โปรโฮสต์ > บล็อก > การบริหาร > การตรวจสอบสิทธิ์แบบสองปัจจัยบนไซต์โดยใช้โทเค็น USB ตอนนี้สำหรับ Linux ด้วย
การตรวจสอบสิทธิ์แบบสองปัจจัยบนไซต์โดยใช้โทเค็น USB ตอนนี้สำหรับ Linux ด้วย
В หนึ่งในบทความก่อนหน้าของเรา เราได้พูดคุยเกี่ยวกับความสำคัญของการรับรองความถูกต้องด้วยสองปัจจัยบนพอร์ทัลองค์กรของบริษัทต่างๆ ครั้งล่าสุดที่เราสาธิตวิธีตั้งค่าการรับรองความถูกต้องที่ปลอดภัยบนเว็บเซิร์ฟเวอร์ IIS
ในความคิดเห็น เราถูกขอให้เขียนคำแนะนำสำหรับเว็บเซิร์ฟเวอร์ทั่วไปสำหรับ Linux - nginx และ Apache
คุณถาม - เราเขียน
คุณต้องเริ่มต้นอะไรบ้าง?
การกระจาย Linux สมัยใหม่ ฉันได้ทำการทดสอบการตั้งค่าบน MX Linux 18.2_x64 แน่นอนว่านี่ไม่ใช่การแจกจ่ายเซิร์ฟเวอร์ แต่ Debian ไม่น่าจะมีความแตกต่างใดๆ สำหรับการแจกแจงแบบอื่น เส้นทางไปยังไลบรารีการกำหนดค่าอาจแตกต่างกันเล็กน้อย
หากต้องการทำงานกับโทเค็นใน Linux คุณต้องติดตั้งแพ็คเกจต่อไปนี้:
libccid libpcsclite1 pcscd pcsc-เครื่องมือ opensc
การออกใบรับรอง
ในบทความก่อนหน้านี้ เราอาศัยความจริงที่ว่าใบรับรองเซิร์ฟเวอร์และไคลเอ็นต์จะออกโดยใช้ Microsoft CA แต่เนื่องจากเรากำลังตั้งค่าทุกอย่างใน Linux เราจะแจ้งให้คุณทราบเกี่ยวกับทางเลือกอื่นในการออกใบรับรองเหล่านี้ - โดยไม่ต้องออกจาก Linux
เราจะใช้ XCA เป็น CA (https://hohnstaedt.de/xca/) ซึ่งมีอยู่ในการแจกจ่าย Linux สมัยใหม่ การดำเนินการทั้งหมดที่เราจะดำเนินการใน XCA สามารถทำได้ในโหมดบรรทัดคำสั่งโดยใช้ยูทิลิตี้ OpenSSL และ pkcs11-tool แต่เพื่อความเรียบง่ายและชัดเจนยิ่งขึ้น เราจะไม่นำเสนอในบทความนี้
เริ่มต้นใช้งาน
ติดตั้ง:
$ apt-get install xca
และเราก็วิ่ง:
$ xca
เราสร้างฐานข้อมูลของเราสำหรับ CA - /root/CA.xdb
เราขอแนะนำให้จัดเก็บฐานข้อมูลผู้ออกใบรับรองในโฟลเดอร์ที่ผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึงได้ นี่เป็นสิ่งสำคัญในการปกป้องคีย์ส่วนตัวของใบรับรองหลัก ซึ่งใช้ในการลงนามใบรับรองอื่นๆ ทั้งหมด
สร้างคีย์และใบรับรอง CA รูท
โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ขึ้นอยู่กับระบบแบบลำดับชั้น สิ่งสำคัญในระบบนี้คือผู้ออกใบรับรองรูทหรือ CA รูท ต้องสร้างใบรับรองก่อน
เราสร้างคีย์ส่วนตัว RSA-2048 สำหรับ CA เมื่อต้องการทำเช่นนี้บนแท็บ คีย์ส่วนตัว นาจิมาเม่ คีย์ใหม่ และเลือกประเภทที่เหมาะสม
ตั้งชื่อคู่คีย์ใหม่ ฉันเรียกมันว่าคีย์ CA
เราออกใบรับรอง CA เองโดยใช้คู่คีย์ที่สร้างขึ้น โดยไปที่แท็บ ใบรับรอง และคลิก ใบรับรองใหม่.