דערפאַרונג אין ניצן Rutoken טעכנאָלאָגיע פֿאַר רעדזשיסטערינג און אָטערייזינג ניצערס אין די סיסטעם (טייל 2)

א גוטן מיטאג לאָמיר פאָרזעצן צו האַנדלען מיט דעם טעמע (די פריערדיקע טייל קענען זיין געפֿונען אין די לינק).

הייַנט לאָמיר גיין אויף צו די פּראַקטיש טייל. לאָמיר אָנהייבן מיט באַשטעטיקן דיין באַווייַזן אויטאָריטעט באזירט אויף די פול-פלעדזשד עפֿענען-מקור קריפּטאָגראַפיק ביבליאָטעק אָפּענססל. דעם אַלגערידאַם איז טעסטעד מיט Windows 7.

מיט OpenSSL אינסטאַלירן, מיר קענען דורכפירן פאַרשידן קריפּטאָגראַפיק אַפּעריישאַנז (אַזאַ ווי דזשענערייטינג שליסלען און סערטיפיקאַץ) דורך די באַפֿעלן שורה.

די אַלגערידאַם פון אַקשאַנז איז ווי גייט:

1. אראפקאפיע די ייַנמאָנטירונג פאַרשפּרייטונג openssl-1.1.1g.
   openSSL האט פאַרשידענע ווערסיעס. די דאַקיומענטיישאַן פֿאַר Rutoken סטייטיד אַז openSSL ווערסיע 1.1.0 אָדער שפּעטער איז פארלאנגט. איך געוויינט אָפּענססל-1.1.1ג ווערסיע. איר קענען אראפקאפיע openSSL פֿון דער באַאַמטער וועבזייטל, אָבער פֿאַר אַ גרינגער ייַנמאָנטירונג איר דאַרפֿן צו געפֿינען די ייַנמאָנטירונג טעקע פֿאַר Windows אויף דער אינטערנעץ. איך האב דאס געטון פאר דיר: slproweb.com/products/Win32OpenSSL.html
   איר דאַרפֿן צו מעגילע צו די דנאָ פון די בלאַט און אראפקאפיע Win64 OpenSSL v1.1.1g EXE 63MB ינסטאַללער.
2. ינסטאַלירן openssl-1.1.1g אויף דיין קאָמפּיוטער.
   די ייַנמאָנטירונג מוזן זיין דורכגעקאָכט מיט די נאָרמאַל דרך, וואָס איז אויטאָמאַטיש ספּעסיפיעד אין די C: פּראָגראַם פילעס טעקע. דער פּראָגראַם וועט זיין אינסטאַלירן אין די OpenSSL-Win64 טעקע.
3. אין סדר צו קאַנפיגיער openSSL ווי איר דאַרפֿן, עס איז אַ טעקע openssl.cfg. דער טעקע איז ליגן אין דעם דרך C: Program FilesOpenSSL-Win64bin אויב איר אינסטאַלירן אָפּענססל ווי דיסקרייבד אין די פריערדיקע פּאַראַגראַף. גיין צו דער טעקע ווו openssl.cfg איז סטאָרד און עפֿענען דעם טעקע ניצן, למשל, נאָטעפּאַד ++.
4. איר מיסטאָמע געסט אַז די קאַנפיגיעריישאַן פון די סערטאַפאַקיישאַן צענטער וועט זיין געטאן דורך עפעס טשאַנגינג די אינהאַלט פון די openssl.cfg טעקע, און איר זענט לעגאַמרע רעכט. צו טאָן דאָס, איר דאַרפֿן צו קאַנפיגיער די [ca] באַפֿעל. אין די openssl.cfg טעקע, די אָנהייב פון די טעקסט ווו מיר וועלן מאַכן ענדערונגען קענען זיין געפֿונען ווי: [ca].
5. איצט איך וועל געבן אַ בייַשפּיל פון אַ סעטאַפּ מיט זייַן באַשרייַבונג:

   [ ca ]
   default_ca	= CA_default		
   
    [ CA_default ]
   dir		= /Users/username/bin/openSSLca/demoCA		 
   certs		= $dir/certs		
   crl_dir		= $dir/crl		
   database	= $dir/index.txt	
   new_certs_dir	= $dir/newcerts	
   certificate	= $dir/ca.crt 	
   serial		= $dir/private/serial 		
   crlnumber	= $dir/crlnumber	
   					
   crl		= $dir/crl.pem 		
   private_key	= $dir/private/ca.key
   x509_extensions	= usr_cert
   

   איצט איר דאַרפֿן צו שאַפֿן די דעמאָקאַ וועגווייַזער און סובדירעקטאָריעס, ווי געוויזן אין דעם בייַשפּיל אויבן. און שטעלן עס אין דעם וועגווייַזער צוזאמען דעם דרך ספּעסיפיעד אין דיר (איך האָבן /Users/Username/bin/openSSLca/demoCA).

   עס איז זייער וויכטיק צו אַרייַן דיר ריכטיק - דאָס איז דער וועג צו דער וועגווייַזער ווו אונדזער סערטאַפאַקיישאַן אויטאָריטעט וועט זיין ליגן. דער וועגווייַזער מוזן זיין ליגן אין / יוזערז (דאָס איז, אין אַ באַניצער חשבון). אויב איר שטעלן דעם וועגווייַזער, פֿאַר בייַשפּיל, אין C: פּראָגראַם פילעס, די סיסטעם וועט נישט זען די אָפּענססל.קפג סעטטינגס טעקע (בייַ מינדסטער דאָס איז געווען פֿאַר מיר).

   $dir - דער דרך ספּעסיפיעד אין דיר איז סאַבסטאַטוטאַד דאָ.

   אן אנדער וויכטיק פונט איז צו שאַפֿן אַ ליידיק index.txt טעקע; אָן דעם טעקע, די "openSSL ca ..." קאַמאַנדז וועט נישט אַרבעטן.

   איר אויך דאַרפֿן צו האָבן אַ סיריאַל טעקע, אַ וואָרצל פּריוואַט שליסל (ca.key) און אַ וואָרצל באַווייַזן (ca.crt). דער פּראָצעס פון קריגן די טעקעס וועט זיין דיסקרייבד אונטן.

6. מיר געבן ענקריפּשאַן אַלגערידאַמז צוגעשטעלט דורך Rutoken.
   דער קשר אַקערז אין די אָפּענססל.קפג טעקע.
   • ערשטער פון אַלע, איר דאַרפֿן צו אָפּלאָדירן די נייטיק Rutoken אַלגערידאַמז. דאס זענען די טעקעס rtengine.dll, rtpkcs11ecp.dll.
     צו טאָן דאָס, אראפקאפיע Rutoken SDK: www.rutoken.ru/developers/sdk.

     Rutoken SDK איז אַלע עס איז פֿאַר דעוועלאָפּערס וואָס ווילן צו פּרובירן Rutoken. עס זענען ביידע יחיד ביישפילן פֿאַר ארבעטן מיט Rutoken אין פאַרשידענע פּראָגראַממינג שפּראַכן, און עטלעכע לייברעריז זענען דערלאנגט. אונדזער לייברעריז rtengine.dll און rtpkcs11ecp.dll זענען ליגן אין Rutoken sdk, ריספּעקטיוולי אין דעם אָרט:

     sdk/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     sdk/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll

     א זייער וויכטיק פונט. די לייברעריז rtengine.dll, rtpkcs11ecp.dll טאָן ניט אַרבעטן אָן די אינסטאַלירן שאָפער פֿאַר Rutoken. אויך, Rutoken מוזן זיין קאָננעקטעד צו די קאָמפּיוטער. (פֿאַר ייַנמאָנטירונג פון אַלץ נייטיק פֿאַר Rutoken, זען די פריערדיקע טייל פון דעם אַרטיקל habr.com/ru/post/506450)

   • די rtengine.dll און rtpkcs11ecp.dll לייברעריז קענען זיין געהאלטן ערגעץ אין די באַניצער חשבון.
   • מיר רעגיסטרירן די פּאַטס צו די לייברעריז אין openssl.cfg. צו טאָן דאָס, עפענען די טעקע openssl.cfg, אין די אָנהייב פון דעם טעקע איר דאַרפֿן צו שטעלן די שורה:

     openssl_conf = openssl_def

     אין די סוף פון די טעקע איר דאַרפֿן צו לייגן:

     [ openssl_def ]
     engines = engine_section
     [ engine_section ]
     rtengine = gost_section
     [ gost_section ]
     dynamic_path = /Users/username/bin/sdk-rutoken/openssl/rtengine/bin/windows-x86_64/lib/rtengine.dll
     MODULE_PATH = /Users/username/bin/sdk-rutoken/pkcs11/lib/windows-x86_64/rtpkcs11ecp.dll
     RAND_TOKEN = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
     default_algorithms = CIPHERS, DIGEST, PKEY, RAND
     

     dynamic_path - איר דאַרפֿן צו ספּעציפיצירן דיין דרך צו די rtengine.dll ביבליאָטעק.
     MODULE_PATH - איר מוזן ספּעציפיצירן דיין וועג צו די rtpkcs11ecp.dll ביבליאָטעק.

7. אַדינג סוויווע וועריאַבאַלז.

   איר מוזן לייגן אַן ינווייראַנמענאַל בייַטעוודיק וואָס ספּעציפיצירט דעם דרך צו די אָפּענססל.קפג קאַנפיגיעריישאַן טעקע. אין מיין פאַל, די OPENSSL_CONF בייַטעוודיק איז באשאפן מיט דעם דרך C: Program FilesOpenSSL-Win64binopenssl.cfg.

   דער וועג בייַטעוודיק מוזן אַנטהאַלטן דעם דרך צו דער טעקע ווו openssl.exe איז ליגן, אין מיין פאַל עס איז: C: Program FilesOpenSSL-Win64bin.

8. איצט איר קענען צוריקקומען צו שריט 5 און מאַכן די פעלנדיק טעקעס פֿאַר די דעמאָקאַ וועגווייַזער.
   1. דער ערשטער וויכטיק טעקע אָן וואָס גאָרנישט וועט אַרבעטן איז סיריאַל. דאָס איז אַ טעקע אָן אַ פאַרלענגערונג, די ווערט פון וואָס זאָל זיין 01. איר קענען מאַכן דעם טעקע זיך און שרייַבן 01 ין. איר קענען אויך אראפקאפיע עס פון די Rutoken SDK אויף די דרך sdk/openssl/rtengine/samples/tool/demoCA /.
      אין די דעמאָקאַ וועגווייַזער עס איז אַ סיריאַל טעקע, וואָס איז פּונקט וואָס מיר דאַרפֿן.
   2. שאַפֿן אַ וואָרצל פּריוואַט שליסל.
      צו טאָן דאָס, מיר וועלן נוצן די openSSL ביבליאָטעק באַפֿעל, וואָס מוזן זיין לויפן גלייַך אויף די באַפֿעלן שורה:

      openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out ca.key

   3. שאַפֿן אַ וואָרצל באַווייַזן.
      צו טאָן דאָס, מיר וועלן נוצן די פאלגענדע באַפֿעל פון די openSSL ביבליאָטעק:

      openssl req -utf8 -x509 -key ca.key -out ca.crt

      ביטע טאָן אַז צו שאַפֿן אַ וואָרצל באַווייַזן, איר דאַרפֿן די וואָרצל פּריוואַט שליסל, וואָס איז געווען באשאפן אין די פריערדיקע שריט. דעריבער, די באַפֿעל שורה מוזן זיין לאָנטשט אין דער זעלביקער וועגווייַזער.

   כל די פעלנדיק טעקעס פֿאַר די גאַנץ קאַנפיגיעריישאַן פון די דעמאָקאַ וועגווייַזער זענען איצט בנימצא. שטעלן די באשאפן טעקעס אין די דירעקטעריז ספּעסיפיעד אין שריט 5.

מיר וועלן יבערנעמען אַז נאָך קאַמפּליטינג אַלע 8 פונקטן, אונדזער סערטאַפאַקיישאַן צענטער איז גאָר קאַנפיגיערד.

אין דער ווייַטער טייל איך וועט זאָגן איר ווי מיר וועלן אַרבעטן מיט די סערטאַפאַקיישאַן אויטאָריטעט צו ויספירן וואָס איז דיסקרייבד אין פרייַערדיק טייל פון דעם אַרטיקל.

מקור: www.habr.com