צוויי-פאַקטאָר אָטענטאַקיישאַן אויף דעם פּלאַץ מיט אַ וסב סימען. איצט אויך פֿאַר לינוקס

В איינער פון אונדזער פריערדיקן אַרטיקלען מיר גערעדט וועגן די וויכטיקייט פון צוויי-פאַקטאָר אָטענטאַקיישאַן אויף פֿירמע פּאָרטאַלס ​​פון קאָמפּאַניעס. לעצטע מאָל מיר דעמאַנסטרייטיד ווי צו שטעלן זיכער אָטענטאַקיישאַן אין די IIS וועב סערווער.

אין די באַמערקונגען, מיר זענען געבעטן צו שרייַבן ינסטראַקשאַנז פֿאַר די מערסט פּראָסט וועב סערווערס פֿאַר לינוקס - נגינקס און אַפּאַטשי.

האסט געפרעגט - מיר האבן געשריבן.

וואָס טאָן איר דאַרפֿן צו אָנהייבן?

• קיין מאָדערן לינוקס פאַרשפּרייטונג. איך האָב דורכגעקאָכט אַ פּראָבע סעטאַפּ אויף MX Linux 18.2_x64. דאָס איז דאָך נישט אַ סערווער פאַרשפּרייטונג, אָבער עס זענען אַנלייקלי דיפעראַנסיז פֿאַר דעביאַן. פֿאַר אנדערע דיסטריביושאַנז, די פּאַטס צו די קאַנפיגיעריישאַן לייברעריז קען זיין אַ ביסל אַנדערש.
• סימען. מיר פאָרזעצן צו נוצן דעם מאָדעל Rutoken EDS PKI, וואָס איז ידעאַל אין טערמינען פון גיכקייַט קעראַקטעריסטיקס פֿאַר פֿירמע נוצן.
• צו אַרבעטן מיט אַ סימען אין לינוקס, איר דאַרפֿן צו ינסטאַלירן די פאלגענדע פּאַקאַדזשאַז:
  libccid libpcsclite1 pcscd pcsc-tools opensc

ארויסגעבן סערטיפיקאטן

אין פריערדיקן אַרטיקלען, מיר רילייד אויף די פאַקט אַז סערווער און קליענט סערטיפיקאַץ וועט זיין ארויס מיט Microsoft CA. אָבער זינט מיר באַשטעטיקן אַלץ אין לינוקס, מיר וועלן אויך זאָגן איר וועגן אַן אָלטערנאַטיוו וועג צו אַרויסגעבן די סערטיפיקאַץ - אָן פאַרלאָזן לינוקס.
מיר וועלן נוצן XCA ווי CA (https://hohnstaedt.de/xca/), וואָס איז בנימצא אויף קיין מאָדערן לינוקס פאַרשפּרייטונג. אַלע די אַקשאַנז וואָס מיר וועלן דורכפירן אין XCA קענען זיין דורכגעקאָכט אין די באַפֿעלן שורה מאָדע ניצן די OpenSSL און pkcs11-מכשיר יוטילאַטיז, אָבער פֿאַר גרעסערע פּאַשטעס און קלעריטי, מיר וועלן נישט פאָרשטעלן זיי אין דעם אַרטיקל.

געטינג סטאַרטעד

1. ינסטאַלירן:

   $ apt-get install xca

2. און מיר לויפן:

   $ xca

3. מיר מאַכן אונדזער דאַטאַבייס פֿאַר CA - /root/CA.xdb
   מיר רעקאָמענדירן סטאָרינג די סערטיפיקאַט אויטאָריטעט דאַטאַבייס אין אַ טעקע ווו בלויז דער אַדמיניסטראַטאָר האט אַקסעס. דאָס איז וויכטיק צו באַשיצן די פּריוואַט שליסלען פון די וואָרצל סערטיפיקאַץ, וואָס זענען געניצט צו צייכן אַלע אנדערע סערטיפיקאַץ.

שאַפֿן שליסלען און וואָרצל CA באַווייַזן

א ציבור שליסל ינפראַסטראַקטשער (PKI) איז באזירט אויף אַ כייעראַרקאַקאַל סיסטעם. די הויפּט זאַך אין דעם סיסטעם איז די וואָרצל סערטאַפאַקיישאַן אויטאָריטעט אָדער וואָרצל CA. איר באַווייַזן מוזן זיין באשאפן ערשטער.

