Για να εγκαταστήσετε το λογισμικό Continent TLS Client, πρέπει:

Εικόνα 33. Το παράθυρο έναρξης του οδηγού εγκατάστασης για το λογισμικό Continent TLS Client.

Εικόνα 34. Παράθυρο συμφωνία άδειαςΛογισμικό Continent TLS Client.

3. Επιλέξτε το πλαίσιο "Αποδέχομαι τους όρους της άδειας χρήσης" και κάντε κλικ στο κουμπί "Επόμενο". Στην οθόνη θα εμφανιστεί ένα παράθυρο για την εισαγωγή του κλειδιού άδειας χρήσης που παρέχεται με το λογισμικό Continent TLS Client σε χαρτί ή ηλεκτρονικά μέσα.

Εικόνα 35. Παράθυρο για την εισαγωγή του κλειδιού άδειας χρήσης για το λογισμικό Continent TLS Client.

4. Εισαγάγετε κλειδί άδειας χρήσηςκαι κάντε κλικ στο κουμπί "Επόμενο". Στην οθόνη θα εμφανιστεί ένα παράθυρο διαλόγου για την επιλογή της διαδρομής εγκατάστασης για το λογισμικό Continent TLS Client.

Εικόνα 36. Παράθυρο για την επιλογή της διαδρομής εγκατάστασης για το λογισμικό Continent TLS Client.

5. Αφήστε την προεπιλεγμένη διαδρομή εγκατάστασης. Πατήστε "Επόμενο". Το παράθυρο διαλόγου "Start Configurator" θα εμφανιστεί στην οθόνη.

Εικόνα 37. Παράθυρο για την εκκίνηση του διαμορφωτή του λογισμικού Continent TLS Client.

6. Επιλέξτε το πλαίσιο "Εκτέλεση του διαμορφωτή μετά την ολοκλήρωση της εγκατάστασης".

Εικόνα 38. Παράθυρο ετοιμότητας για εγκατάσταση του λογισμικού Continent TLS Client.

8. Κάντε κλικ στο κουμπί "Εγκατάσταση". Η εγκατάσταση του στοιχείου θα ξεκινήσει.

Εικόνα 39. Η διαδικασία εγκατάστασης του λογισμικού Continent TLS Client.

9. Το παράθυρο διαλόγου διαμόρφωσης του λογισμικού Continent TLS Client θα εμφανιστεί στην οθόνη.

Εικόνα 40. Διαμόρφωση του λογισμικού Continent TLS Client.

Για να διαμορφώσετε το λογισμικό που χρειάζεστε:

α) Στην ενότητα "Πελάτης TLS Continent Settings", αφήστε την τιμή "Port" από προεπιλογή, ίση με 8080.

β) Στην ενότητα "Προστατευμένες ρυθμίσεις διακομιστή", στο πεδίο "Διεύθυνση", καθορίστε το όνομα Διακομιστές TLS: lk.budget.gov.ru.

γ) Στην ενότητα "Προστατευμένες ρυθμίσεις διακομιστή", στο πεδίο "Πιστοποιητικό", καθορίστε το αρχείο πιστοποιητικού διακομιστή TLS που αντιγράφηκε στον τοπικό κατάλογο στην ενότητα 3.1 αυτού του Οδηγού.

Εικόνα 41. Διαμόρφωση του λογισμικού Continent TLS Client. Επιλογή πιστοποιητικού.

δ) Εάν ο σταθμός εργασίας του χρήστη δεν χρησιμοποιεί εξωτερικό διακομιστή μεσολάβησης, κάντε κλικ στο κουμπί "OK".

ε) Διαφορετικά, καθορίστε τη διεύθυνση και τη θύρα του εξωτερικού διακομιστή μεσολάβησης του οργανισμού που θα χρησιμοποιηθεί.

Εικόνα 42. Ρύθμιση της υπηρεσίας λογισμικού Continent TLS Client. Ρύθμιση εξωτερικού διακομιστή μεσολάβησης.

στ) Πατήστε το κουμπί OK.

10. Το παράθυρο διαλόγου για την ολοκλήρωση της εγκατάστασης του λογισμικού Continent TLS Client θα εμφανιστεί στην οθόνη.

