پرو هوسٽر > بلاگ > انتظاميه > هڪ USB ٽوڪن استعمال ڪندي سائيٽ تي ٻه عنصر جي تصديق. هاڻي پڻ لينڪس لاءِ
هڪ USB ٽوڪن استعمال ڪندي سائيٽ تي ٻه عنصر جي تصديق. هاڻي پڻ لينڪس لاءِ
В اسان جي پوئين مضمونن مان هڪ اسان ڪمپنين جي ڪارپوريٽ پورٽلز تي ٻن عنصر جي تصديق جي اهميت بابت ڳالهايو. آخري دفعو اسان ڏيکاريو ته ڪيئن IIS ويب سرور ۾ محفوظ تصديق قائم ڪجي.
ڪنهن به جديد لينڪس ورڇ. مون MX Linux 18.2_x64 تي هڪ ٽيسٽ سيٽ اپ ڪيو. اهو يقيناً سرور جي ورڇ نه آهي، پر ڊيبين لاءِ ڪو به اختلاف هجڻ ممڪن ناهي. ٻين تقسيم لاءِ، ترتيب واري لائبريري جا رستا ٿورو مختلف ٿي سگھن ٿا.
ٽوڪن. اسان ماڊل استعمال ڪرڻ جاري رکون ٿا Rutoken EDS PKI، جيڪو ڪارپوريٽ استعمال لاءِ رفتار جي خاصيتن جي لحاظ کان مثالي آهي.
لينڪس ۾ ٽوڪن سان ڪم ڪرڻ لاءِ، توھان کي ھيٺين پيڪيجز کي انسٽال ڪرڻ جي ضرورت آھي.
libccid libpcsclite1 pcscd pcsc-tools opensc
سرٽيفڪيٽ جاري ڪرڻ
پوئين مضمونن ۾، اسان ان حقيقت تي ڀروسو ڪيو ته سرور ۽ ڪلائنٽ سرٽيفڪيٽ جاري ڪيا ويندا Microsoft CA استعمال ڪندي. پر جيئن ته اسان لينڪس ۾ سڀ ڪجهه ترتيب ڏئي رهيا آهيون، اسان توهان کي انهن سرٽيفڪيٽن کي جاري ڪرڻ لاءِ متبادل طريقي جي باري ۾ پڻ ٻڌائينداسين - لينڪس ڇڏڻ کان سواءِ.
اسان XCA استعمال ڪنداسين CA (https://hohnstaedt.de/xca/)، جيڪو ڪنهن به جديد لينڪس ڊويزن تي موجود آهي. سڀئي ڪارناما جيڪي اسان XCA ۾ انجام ڏينداسين اهي OpenSSL ۽ pkcs11-tool يوٽيلٽيز استعمال ڪندي ڪمانڊ لائن موڊ ۾ ڪري سگهجن ٿا، پر وڌيڪ سادگي ۽ وضاحت لاءِ، اسان انهن کي هن آرٽيڪل ۾ پيش نه ڪنداسين.
شروع ڪرائڻ
انسٽال ڪريو:
$ apt-get install xca
۽ اسان هلون ٿا:
$ xca
اسان CA - /root/CA.xdb لاءِ پنهنجو ڊيٽابيس ٺاهيندا آهيون
اسان سفارش ڪريون ٿا سرٽيفڪيٽ اٿارٽي ڊيٽابيس کي هڪ فولڊر ۾ محفوظ ڪرڻ جتي صرف منتظم کي رسائي آهي. اهو روٽ سرٽيفڪيٽن جي خانگي ڪنجين کي بچائڻ لاءِ ضروري آهي، جيڪي ٻين سڀني سرٽيفڪيٽن کي سائن ڪرڻ لاءِ استعمال ٿين ٿيون.
ڪيچ ٺاهيو ۽ روٽ CA سرٽيفڪيٽ
هڪ عوامي اهم بنيادي ڍانچي (PKI) هڪ درجي بندي واري نظام تي ٻڌل آهي. هن سسٽم ۾ بنيادي شيء آهي روٽ سرٽيفڪيشن اٿارٽي يا روٽ CA. ان جو سرٽيفڪيٽ پهريون ٺاهيو وڃي.
اسان CA لاءِ RSA-2048 پرائيويٽ ڪيچ ٺاهيندا آهيون. هن کي ڪرڻ لاء، ٽيب تي نجي چاٻي َ نئين چاٻي ۽ مناسب قسم چونڊيو.
نئين ڪنجي جوڙي لاءِ نالو مقرر ڪريو. مون ان کي سڏيو CA Key.
اسان CA سرٽيفڪيٽ پاڻ جاري ڪريون ٿا، ٺاهيل ڪي جوڙو استعمال ڪندي. هن کي ڪرڻ لاء، ٽيب ڏانهن وڃو سرٽيفڪيٽ ۽ ڪلڪ ڪريو نئون سرٽيفڪيٽ.