1. מיר מאַכן אַ RSA-2048 פּריוואַט שליסל פֿאַר די CA. צו טאָן דאָס, גיין צו די קוויטל פּריוואַטע קיז שטופּן נייַ שליסל און אויסקלייַבן די צונעמען טיפּ.
2. שטעלן אַ נאָמען פֿאַר די נייַע שליסל פּאָר. איך גערופן עס CA Key.
3. מיר אַרויסגעבן די CA באַווייַזן זיך, ניצן די באשאפן שליסל פּאָר. צו טאָן דאָס, גיין צו די קוויטל סערטיפיקאַטעס און גיט ניו סערטיפיקאַט.
4. זייט זיכער צו קלייַבן SHA-256, ווייַל ניצן SHA-1 קענען ניט מער זיין געהאלטן זיכער.
5. זייט זיכער צו קלייַבן ווי אַ מוסטער [פעליקייַט] CA. דו זאלסט נישט פאַרגעסן צו דריקט אויף צולייגן אַלע, אַנדערש די מוסטער איז נישט געווענדט.
6. אין די קוויטל ונטערטעניק קלייַבן אונדזער שליסל פּאָר. דאָרט איר קענען פּלאָמבירן אַלע די הויפּט פעלדער פון די באַווייַזן.

קריייטינג שליסלען און אַ https סערווער באַווייַזן

1. אין אַ ענלעך וועג, מיר מאַכן אַ RSA-2048 פּריוואַט שליסל פֿאַר די סערווער, איך גערופן עס סערווירער שליסל.
2. ווען איר שאַפֿן אַ באַווייַזן, מיר אויסקלייַבן אַז די סערווער באַווייַזן מוזן זיין געחתמעט מיט אַ CA באַווייַזן.
3. דו זאלסט נישט פאַרגעסן צו אויסקלייַבן SHA-256.
4. מיר קלייַבן ווי אַ מוסטער [פעליקייַט] הטטפּס_סערווער. דריקט אויף צולייגן אַלע.
5. דערנאָך אויף די בלאַט ונטערטעניק אויסקלייַבן אונדזער שליסל און פּלאָמבירן אין די פארלאנגט פעלדער.

שאַפֿן שליסלען און באַווייַזן פֿאַר די באַניצער

1. דער באַניצער ס פּריוואַט שליסל וועט זיין סטאָרד אויף אונדזער סימען. צו אַרבעטן מיט אים, איר דאַרפֿן צו ינסטאַלירן די PKCS #11 ביבליאָטעק פֿון אונדזער וועבזייטל. פֿאַר פאָלקס דיסטריביושאַנז, מיר פאַרשפּרייטן פאַרטיק פּאַקאַדזשאַז, וואָס זענען ליגן דאָ - https://www.rutoken.ru/support/download/pkcs/. מיר אויך האָבן אַסעמבליז פֿאַר arm64, armv7el, armv7hf, e2k, mipso32el, וואָס קענען זיין דאַונלאָודיד פֿון אונדזער SDK - https://www.rutoken.ru/developers/sdk/. אין אַדישאַן צו אַסעמבליז פֿאַר לינוקס, עס זענען אויך אַסעמבליז פֿאַר מאַקאָס, פרעעבסד און אַנדרויד.
2. אַדינג אַ נייַע PKCS #11 פּראַוויידער צו XCA. צו טאָן דאָס, גיין צו די מעניו אָפּציעס צו די קוויטל PKCS #11 פּראַוויידער.
3. מיר דריקן צוגעבן און סעלעקטירן דעם דרך צו די PKCS #11 ביבליאָטעק. אין מיין פאַל עס איז usrliblibrtpkcs11ecp.so.
4. מיר דאַרפֿן אַ פאָרמאַטטעד Rutoken EDS PKI טאָקען. אראפקאפיע די rtAdmin נוצן - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
5. מיר פירן אויס

   $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

6. מיר אויסקלייַבן די RSA-2048 שליסל פֿאַר די Rutoken EDS PKI ווי דער שליסל טיפּ. איך גערופן דעם שליסל קליענט שליסל.

   

7. אַרייַן די PIN קאָד. און מיר וואַרטן פֿאַר די קאַמפּלישאַן פון ייַזנוואַרג דור פון די שליסל פּאָר

   

8. מיר מאַכן אַ באַווייַזן פֿאַר די באַניצער דורך אַנאַלאַדזשי מיט די סערווער באַווייַזן. דאָס מאָל מיר אויסקלייַבן אַ מוסטער [פעליקייַט] HTTPS_client און טאָן ניט פאַרגעסן צו גיט צולייגן אַלע.
9. אין די קוויטל ונטערטעניק אַרייַן אינפֿאָרמאַציע וועגן דעם באַניצער. מיר ענטפֿערן אין די אַפערמאַטיוו צו די בקשה צו ראַטעווען די באַווייַזן פֿאַר די סימען.

ווי אַ רעזולטאַט, אויף די קוויטל סערטיפיקאַץ אין XCA איר זאָל באַקומען עפּעס ווי דאָס.

די מינימום גאַנג פון שליסלען און סערטיפיקאַץ איז גענוג צו אָנהייבן באַשטעטיקן די סערווערס זיך.

צו קאַנפיגיער, מיר דאַרפֿן צו אַרויספירן די CA באַווייַזן, סערווירער באַווייַזן און סערווער פּריוואַט שליסל.

צו טאָן דאָס, סעלעקטירן דעם געוואלט פּאָזיציע אויף די קאָראַספּאַנדינג קוויטל אין XCA און גיט אַרויספירן.

נגינקס

איך וועל נישט שרייַבן ווי צו ינסטאַלירן און לויפן אַ nginx סערווער - עס זענען גענוג אַרטיקלען אויף דעם טעמע אויף דער אינטערנעץ, ניט צו דערמאָנען די באַאַמטער דאַקיומענטיישאַן. זאל ס באַקומען גלייך צו באַשטעטיקן HTTPS און צוויי-פאַקטאָר אָטענטאַקיישאַן ניצן אַ סימען.

לייג די פאלגענדע שורות צו די סערווער אָפּטיילונג אין nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

א דיטיילד באַשרייַבונג פון אַלע פּאַראַמעטערס שייַכות צו קאַנפיגיער ssl אין nginx קענען זיין געפֿונען דאָ - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

איך וועל נאָר בעקיצער באַשרייַבן די וואָס איך געפרעגט זיך:

• ssl_verify_client - ספּעציפיצירן אַז די קייט פון צוטרוי פֿאַר די באַווייַזן דאַרף זיין וועראַפייד.
• ssl_verify_depth - דיפיינז די זוכן טיפקייַט פֿאַר די טראַסטיד וואָרצל באַווייַזן אין די קייט. זינט אונדזער קליענט באַווייַזן איז מיד געחתמעט אויף די וואָרצל באַווייַזן, די טיפקייַט איז באַשטימט צו 1. אויב דער באַניצער באַווייַזן איז געחתמעט אויף אַ ינטערמידייט CA, דעמאָלט 2 מוזן זיין ספּעסיפיעד אין דעם פּאַראַמעטער, און אַזוי אויף.
• ssl_client_certificate - ספּעציפיצירן די דרך צו די טראַסטיד וואָרצל באַווייַזן, וואָס איז געניצט ווען קאָנטראָלירונג צוטרוי אין דער באַניצער ס באַווייַזן.
• ssl_certificate/ssl_certificate_key - אָנווייַזן דעם דרך צו די סערווער באַווייַזן / פּריוואַט שליסל.

דו זאלסט נישט פאַרגעסן צו לויפן nginx -t צו קאָנטראָלירן אַז עס זענען קיין טיפּאָס אין די קאָנפיג, און אַז אַלע טעקעס זענען אין די רעכט אָרט, און אַזוי אויף.

און דאָס איז אַלע! ווי איר קענען זען, די סעטאַפּ איז זייער פּשוט.

טשעק אַז עס אַרבעט אין Firefox

זינט מיר טאָן אַלץ גאָר אין לינוקס, מיר וועלן יבערנעמען אַז אונדזער יוזערז אויך אַרבעטן אין לינוקס (אויב זיי האָבן Windows, דעריבער זען ינסטראַקשאַנז פֿאַר באַשטעטיקן בראַוזערז אין דעם פריערדיקן אַרטיקל.

1. זאל ס קאַטער Firefox.
2. זאל ס פּרובירן צו אַרייַנלאָגירן אָן אַ טאָקען ערשטער. מיר באַקומען דעם בילד:

   

3. מיר גיין אויף וועגן: פּרעפֿערענצן # פּריוואַטקייט, און מיר גיין צו זיכערהייט דעוויסעס…
4. מיר דריקן לאָדןצו לייגן אַ נייַ PKCS # 11 דיווייס דרייווער און ספּעציפיצירן דעם דרך צו אונדזער librtpkcs11ecp.so.
5. צו קאָנטראָלירן אַז די באַווייַזן איז קענטיק, איר קענט גיין צו סערטיפיקאַט מאַנאַגער. איר וועט זיין פּראַמפּטיד צו אַרייַן דיין PIN. נאָך ריכטיק אַרייַנשרייַב, איר קענען קאָנטראָלירן וואָס איז אויף די קוויטל דיין סערטיפיקאַץ אונדזער באַווייַזן פון די סימען איז ארויס.
6. איצט לאמיר גיין מיט דעם סימען. פירעפאָקס פּראַמפּס איר צו אויסקלייַבן אַ באַווייַזן וואָס וועט זיין אויסגעקליבן פֿאַר די סערווער. קלייַבן אונדזער באַווייַזן.

   

7. PROFIT!

   

די סעטאַפּ איז געטאן אַמאָל, און ווי איר קענען זען אין די באַווייַזן בעטן פֿענצטער, מיר קענען ראַטעווען אונדזער סעלעקציע. נאָך דעם, יעדער מאָל מיר קלאָץ אין דעם טויער, מיר נאָר דאַרפֿן צו אַרייַנלייגן אַ סימען און אַרייַן די באַניצער PIN קאָד וואָס איז געווען ספּעסיפיעד בעשאַס פאָרמאַטטינג. נאָך אַזאַ אָטענטאַקיישאַן, דער סערווירער שוין ווייסט וואָס באַניצער איז לאָגד אין און איר קענען ניט מער שאַפֿן קיין נאָך פֿענצטער פֿאַר וועראַפאַקיישאַן, אָבער גלייך לאָזן דעם באַניצער אין זיין פּערזענלעך חשבון.

אַפּאַטשי

פּונקט ווי מיט nginx, קיין איינער זאָל האָבן קיין פראבלעמען מיט ינסטאָלינג אַפּאַטשי. אויב איר טאָן ניט וויסן ווי צו ינסטאַלירן דעם וועב סערווער, נאָר נוצן די באַאַמטער דאַקיומענטיישאַן.

און מיר אָנהייבן באַשטעטיקן אונדזער HTTPS און צוויי-פאַקטאָר אָטענטאַקיישאַן:

1. ערשטער איר דאַרפֿן צו אַקטאַווייט mod_ssl:

   $ a2enmod ssl

2. און געבן די פעליקייַט הטטפּס סעטטינגס פון די פּלאַץ:

   $ a2ensite default-ssl

3. איצט מיר רעדאַגירן די קאַנפיגיעריישאַן טעקע: /etc/apache2/sites-enabled/default-ssl.conf:

       SSLEngine on
       SSLProtocol all -SSLv2
   
       SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
       SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem
   
       SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt
   
       SSLVerifyClient require
       SSLVerifyDepth  10

   ווי איר קענען זען, די נעמען פון די פּאַראַמעטערס פּראַקטאַקלי צונויפפאַלן מיט די נעמען פון די פּאַראַמעטערס אין נגינקס, אַזוי איך וועל נישט דערקלערן זיי. ווידער, ווער עס יז אינטערעסירט אין די דעטאַילס איז באַגריסונג צו די דאַקיומענטיישאַן.
   איצט מיר ריסטאַרט אונדזער סערווער:

   $ service apache2 reload
   $ service apache2 restart

ווי איר קענען זען, באַשטעטיקן אַרויף צוויי-פאַקטאָר אָטענטאַקיישאַן אויף קיין וועב סערווער, צי אויף ווינדאָוז אָדער לינוקס, נעמט מאַקסימום איין שעה. און באַשטעטיקן בראַוזערז נעמט וועגן 5 מינוט. פילע מענטשן טראַכטן אַז באַשטעטיקן און ארבעטן מיט צוויי-פאַקטאָר אָטענטאַקיישאַן איז שווער און ומקלאָר. איך האָפֿן אַז אונדזער אַרטיקל דעבונקס דעם מיטאָס, לפּחות אַ ביסל.

בלויז רעגיסטרירט ניצערס קענען אָנטייל נעמען אין די יבערבליק. סיין ארייןביטע.

צי איר דאַרפֿן ינסטראַקשאַנז פֿאַר באַשטעטיקן TLS מיט סערטיפיקאַץ לויט GOST 34.10-2012:

• יאָ, TLS-GOST איז זייער נויטיק

• ניין, טונינג מיט GOST אַלגערידאַמז איז נישט טשיקאַווע

44 באנוצער האבן געשטימט. 9 באנוצער האבן זיך אפגעהאלטן.

מקור: www.habr.com