🥇 د USB نښه په کارولو سره سایټ کې دوه فکتور تصدیق کول. اوس هم د لینکس لپاره

В زموږ د تیرو مقالو څخه یو موږ د شرکتونو کارپوریټ پورټلونو کې د دوه فاکتور تصدیق کولو اهمیت په اړه خبرې وکړې. وروستی ځل موږ وښودله چې څنګه د IIS ویب سرور کې خوندي تصدیق تنظیم کړو.

په نظرونو کې، موږ څخه وغوښتل شول چې د لینکس - nginx او Apache لپاره د ډیری عام ویب سرورونو لپاره لارښوونې ولیکئ.

تاسو وپوښتل - موږ لیکلي.

تاسو د پیل کولو لپاره څه ته اړتیا لرئ؟

د لینوکس هر ډول عصري توزیع. ما په MX لینکس 18.2_x64 کې د ازموینې تنظیم کړی. دا البته د سرور توزیع نده ، مګر د دیبیان لپاره هیڅ توپیر شتون نلري. د نورو توزیعونو لپاره، د ترتیب کتابتونونو ته لارې ممکن یو څه توپیر ولري.
ټوکن. موږ د ماډل کارولو ته دوام ورکوو Rutoken EDS PKI، کوم چې د کارپوریټ کارونې لپاره د سرعت ځانګړتیاو له مخې غوره دی.
په لینکس کې د نښې سره کار کولو لپاره ، تاسو اړتیا لرئ لاندې کڅوړې نصب کړئ:
libccid libpcsclite1 pcscd pcsc-tools opensc

د سندونو صادرول

په تیرو مقالو کې، موږ په دې حقیقت تکیه وکړه چې د سرور او مراجعینو سندونه به د مایکروسافټ CA په کارولو سره صادر شي. مګر له هغه ځایه چې موږ په لینکس کې هرڅه تنظیم کوو ، موږ به تاسو ته د دې سندونو صادرولو لپاره د بدیل لارې په اړه هم ووایو - پرته لدې چې لینکس پریږدو.
موږ به XCA د CA په توګه وکاروو (https://hohnstaedt.de/xca/)، کوم چې په هر عصري لینکس توزیع کې شتون لري. ټول هغه کړنې چې موږ به یې په XCA کې ترسره کړو د OpenSSL او pkcs11-tool اسانتیاوو په کارولو سره د کمانډ لاین حالت کې ترسره کیدی شي، مګر د ډیر سادگي او وضاحت لپاره، موږ به یې پدې مقاله کې وړاندې نه کړو.

تر لاسه کول پیل شول

لګول:
```
$ apt-get install xca
```
او موږ چلوو:
```
$ xca
```
موږ د CA - /root/CA.xdb لپاره خپل ډیټابیس جوړوو
موږ وړاندیز کوو چې د سند واک ډیټابیس په یو فولډر کې ذخیره کړئ چیرې چې یوازې مدیر لاسرسی لري. دا د روټ سندونو شخصي کیلي ساتلو لپاره مهم دي ، کوم چې د نورو ټولو سندونو لاسلیک کولو لپاره کارول کیږي.

کیلي او روټ CA سند جوړ کړئ

عامه کلیدي زیربنا (PKI) د یو ترتیب سیسټم پراساس ده. په دې سیسټم کې اصلي شی د روټ تصدیق کولو واک یا د روټ CA دی. د دې سند باید لومړی جوړ شي.

موږ د CA لپاره RSA-2048 شخصي کیلي جوړوو. د دې کولو لپاره، په ټب کې شخصي کیلي د نوې کیلي او مناسب ډول غوره کړئ.
د نوي کلیدي جوړه لپاره نوم وټاکئ. ما ورته د CA کیلي وویل.
موږ پخپله د CA سند صادروو ، د رامینځته شوي کیلي جوړه په کارولو سره. د دې کولو لپاره، ټب ته لاړ شئ سندونه او کلیک نوی سند.
ډاډ ترلاسه کړئ چې غوره کړئ SHA-256ځکه چې د SHA-1 کارول نور خوندي نه ګڼل کیږي.
ډاډ ترلاسه کړئ چې د یوې نمونې په توګه غوره کړئ [default]CA. کلیک کول مه هیروئ ټول تطبیق کړئ, که نه نو کينډۍ نه پلي کيږي.
په ټب کې ډول زموږ کلیدي جوړه غوره کړئ. هلته تاسو کولی شئ د سند ټولې اصلي ساحې ډکې کړئ.

د کیلي جوړول او د https سرور سند

په ورته ډول، موږ د سرور لپاره RSA-2048 شخصي کیلي جوړوو، ما ورته د سرور کیلي نوم ورکړ.
کله چې یو سند رامینځته کړئ ، موږ غوره کوو چې د سرور سند باید د CA سند سره لاسلیک شي.
غوره کول مه هیروئ SHA-256.
موږ د یوې نمونې په توګه غوره کوو [ډیفالټ] HTTPS_server. کلیک وکړه ټول تطبیق کړئ.
بیا په ټب کې ډول زموږ کیلي غوره کړئ او اړین ځایونه ډک کړئ.