چونڊڻ جي پڪ ڪريو SHA-256, ڇاڪاڻ ته SHA-1 استعمال ڪندي هاڻي محفوظ نه ٿو سمجهي سگهجي.
هڪ ٽيمپليٽ جي طور تي چونڊڻ جي پڪ ڪريو [ڊفالٽ] CA. تي ڪلڪ ڪرڻ نه وساريو سڀ لاڳو ڪريوٻي صورت ۾ ٽيمپليٽ لاڳو نه ڪيو ويو آهي.
ٽيب ۾ موضوع اسان جو اهم جوڙو چونڊيو. اتي توھان ڀري سگھوٿا سرٽيفڪيشن جا سڀ مکيه شعبا.
چابيون ٺاهڻ ۽ هڪ https سرور سرٽيفڪيٽ
ساڳيءَ طرح، اسان سرور لاءِ هڪ RSA-2048 خانگي ڪيئي ٺاهي، مون ان کي سرور ڪيئي سڏيو.
جڏهن هڪ سرٽيفڪيٽ ٺاهي، اسان چونڊيو ته سرور سرٽيفڪيٽ کي CA سرٽيفڪيٽ سان سائن ان ٿيڻ گهرجي.
چونڊڻ نه وساريو SHA-256.
اسان هڪ ٽيمپليٽ طور چونڊيندا آهيون [default] HTTPS_server. تي ڪلڪ ڪريو سڀ لاڳو ڪريو.
پوء ٽيب تي موضوع اسان جي ڪيچ کي منتخب ڪريو ۽ گھربل فيلڊ ڀريو.
صارف لاءِ ڪنجيون ۽ سرٽيفڪيٽ ٺاھيو
استعمال ڪندڙ جي خانگي چيڪ اسان جي ٽوڪن تي محفوظ ڪئي ويندي. ان سان ڪم ڪرڻ لاءِ، توهان کي اسان جي ويب سائيٽ تان PKCS#11 لائبريري انسٽال ڪرڻ جي ضرورت آهي. مشهور تقسيم لاءِ، اسان تيار ڪيل پيڪيجز ورهايون ٿا، جيڪي هتي موجود آهن. https://www.rutoken.ru/support/download/pkcs/. اسان وٽ arm64، armv7el، armv7hf، e2k، mipso32el لاءِ اسيمبليون پڻ آھن، جيڪي اسان جي SDK تان ڊائون لوڊ ڪري سگھجن ٿيون. https://www.rutoken.ru/developers/sdk/. لينڪس لاءِ اسيمبلين کان علاوه، macOS، freebsd ۽ android لاءِ به اسيمبليون آهن.
XCA ۾ نئون PKCS#11 فراهم ڪندڙ شامل ڪرڻ. هن کي ڪرڻ لاء، مينيو ڏانهن وڃو اختيار ٽيب ڏانهن مهيا ڪندڙ PKCS#11.
ڪلڪ ڪريو شامل ڪريو ۽ PKCS#11 لائبريري ڏانهن رستو چونڊيو. منهنجي صورت ۾ اهو آهي usrliblibrtpkcs11ecp.so.
اسان Rutoken EDS PKI لاءِ RSA-2048 ڪيئي کي ڪيئي قسم طور چونڊيو ٿا. مون هن کي ڪلائنٽ ڪيئي سڏيو.
پن ڪوڊ داخل ڪريو. ۽ اسان انتظار ڪريون ٿا مڪمل ٿيڻ جي هارڊويئر نسل جي اهم جوڙي جي
اسان سرور سرٽيفڪيٽ سان قياس سان صارف لاءِ هڪ سرٽيفڪيٽ ٺاهيندا آهيون. هن ڀيري اسان هڪ ٽيمپليٽ چونڊيو [default] HTTPS_client ۽ ڪلڪ ڪرڻ نه وساريو سڀ لاڳو ڪريو.
ٽيب ۾ موضوع استعمال ڪندڙ جي باري ۾ معلومات داخل ڪريو. اسان ٽوڪن لاءِ سرٽيفڪيٽ محفوظ ڪرڻ جي درخواست تي مثبت جواب ڏيون ٿا.
نتيجي طور، ٽيب تي سرٽيفڪيٽ XCA ۾ توھان کي ڪجھھ حاصل ڪرڻ گھرجي.
هي گهٽ ۾ گهٽ سيٽ ۽ سرٽيفڪيٽن جو سيٽ ڪافي آهي سرور کي ترتيب ڏيڻ شروع ڪرڻ لاءِ.
ترتيب ڏيڻ لاءِ، اسان کي برآمد ڪرڻو پوندو CA سرٽيفڪيٽ، سرور سرٽيفڪيٽ ۽ سرور پرائيويٽ ڪي.
هن کي ڪرڻ لاء، XCA ۾ لاڳاپيل ٽيب تي گهربل داخلا چونڊيو ۽ ڪلڪ ڪريو ٻاھر موڪليو.
