Искуство у коришћењу Рутокен технологије за регистрацију и ауторизацију корисника у систему (3. део)

Добар дан!

У претходном делу Успешно смо креирали сопствени сертификациони центар. Како то може бити корисно за наше сврхе?

Користећи локални ауторитет за сертификацију, можемо да издајемо сертификате и такође верификујемо потписе на овим сертификатима.

Приликом издавања сертификата кориснику, ауторитет за сертификацију користи посебан захтев за сертификатом Пкцс#10, који има формат датотеке '.цср'. Овај захтев садржи кодирану секвенцу коју ауторитет за сертификацију зна како да правилно анализира. Захтев садржи и јавни кључ корисника и податке за креирање сертификата (асоцијативни низ са подацима о кориснику).

У следећем чланку ћемо погледати како да примимо захтев за сертификат, ау овом чланку желим да дам главне команде сертификационог тела које ће нам помоћи да завршимо наш задатак на позадинској страни.

Дакле, прво морамо да креирамо сертификат. Да бисмо то урадили користимо наредбу:

openssl ca -batch -in user.csr -out user.crt

ца је опенССЛ команда која се односи на ауторитет за сертификацију,
-батцх - поништава захтеве за потврду приликом генерисања сертификата.
усер.цср - захтев за креирање сертификата (датотека у .цср формату).
усер.црт - сертификат (резултат команде).

Да би ова команда функционисала, ауторитет за сертификацију мора бити конфигурисан тачно како је описано у претходном делу чланка. У супротном, мораћете додатно да наведете локацију коренског сертификата ауторитета за сертификацију.

Команда за верификацију сертификата:

openssl cms -verify -in authenticate.cms -inform PEM -CAfile /Users/……/demoCA/ca.crt -out data.file

цмс је опенССЛ команда која се користи за потписивање, верификацију, шифровање података и друге криптографске операције користећи опенССЛ.

-верифи - у овом случају, проверавамо сертификат.

аутхентицате.цмс - датотека која садржи податке потписане сертификатом који је издала претходна команда.

-информисати ПЕМ - користи се ПЕМ формат.

-ЦАфиле /Усерс/……/демоЦА/ца.црт - путања до роот сертификата. (без овога команда није радила за мене, иако су путање до ца.црт уписане у опенссл.цфг фајл)

-оут дата.филе — шаљем дешифроване податке у датотеку дата.филе.

Алгоритам за коришћење ауторитета за сертификацију на позадинској страни је следећи:

• Регистрација корисника:
  1. Добијамо захтев да креирамо сертификат и сачувамо га у датотеци усер.цср.
  2. Прву команду овог чланка чувамо у датотеци са екстензијом .бат или .цмд. Покрећемо ову датотеку из кода, пошто смо претходно сачували захтев за креирање сертификата у датотеци усер.цср. Добијамо датотеку са сертификатом усер.црт.
  3. Читамо датотеку усер.црт и шаљемо је клијенту.

• Ауторизација корисника:
  1. Добијамо потписане податке од клијента и чувамо их у аутхентицате.цмс датотеци.
  2. Сачувајте другу команду овог чланка у датотеку са екстензијом .бат или .цмд. Покрећемо ову датотеку из кода, након што смо претходно сачували потписане податке са сервера у аутхентицате.цмс. Добијамо датотеку са дешифрованим подацима дата.филе.
  3. Читамо дата.филе и проверавамо валидност ових података. Описано је шта тачно проверити у првом чланку. Ако су подаци валидни, онда се ауторизација корисника сматра успешном.

Да бисте имплементирали ове алгоритме, можете користити било који програмски језик који се користи за писање позадине.

У следећем чланку ћемо погледати како радити са додатком Ретокен.

Спасибо за внимание!

Извор: ввв.хабр.цом