د کارونکي لپاره کیلي او سند جوړ کړئ

د کارونکي شخصي کیلي به زموږ په نښه کې زیرمه شي. د دې سره د کار کولو لپاره، تاسو اړتیا لرئ چې زموږ د ویب پاڼې څخه PKCS#11 کتابتون نصب کړئ. د مشهور توزیع لپاره ، موږ چمتو شوي کڅوړې توزیع کوو ، کوم چې دلته موقعیت لري - https://www.rutoken.ru/support/download/pkcs/. موږ د arm64، armv7el، armv7hf، e2k، mipso32el لپاره مجلسونه هم لرو، کوم چې زموږ د SDK څخه ډاونلوډ کیدی شي - https://www.rutoken.ru/developers/sdk/. د لینکس لپاره د مجلسونو سربیره ، د ماکوس ، فری بی ایس ډی او انډرایډ لپاره اسمبلۍ هم شتون لري.
XCA ته د نوي PKCS#11 برابرونکي اضافه کول. د دې کولو لپاره، مینو ته لاړ شئ غوراوي ټب ته PKCS#11 برابرونکی.
موږ فشار راوړو Add او د PKCS#11 کتابتون ته لاره وټاکئ. زما په قضیه کې دا ده usrliblibrtpkcs11ecp.so.
موږ به یو فارمیټ شوي Rutoken EDS PKI ټوکن ته اړتیا ولرو. د rtAdmin افادیت ډاونلوډ کړئ - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

موږ ترسره کوو

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

موږ د کلیدي ډول په توګه د Rutoken EDS PKI لپاره RSA-2048 کیلي غوره کوو. ما دا کلید کلینټ کلید ته بللی.
د PIN کوډ دننه کړئ. او موږ د کلیدي جوړه د هارډویر تولید بشپړیدو ته انتظار باسو
موږ د سرور سند سره ورته والي سره د کارونکي لپاره سند رامینځته کوو. دا ځل موږ یوه نمونه غوره کوو [default] HTTPS_client او کلیک کول مه هیروئ ټول تطبیق کړئ.
په ټب کې ډول د کارونکي په اړه معلومات داخل کړئ. موږ د نښې لپاره د سند خوندي کولو غوښتنې ته مثبت ځواب ورکوو.

په پایله کې، په ټب کې ы په XCA کې تاسو باید داسې یو څه ترلاسه کړئ.

د کلیدونو او سندونو دا لږترلږه سیټ کافی دی ترڅو پخپله د سرورونو تنظیم کول پیل کړي.

د تنظیم کولو لپاره، موږ اړتیا لرو د CA سند، د سرور سند او د سرور شخصي کیلي صادر کړو.

د دې کولو لپاره، په XCA کې په اړونده ټب کې مطلوب ننوتل غوره کړئ او کلیک وکړئ د صادراتو د.

نګینکس

زه به ونه لیکم چې څنګه د نګینکس سرور نصب او چل کړم - په انټرنیټ کې پدې موضوع باندې کافي مقالې شتون لري ، نه د رسمي اسنادو یادونه. راځئ چې مستقیم د نښه کولو په کارولو سره د HTTPS او دوه فاکتور تصدیق تنظیم کولو ته ورسوو.

لاندې لینونه په nginx.conf کې د سرور برخې ته اضافه کړئ:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

په نګینکس کې د ایس ایس ایل تنظیم کولو پورې اړوند د ټولو پیرامیټونو تفصيلي توضیحات دلته موندل کیدی شي - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

زه به په لنډه توګه هغه څه بیان کړم چې ما له ځانه وپوښتل:

ssl_verify_client - مشخص کوي چې د سند لپاره د باور سلسله باید تایید شي.
ssl_verify_depth - په سلسله کې د باوري ریښې سند لپاره د لټون ژورتیا تعریفوي. څنګه چې زموږ د پیرودونکي سند سمدلاسه د روټ سند کې لاسلیک شوی ، ژوروالی 1 ته ټاکل شوی. که چیرې د کارونکي سند په منځمهاله CA کې لاسلیک شوی وي ، نو 2 باید پدې پیرامیټر کې مشخص شي ، او داسې نور.
ssl_client_certificate - د باوري روټ سند ته لاره مشخصوي، کوم چې د کارونکي په سند کې د باور چک کولو پر مهال کارول کیږي.
ssl_certificate/ssl_certificate_key - د سرور سند/شخصي کیلي ته لاره په ګوته کړئ.

د nginx -t چلول مه هیروئ ترڅو وګورئ چې په ترتیب کې هیڅ ډول ټایپونه شتون نلري، او دا چې ټولې فایلونه په سم ځای کې دي، او داسې نور.

او دا ټول دي! لکه څنګه چې تاسو لیدلی شئ، تنظیم خورا ساده دی.

چک کول چې دا په فایرفوکس کې کار کوي

څرنګه چې موږ هر څه په بشپړ ډول په لینکس کې ترسره کوو، موږ به فرض کړو چې زموږ کاروونکي هم په لینوکس کې کار کوي (که دوی وینډوز ولري، بیا په تیرو مقاله کې د براوزرونو تنظیم کولو لارښوونې وګورئ.

راځئ چې فایرفوکس پیل کړو.
راځئ هڅه وکړو چې لومړی د نښه کولو پرته ننوتل. موږ دا انځور ترلاسه کوو:
موږ پرمخ ځو په اړه: غوره توبونه # محرمیت، او موږ ځو امنیتي وسایل…
موږ فشار راوړو بارد نوي PKCS#11 وسیلې ډرایور اضافه کولو لپاره او زموږ librtpkcs11ecp.so ته لاره مشخص کړئ.
د دې لپاره چې وګورئ چې سند څرګند دی، تاسو کولی شئ لاړ شئ د سند مدیر. تاسو ته به وغوښتل شي چې خپل PIN داخل کړئ. د سم ان پټولو وروسته، تاسو کولی شئ وګورئ چې په ټب کې څه دي ستاسو سندونه زموږ د نښې څخه سند څرګند شو.
اوس راځئ چې د نښه سره لاړ شو. فایرفوکس تاسو ته د یو سند غوره کولو لپاره هڅوي چې د سرور لپاره به غوره شي. زموږ سند غوره کړئ.
خونديتوب!

تنظیم یوځل ترسره کیږي ، او لکه څنګه چې تاسو د سند غوښتنې کړکۍ کې لیدلی شئ ، موږ کولی شو خپل انتخاب خوندي کړو. له دې وروسته، هرکله چې موږ پورټل ته ننوځو، موږ به یوازې د نښه کولو ته اړتیا ولرو او د کارونکي PIN کوډ دننه کړو چې د فارمیټ کولو پرمهال مشخص شوی و. د داسې تصدیق کولو وروسته، سرور لا دمخه پوهیږي چې کوم کارونکي لاګ ان شوی او تاسو نور نشئ کولی د تایید لپاره اضافي کړکۍ رامینځته کړئ، مګر سمدلاسه کاروونکي خپل شخصي حساب ته اجازه ورکړئ.

اپاپي

لکه څنګه چې د نګینکس سره، هیڅوک باید د اپاچي نصبولو کې کومه ستونزه ونلري. که تاسو نه پوهیږئ چې دا ویب سرور څنګه نصب کړئ، یوازې رسمي اسناد وکاروئ.

او موږ خپل HTTPS او دوه فاکتور تصدیق تنظیم کول پیل کوو:

لومړی تاسو اړتیا لرئ mod_ssl فعال کړئ:
```
$ a2enmod ssl
```
او بیا د سایټ ډیفالټ HTTPS تنظیمات فعال کړئ:
```
$ a2ensite default-ssl
```
اوس موږ د تشکیلاتو فایل ترمیم کوو: /etc/apache2/sites-enabled/default-ssl.conf:
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
لکه څنګه چې تاسو لیدلی شئ، د پیرامیټونو نومونه په عملي توګه په نګینکس کې د پیرامیټونو نومونو سره سمون لري، نو زه به یې تشریح نه کړم. یوځل بیا ، هرڅوک چې د توضیحاتو سره علاقه لري اسنادو ته ښه راغلاست ویل کیږي.
اوس موږ خپل سرور بیا پیل کوو:
```
$ service apache2 reload
$ service apache2 restart
```

لکه څنګه چې تاسو لیدلی شئ ، په هر ویب سرور کې د دوه فاکتور تصدیق تنظیم کول ، که په وینډوز یا لینکس کې وي ، یو ساعت اعظمي وخت نیسي. او د براوزر تنظیم کول شاوخوا 5 دقیقې وخت نیسي. ډیری خلک فکر کوي چې د دوه فاکتور تصدیق سره تنظیم کول او کار کول ستونزمن او ناڅرګند دي. زه امید لرم چې زموږ مقاله لږترلږه یو څه دا افسانه له مینځه ویسي.

یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. ننوزئمهرباني وکړئ

ایا تاسو د GOST 34.10-2012 مطابق د سندونو سره د TLS ترتیب کولو لارښوونو ته اړتیا لرئ:

هو، TLS-GOST خورا اړین دی
نه، د GOST الګوریتم سره سمون کول په زړه پوري ندي

44 کاروونکو رایه ورکړه. 9 کاروونکي منع شوي.

سرچینه: www.habr.com

په سایټ کې د USB نښه په کارولو سره دوه فاکتور تصدیق کول. اوس د لینکس لپاره هم