نينڪس
مان اهو نه لکندس ته هڪ نينڪس سرور ڪيئن انسٽال ڪجي ۽ هلائڻ - انٽرنيٽ تي هن موضوع تي ڪافي آرٽيڪل آهن، سرڪاري دستاويزن جو ذڪر نه ڪرڻ. اچو ته هڪ ٽوڪن استعمال ڪندي HTTPS ۽ ٻه عنصر جي تصديق کي ترتيب ڏيڻ لاء سڌو وڃو.
nginx.conf ۾ سرور سيڪشن ۾ ھيٺيون لائينون شامل ڪريو:
ڪلڪ ڪريو بارنئون PKCS#11 ڊيوائس ڊرائيور شامل ڪرڻ لاءِ ۽ اسان جي librtpkcs11ecp.so ڏانهن رستو بيان ڪريو.
چيڪ ڪرڻ لاء ته سرٽيفڪيٽ نظر اچي رهيو آهي، توهان ڏانهن وڃو سرٽيفڪيٽ مئنيجر. توھان کي چيو ويندو توھان جو PIN داخل ڪرڻ لاءِ. صحيح ان پٽ کان پوء، توهان چيڪ ڪري سگهو ٿا ته ڇا آهي ٽيب تي توهان جو سرٽيفڪيٽ ٽوڪن مان اسان جو سرٽيفڪيٽ ظاهر ٿيو.
هاڻي اچو ته ٽوڪن سان هلون. فائر فاکس توهان کي هڪ سرٽيفڪيٽ چونڊڻ لاءِ اشارو ڪري ٿو جيڪو سرور لاءِ چونڊيو ويندو. اسان جي سرٽيفڪيٽ چونڊيو.
PROFIT!
سيٽ اپ هڪ ڀيرو ٿي چڪو آهي، ۽ جيئن توهان ڏسي سگهو ٿا سرٽيفڪيٽ درخواست ونڊو ۾، اسان اسان جي چونڊ کي بچائي سگهون ٿا. ان کان پوء، هر دفعي اسان پورٽل ۾ لاگ ان ڪندا آهيون، اسان کي صرف هڪ ٽوڪن داخل ڪرڻ ۽ صارف جو پن ڪوڊ داخل ڪرڻ جي ضرورت پوندي جيڪا فارميٽنگ دوران بيان ڪئي وئي هئي. اهڙي تصديق کان پوء، سرور اڳ ۾ ئي ڄاڻي ٿو ته ڪهڙي صارف لاگ ان ڪيو آهي ۽ توهان تصديق لاء اضافي ونڊوز ٺاهي نٿا سگهو، پر فوري طور تي صارف کي پنهنجي ذاتي اڪائونٽ ۾ داخل ڪرڻ ڏيو.
Apache
بس nginx وانگر، ڪنهن کي به اپاچي نصب ڪرڻ ۾ ڪا به پريشاني نه هجڻ گهرجي. جيڪڏهن توهان کي خبر ناهي ته هي ويب سرور ڪيئن انسٽال ڪجي، صرف سرڪاري دستاويز استعمال ڪريو.
۽ اسان اسان جي HTTPS ۽ ٻه عنصر جي تصديق کي ترتيب ڏيڻ شروع ڪيو:
SSLEngine on
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/sites-enabled/Server.crt
SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
SSLVerifyClient require
SSLVerifyDepth 10
جئين توهان ڏسي سگهو ٿا، پيرا ميٽرن جا نالا عملي طور تي نالن جي نالن سان nginx ۾ ملن ٿا، تنهنڪري مان انهن کي وضاحت نه ڪندس. ٻيهر، ڪنهن کي تفصيل ۾ دلچسپي آهي دستاويزن ۾ ڀليڪار.
هاڻي اسان پنهنجي سرور کي ٻيهر شروع ڪريون ٿا:
$ service apache2 reload
$ service apache2 restart
جئين توهان ڏسي سگهو ٿا، ڪنهن به ويب سرور تي ٻه عنصر جي تصديق قائم ڪرڻ، ڇا ونڊوز يا لينڪس تي، هڪ ڪلاڪ وڌ ۾ وڌ وٺندو آهي. ۽ برائوزرن کي ترتيب ڏيڻ ۾ لڳ ڀڳ 5 منٽ لڳن ٿا. ڪيترن ئي ماڻهن جو خيال آهي ته ترتيب ڏيڻ ۽ ٻه عنصر جي تصديق سان ڪم ڪرڻ ڏکيو ۽ واضح ناهي. مون کي اميد آهي ته اسان جو آرٽيڪل هن افسانه کي ختم ڪري ٿو، گهٽ ۾ گهٽ ٿورڙو.
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. سائن ان ڪريو، توهان جي مهرباني.
ڇا توهان کي GOST 34.10-2012 مطابق سرٽيفڪيٽن سان TLS قائم ڪرڻ لاءِ هدايتون گهرجن: