونه شتون نلري، او دا چې ټولې فایلونه په سم ځای کې دي، او داسې نور.
او دا ټول دي! لکه څنګه چې تاسو لیدلی شئ، تنظیم خورا ساده دی.
چک کول چې دا په فایرفوکس کې کار کوي
څرنګه چې موږ هر څه په بشپړ ډول په لینکس کې ترسره کوو، موږ به فرض کړو چې زموږ کاروونکي هم په لینوکس کې کار کوي (که دوی وینډوز ولري، بیا
- راځئ چې فایرفوکس پیل کړو.
- راځئ هڅه وکړو چې لومړی د نښه کولو پرته ننوتل. موږ دا انځور ترلاسه کوو:
- موږ پرمخ ځو په اړه: غوره توبونه # محرمیت، او موږ ځو امنیتي وسایل…
- موږ فشار راوړو بارد نوي PKCS#11 وسیلې ډرایور اضافه کولو لپاره او زموږ librtpkcs11ecp.so ته لاره مشخص کړئ.
- د دې لپاره چې وګورئ چې سند څرګند دی، تاسو کولی شئ لاړ شئ د سند مدیر. تاسو ته به وغوښتل شي چې خپل PIN داخل کړئ. د سم ان پټولو وروسته، تاسو کولی شئ وګورئ چې په ټب کې څه دي ستاسو سندونه زموږ د نښې څخه سند څرګند شو.
- اوس راځئ چې د نښه سره لاړ شو. فایرفوکس تاسو ته د یو سند غوره کولو لپاره هڅوي چې د سرور لپاره به غوره شي. زموږ سند غوره کړئ.
- خونديتوب!
تنظیم یوځل ترسره کیږي ، او لکه څنګه چې تاسو د سند غوښتنې کړکۍ کې لیدلی شئ ، موږ کولی شو خپل انتخاب خوندي کړو. له دې وروسته، هرکله چې موږ پورټل ته ننوځو، موږ به یوازې د نښه کولو ته اړتیا ولرو او د کارونکي PIN کوډ دننه کړو چې د فارمیټ کولو پرمهال مشخص شوی و. د داسې تصدیق کولو وروسته، سرور لا دمخه پوهیږي چې کوم کارونکي لاګ ان شوی او تاسو نور نشئ کولی د تایید لپاره اضافي کړکۍ رامینځته کړئ، مګر سمدلاسه کاروونکي خپل شخصي حساب ته اجازه ورکړئ.
اپاپي
لکه څنګه چې د نګینکس سره، هیڅوک باید د اپاچي نصبولو کې کومه ستونزه ونلري. که تاسو نه پوهیږئ چې دا ویب سرور څنګه نصب کړئ، یوازې رسمي اسناد وکاروئ.
او موږ خپل HTTPS او دوه فاکتور تصدیق تنظیم کول پیل کوو:
- لومړی تاسو اړتیا لرئ mod_ssl فعال کړئ:
$ a2enmod ssl
- او بیا د سایټ ډیفالټ HTTPS تنظیمات فعال کړئ:
$ a2ensite default-ssl
- اوس موږ د تشکیلاتو فایل ترمیم کوو: /etc/apache2/sites-enabled/default-ssl.conf:
SSLEngine on SSLProtocol all -SSLv2 SSLCertificateFile /etc/apache2/sites-enabled/Server.crt SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt SSLVerifyClient require SSLVerifyDepth 10
لکه څنګه چې تاسو لیدلی شئ، د پیرامیټونو نومونه په عملي توګه په نګینکس کې د پیرامیټونو نومونو سره سمون لري، نو زه به یې تشریح نه کړم. یوځل بیا ، هرڅوک چې د توضیحاتو سره علاقه لري اسنادو ته ښه راغلاست ویل کیږي.
اوس موږ خپل سرور بیا پیل کوو:$ service apache2 reload $ service apache2 restart
لکه څنګه چې تاسو لیدلی شئ ، په هر ویب سرور کې د دوه فاکتور تصدیق تنظیم کول ، که په وینډوز یا لینکس کې وي ، یو ساعت اعظمي وخت نیسي. او د براوزر تنظیم کول شاوخوا 5 دقیقې وخت نیسي. ډیری خلک فکر کوي چې د دوه فاکتور تصدیق سره تنظیم کول او کار کول ستونزمن او ناڅرګند دي. زه امید لرم چې زموږ مقاله لږترلږه یو څه دا افسانه له مینځه ویسي.
یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي.
ایا تاسو د GOST 34.10-2012 مطابق د سندونو سره د TLS ترتیب کولو لارښوونو ته اړتیا لرئ:
-
هو، TLS-GOST خورا اړین دی
-
نه، د GOST الګوریتم سره سمون کول په زړه پوري ندي
44 کاروونکو رایه ورکړه. 9 کاروونکي منع شوي.
سرچینه: www.habr.com