Εικόνα 43. Διάλογος για την ολοκλήρωση της εγκατάστασης του λογισμικού Continent TLS Client.

11. Πατήστε το κουμπί "Τέλος".

12. Θα εμφανιστεί ένα παράθυρο διαλόγου στην οθόνη που σας ζητά να επανεκκινήσετε το σταθμό εργασίας του χρήστη.

Εικόνα 44. Διάλογος σχετικά με την ανάγκη επανεκκίνησης του σταθμού εργασίας του χρήστη.

13. Πατήστε το κουμπί "Όχι".

Λογισμικό Ηπείρου TLS VPN– ένα σύστημα για την παροχή ασφάλειας απομακρυσμένη πρόσβασησε εφαρμογές web που χρησιμοποιούν αλγόριθμους κρυπτογράφησης GOST. Εφαρμογές Continent TLS VPN κρυπτογραφική προστασίαΕπισκεψιμότητα HTTP σε επίπεδο περιόδου σύνδεσης. Η κρυπτογράφηση των πληροφοριών πραγματοποιείται σύμφωνα με τον αλγόριθμο GOST 28147–89.

Αναγνώριση και έλεγχος ταυτότητας απομακρυσμένων χρηστών

Η αναγνώριση και ο έλεγχος ταυτότητας των χρηστών πραγματοποιείται χρησιμοποιώντας πιστοποιητικά δημόσιου κλειδιού του προτύπου x.509v3 (GOST R 31.11–94, 34.10–2001). Το TLS VPN Continent ελέγχει τα βασικά πιστοποιητικά έναντι των λιστών ανάκλησης πιστοποιητικών (CRL). Τα πιστοποιητικά εκδίδονται από εξωτερική αρχή πιστοποίησης.

Σε περίπτωση επιτυχούς ολοκλήρωσης των διαδικασιών ελέγχου ταυτότητας, το αίτημα του χρήστη ανακατευθύνεται μέσω HTTP σε ασφαλές δίκτυο στον κατάλληλο web server. Σε αυτήν την περίπτωση, ειδικά αναγνωριστικά (αναγνωριστικό πελάτη και αναγνωριστικό IP) προστίθενται σε κάθε περίοδο λειτουργίας HTTP του χρήστη.

Κρυπτογραφική προστασία μεταδιδόμενων πληροφοριών

Το TLS VPN Continent εκτελεί κρυπτογραφική προστασία της κίνησης HTTP σε επίπεδο συνόδου. Η κρυπτογράφηση των πληροφοριών πραγματοποιείται σύμφωνα με τον αλγόριθμο GOST 28147–89. Η συνάρτηση κατακερματισμού υπολογίζεται σύμφωνα με τον αλγόριθμο GOST R 34.11–94, GOST R 34.11–2012. Ο σχηματισμός και η επαλήθευση της ηλεκτρονικής υπογραφής πραγματοποιείται σύμφωνα με τον αλγόριθμο GOST R 34.10–2001, GOST R 34.10–2012.

Απόκρυψη προστατευμένων διακομιστών και μετάφρασης διευθύνσεων

Το TLS VPN Continent φιλτράρει αιτήματα και μεταφράζει τις διευθύνσεις αιτημάτων σε διακομιστές ιστού εταιρικό δίκτυο. Η μετάφραση της διεύθυνσης πραγματοποιείται σύμφωνα με τους κανόνες που ορίζονται από τον διαχειριστή "Continent TLS VPN".

Ανοχή σφαλμάτων και επεκτασιμότητα

Το TLS VPN Continent υποστηρίζει εργασία σε σχήμα συμπλέγματος υψηλής απόδοσης με εξισορρόπηση φορτίου (εξωτερικός εξισορροπητής φορτίου). Η αύξηση της ανοχής σφαλμάτων επιτυγχάνεται με την προσθήκη ενός πλεονάζοντος κόμβου στο σύμπλεγμα. Ταυτόχρονα, τα στοιχεία του συμπλέγματος εξισορρόπησης μπορούν να αυξηθούν επ' αόριστον. Η αστοχία ενός στοιχείου συμπλέγματος δεν οδηγεί σε διακοπή των συνδέσεων, καθώς το φορτίο κατανέμεται ομοιόμορφα μεταξύ των υπολοίπων στοιχείων.

Παρακολούθηση και καταγραφή συμβάντων

Στο TLS VPN Continent, ο διαχειριστής μπορεί πάντα να λαμβάνει ενημερωμένες πληροφορίες σχετικά με την τρέχουσα κατάσταση των εγκατεστημένων συνδέσεων και στατιστικά στοιχεία για την εργασία του. Τα συμβάντα καταγράφονται στον διακομιστή ασφάλεια πληροφοριών. Όλα τα συμβάντα μπορούν να αποσταλούν στον καθορισμένο διακομιστή σε μορφή syslog για περαιτέρω ανάλυση, γεγονός που καθιστά την ενοποίηση με τα συστήματα SIEM όσο το δυνατόν πιο απλή.

Βολικά εργαλεία διαχείρισης

Ο συνδυασμός τοπικών και απομακρυσμένα εργαλείαμε μια διεπαφή ιστού και μια βολική κονσόλα διαχείρισης γραφικών παρέχει ευέλικτη διαμόρφωση TLS VPN Continent σύμφωνα με τις απαιτήσεις των πολιτικών ασφαλείας.

Υποστηριζόμενα πρωτόκολλα

Το TLS VPN Continent υποστηρίζει πρωτόκολλα TLS v.1, TLS v.2.

Λειτουργία χρήστη μέσω οποιουδήποτε προγράμματος περιήγησης ιστού

Χρησιμοποιώντας την εφαρμογή Continent TLS VPN Client, οι χρήστες μπορούν να έχουν πρόσβαση σε προστατευμένους πόρους από οποιοδήποτε πρόγραμμα περιήγησης ιστού. Continent TLS VPN Ο πελάτης είναι ένας τοπικός διακομιστής μεσολάβησης που παρεμποδίζει την κυκλοφορία του προγράμματος περιήγησης σε προστατευμένους διακομιστές ιστού και τον συσκευάζει σε μια σήραγγα http. Χάρη σε αυτό, ο χρήστης μπορεί να εργαστεί με οποιοδήποτε πρόγραμμα περιήγησης ιστού που είναι εγκατεστημένο στη συσκευή του.

Χρησιμοποιώντας ένα φιλικό προς το χρήστη πρόγραμμα-πελάτη λογισμικού

Χρήση ενός φιλικού προς το χρήστη πελάτη λογισμικού Το Continent TLS VPN Client ή το CryptoPro μπορεί να χρησιμοποιηθεί ως πελάτης στη συσκευή του χρήστη Εκδόσεις CSP 3.6.1.

Το TLS και το SSL αναφέρονται όλο και περισσότερο τελευταία, η χρήση ψηφιακών πιστοποιητικών γίνεται όλο και πιο σχετική, ενώ εμφανίστηκαν ακόμη και εταιρείες που είναι έτοιμες να παρέχουν ψηφιακά πιστοποιητικά σε όλους δωρεάν για να εγγυηθούν την κρυπτογράφηση της κυκλοφορίας μεταξύ των επισκεπτόμενων τοποθεσιών και του προγράμματος περιήγησης του πελάτη. Αυτό είναι απαραίτητο, φυσικά, για την ασφάλεια, ώστε κανείς στο δίκτυο να μην μπορεί να λάβει δεδομένα που μεταδίδονται από τον πελάτη στον διακομιστή και αντίστροφα. Πώς λειτουργεί όλο αυτό και πώς να το χρησιμοποιήσετε; Για να το κατανοήσουμε αυτό, είναι απαραίτητο, ίσως, να ξεκινήσουμε από τη θεωρία και μετά να το δείξουμε στην πράξη. Έτσι, SSL και TLS.

Τι είναι το SSL και τι το TLS;

Το SSL σημαίνει Secure Socket Layer, το επίπεδο των ασφαλών υποδοχών. TLS - Ασφάλεια επιπέδου μεταφοράς, ασφάλεια επιπέδου μεταφοράς. Το SSL είναι ένα παλαιότερο σύστημα, το TLS είναι πιο πρόσφατο και βασίζεται στην προδιαγραφή SSL 3.0 που αναπτύχθηκε από την Netscape Communications. Ωστόσο, το καθήκον αυτών των πρωτοκόλλων είναι το ίδιο - να διασφαλίζουν την ασφαλή μεταφορά δεδομένων μεταξύ δύο υπολογιστών στο Διαδίκτυο. Αυτή η μεταφορά χρησιμοποιείται για διάφορους ιστότοπους, για ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, για μηνύματα και πολλά άλλα. Κατ 'αρχήν, μπορείτε να μεταφέρετε οποιαδήποτε πληροφορία με αυτόν τον τρόπο, περισσότερα για αυτό παρακάτω.

Η ασφαλής μετάδοση διασφαλίζεται μέσω ελέγχου ταυτότητας και κρυπτογράφησης των μεταδιδόμενων πληροφοριών. Στην πραγματικότητα, αυτά τα πρωτόκολλα, TLS και SSL, λειτουργούν με τον ίδιο τρόπο, δεν υπάρχουν θεμελιώδεις διαφορές. Το TLS μπορεί να ειπωθεί ότι είναι ο διάδοχος του SSL, αν και μπορούν να χρησιμοποιηθούν ταυτόχρονα, ακόμη και στον ίδιο διακομιστή. Αυτή η υποστήριξη είναι απαραίτητη προκειμένου να διασφαλιστεί η εργασία τόσο με νέους πελάτες (συσκευές και προγράμματα περιήγησης) όσο και με παλαιού τύπου που δεν υποστηρίζουν TLS. Η σειρά εμφάνισης αυτών των πρωτοκόλλων μοιάζει με αυτό:

SSL 1.0 - δεν δημοσιεύτηκε ποτέ
SSL 2.0 - Φεβρουάριος 1995
SSL 3.0 - 1996
TLS 1.0 - Ιανουάριος 1999
TLS 1.1 - Απρίλιος 2006
TLS 1.2 - Αύγουστος 2008

Πώς λειτουργούν τα SSL και TLS

Η αρχή λειτουργίας του SSL και του TLS, όπως είπα, είναι η ίδια. Ένα κρυπτογραφημένο κανάλι δημιουργείται μέσω του πρωτοκόλλου TCP / IP, εντός του οποίου τα δεδομένα μεταδίδονται μέσω του πρωτοκόλλου εφαρμογής - HTTP, FTP και ούτω καθεξής. Δείτε πώς μπορεί να αναπαρασταθεί γραφικά:

Το πρωτόκολλο εφαρμογής είναι «τυλιγμένο» σε TLS/SSL, το οποίο, με τη σειρά του, είναι τυλιγμένο σε TCP/IP. Στην πραγματικότητα, τα δεδομένα του πρωτοκόλλου εφαρμογής μεταδίδονται μέσω TCP / IP, αλλά είναι κρυπτογραφημένα. Και μόνο το μηχάνημα που δημιούργησε τη σύνδεση μπορεί να αποκρυπτογραφήσει τα μεταδιδόμενα δεδομένα. Για όλους τους άλλους που λαμβάνουν τα μεταδιδόμενα πακέτα, αυτές οι πληροφορίες δεν θα έχουν νόημα εάν δεν μπορούν να τις αποκρυπτογραφήσουν.

Η σύνδεση πραγματοποιείται σε διάφορα βήματα:

1) Ο πελάτης δημιουργεί μια σύνδεση με τον διακομιστή και ζητά μια ασφαλή σύνδεση. Αυτό μπορεί να επιτευχθεί είτε με τη δημιουργία μιας σύνδεσης σε μια θύρα που έχει αρχικά σχεδιαστεί για να λειτουργεί με SSL/TLS, όπως το 443, είτε πρόσθετο αίτημαπελάτης που δημιουργεί μια ασφαλή σύνδεση μετά τη δημιουργία μιας κανονικής.

2) Κατά τη δημιουργία μιας σύνδεσης, ο πελάτης παρέχει μια λίστα αλγορίθμων κρυπτογράφησης που "γνωρίζει". Ο διακομιστής συγκρίνει τη λίστα που έλαβε με τη λίστα των αλγορίθμων που ο ίδιος ο διακομιστής «γνωρίζει» και επιλέγει τον πιο αξιόπιστο αλγόριθμο, μετά τον οποίο λέει στον πελάτη ποιον αλγόριθμο να χρησιμοποιήσει

3) Ο διακομιστής στέλνει στον πελάτη το ψηφιακό του πιστοποιητικό υπογεγραμμένο από την αρχή πιστοποίησης και το δημόσιο κλειδί του διακομιστή.

4) Ο πελάτης μπορεί να επικοινωνήσει με τον διακομιστή της αξιόπιστης ΑΠ που υπέγραψε το πιστοποιητικό του διακομιστή και να ελέγξει εάν το πιστοποιητικό του διακομιστή είναι έγκυρο. Αλλά μπορεί να μην συνδεθεί. Το λειτουργικό σύστημα έχει συνήθως ήδη εγκατεστημένα πιστοποιητικά ρίζας των αρχών πιστοποίησης, έναντι των οποίων επαληθεύονται οι υπογραφές των πιστοποιητικών διακομιστή, για παράδειγμα, προγραμμάτων περιήγησης.

5) Δημιουργείται ένα κλειδί συνεδρίας για ασφαλή σύνδεση. Αυτό γίνεται με τον εξής τρόπο:
- Ο πελάτης δημιουργεί μια τυχαία ψηφιακή ακολουθία
- Ο πελάτης το κρυπτογραφεί με το δημόσιο κλειδί του διακομιστή και στέλνει το αποτέλεσμα στον διακομιστή
- Ο διακομιστής αποκρυπτογραφεί τη ληφθείσα ακολουθία χρησιμοποιώντας το ιδιωτικό κλειδί
Δεδομένου ότι ο αλγόριθμος κρυπτογράφησης είναι ασύμμετρος, μόνο ο διακομιστής μπορεί να αποκρυπτογραφήσει την ακολουθία. Όταν χρησιμοποιείτε ασύμμετρη κρυπτογράφηση, χρησιμοποιούνται δύο κλειδιά - ιδιωτικό και δημόσιο. Το δημόσιο απεσταλμένο μήνυμα κρυπτογραφείται και το ιδιωτικό μήνυμα αποκρυπτογραφείται. Δεν μπορείτε να αποκρυπτογραφήσετε ένα μήνυμα με το δημόσιο κλειδί.

6) Έτσι δημιουργείται μια κρυπτογραφημένη σύνδεση. Τα δεδομένα που μεταδίδονται μέσω αυτού κρυπτογραφούνται και αποκρυπτογραφούνται μέχρι να τερματιστεί η σύνδεση.

Πιστοποιητικό ρίζας

Ακριβώς παραπάνω, ανέφερα το πιστοποιητικό ρίζας. Πρόκειται για πιστοποιητικό κέντρου εξουσιοδότησης, η υπογραφή του οποίου επιβεβαιώνει ότι το πιστοποιητικό που είναι υπογεγραμμένο είναι ακριβώς αυτό που ανήκει στην αντίστοιχη υπηρεσία. Το ίδιο το πιστοποιητικό συνήθως περιέχει έναν αριθμό πεδίων πληροφοριών που περιέχουν πληροφορίες σχετικά με το όνομα του διακομιστή στον οποίο εκδόθηκε το πιστοποιητικό και την περίοδο ισχύος αυτού του πιστοποιητικού. Εάν το πιστοποιητικό έχει λήξει, ακυρώνεται.

Αίτημα υπογραφής (CSR, Αίτημα υπογραφής πιστοποιητικού)

Για να αποκτήσετε ένα υπογεγραμμένο πιστοποιητικό διακομιστή, πρέπει να δημιουργήσετε ένα αίτημα υπογραφής (CSR, Αίτημα υπογραφής πιστοποιητικού) και να στείλετε αυτό το αίτημα σε ένα κέντρο εξουσιοδότησης, το οποίο θα επιστρέψει ένα υπογεγραμμένο πιστοποιητικό που είναι εγκατεστημένο απευθείας στον διακομιστή. Θα δούμε πώς να κάντε το στην πράξη παρακάτω. Αρχικά, δημιουργείται ένα κλειδί για κρυπτογράφηση και, στη συνέχεια, με βάση αυτό το κλειδί, δημιουργείται ένα αίτημα υπογραφής, ένα αρχείο CSR.

Πιστοποιητικό Πελάτη

Ένα πιστοποιητικό πελάτη μπορεί να δημιουργηθεί τόσο για χρήση συσκευής όσο και για χρήση χρήστη. Συνήθως τέτοια πιστοποιητικά χρησιμοποιούνται στην αμφίδρομη επαλήθευση, όταν ο πελάτης επαληθεύει ότι ο διακομιστής είναι πραγματικά αυτός που ισχυρίζεται ότι είναι και ο διακομιστής κάνει το ίδιο ως απόκριση. Αυτή η αλληλεπίδραση ονομάζεται αμφίδρομος έλεγχος ταυτότητας ή αμοιβαίος έλεγχος ταυτότητας. Ο αμφίδρομος έλεγχος ταυτότητας σάς επιτρέπει να αυξήσετε το επίπεδο ασφάλειας σε σύγκριση με τον μονόδρομο έλεγχο ταυτότητας και μπορεί επίσης να χρησιμεύσει ως αντικατάσταση του ελέγχου ταυτότητας με χρήση σύνδεσης και κωδικού πρόσβασης.

Η αλυσίδα των ενεργειών για τη δημιουργία πιστοποιητικών

Ας δούμε στην πράξη πώς λειτουργούν οι ενέργειες που σχετίζονται με τη δημιουργία πιστοποιητικών από την αρχή, και ταυτόχρονα στην πράξη.

Το πρώτο πράγμα που πρέπει να κάνετε είναι να δημιουργήσετε ένα πιστοποιητικό ρίζας. Το πιστοποιητικό ρίζας υπογράφεται από μόνο του. Και στη συνέχεια άλλα πιστοποιητικά θα υπογραφούν με αυτό το πιστοποιητικό.

$ openssl genrsa -out root.key 2048 Δημιουργία ιδιωτικού κλειδιού RSA, συντελεστής μήκους 2048 bit ..........+++ ................... ........................+++ e είναι 65537 (0x10001) $ openssl req -new -key root.key -out root.csr Είστε πρόκειται να σας ζητηθεί να εισαγάγετε πληροφορίες που θα ενσωματωθούν στο αίτημα πιστοποιητικού σας. Αυτό που πρόκειται να εισαγάγετε είναι αυτό που ονομάζεται Διακεκριμένο Όνομα ή DN. Υπάρχουν αρκετά πεδία αλλά μπορείςαφήστε μερικά κενά Για ορισμένα πεδία θα υπάρχει μια προεπιλεγμένη τιμή. Εάν εισαγάγετε ".", το πεδίο θα μείνει κενό. ----- Όνομα χώρας (κωδικός 2 γραμμάτων) : Όνομα πολιτείας ή επαρχίας RU (πλήρες όνομα) : N/A Όνομα τοποθεσίας (π.χ. πόλη) :Saint-Petersburg Όνομα οργανισμού (π.χ. εταιρεία) :Η εταιρεία μου Όνομα οργανωτικής μονάδας (π.χ. ενότητα) :Κοινό όνομα υπηρεσίας πληροφορικής (π.χ. διακομιστής FQDN ή ονοματεπώνυμο ΣΑΣ) :Διεύθυνση ηλεκτρονικού ταχυδρομείου My Company Root Certificate: [email προστατευμένο]Εισαγάγετε τα ακόλουθα "έξτρα" χαρακτηριστικά που θα σταλούν με το αίτημα πιστοποιητικού σας Ένας κωδικός πρόσβασης πρόκλησης : Προαιρετικό όνομα εταιρείας :My Company $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Υπογραφή εντάξει θέμα=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/ [email προστατευμένο]Λήψη ιδιωτικού κλειδιού

Έτσι, δημιουργήσαμε πρώτα ένα ιδιωτικό κλειδί, μετά ένα αίτημα υπογραφής και στη συνέχεια υπογράψαμε το δικό μας αίτημα με το κλειδί μας και λάβαμε το δικό μας ψηφιακό πιστοποιητικό που εκδόθηκε για 10 χρόνια. Ο κωδικός πρόσβασης (πρόκληση κωδικού πρόσβασης) μπορεί να παραλειφθεί κατά τη δημιουργία ενός πιστοποιητικού.

Το ιδιωτικό κλειδί ΠΡΕΠΕΙ να φυλάσσεται σε ασφαλές μέρος, έχοντας το μπορείτε να υπογράψετε οποιοδήποτε πιστοποιητικό για λογαριασμό σας. Και το ληφθέν πιστοποιητικό ρίζας μπορεί να χρησιμοποιηθεί για να προσδιορίσει ότι το πιστοποιητικό, για παράδειγμα, του διακομιστή είναι υπογεγραμμένο από εμάς και όχι από κάποιον άλλο. Αυτές είναι οι ενέργειες που εκτελούν τα κέντρα εξουσιοδότησης όταν δημιουργούν τα δικά τους πιστοποιητικά. Αφού δημιουργήσετε το πιστοποιητικό ρίζας, μπορείτε να ξεκινήσετε τη δημιουργία του πιστοποιητικού διακομιστή.

Προβολή πληροφοριών πιστοποιητικού

Τα περιεχόμενα του πιστοποιητικού μπορούν να προβληθούν ως εξής:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/ [email προστατευμένο] notAfter=22 Ιανουαρίου 11:49:41 2025 GMT

Βλέπουμε ποιος εξέδωσε αυτό το πιστοποιητικό και πότε λήγει.

Πιστοποιητικό διακομιστή

Για να υπογράψουμε ένα πιστοποιητικό για έναν διακομιστή, πρέπει να κάνουμε τα εξής:

1) Δημιουργήστε ένα κλειδί
2) Δημιουργήστε ένα αίτημα υπογραφής
3) Στείλτε το αρχείο CSR στο κέντρο εξουσιοδότησης ή υπογράψτε το μόνοι σας

Το πιστοποιητικό διακομιστή μπορεί να περιλαμβάνει την αλυσίδα των πιστοποιητικών που υπέγραψαν το πιστοποιητικό διακομιστή, αλλά μπορεί επίσης να αποθηκευτεί σε ξεχωριστό αρχείο. Κατ 'αρχήν, όλα φαίνονται περίπου τα ίδια όπως κατά τη δημιουργία ενός πιστοποιητικού ρίζας

$ openssl genrsa -out server.key 2048 Δημιουργία ιδιωτικού κλειδιού RSA, συντελεστής μήκους 2048 bit ................................ ................................................ . +++ ..................+++ e είναι 65537 (0x10001) $ openssl req -new -key server.key - out server.csr Πρόκειται να είστε ζητήθηκε να εισαγάγετε πληροφορίες που θα ενσωματωθούν στο αίτημα πιστοποιητικού σας. Αυτό που πρόκειται να εισαγάγετε είναι αυτό που ονομάζεται Διακεκριμένο Όνομα ή DN. Υπάρχουν αρκετά πεδία, αλλά μπορείτε να αφήσετε μερικά κενά Για ορισμένα πεδία θα υπάρχει μια προεπιλεγμένη τιμή. Εάν πληκτρολογήσετε ".", το πεδίο θα μείνει κενό. ----- Όνομα χώρας (κωδικός 2 γραμμάτων) : Όνομα πολιτείας ή επαρχίας RU (πλήρες όνομα) : N/A Όνομα τοποθεσίας (π.χ. πόλη) :Saint-Petersburg Όνομα οργανισμού (π.χ. εταιρεία) :Η εταιρεία μου Όνομα οργανωτικής μονάδας (π.χ. ενότητα) :Κοινό όνομα υπηρεσίας πληροφορικής (π.χ. διακομιστής FQDN ή ΤΟ ΟΝΟΜΑ ΣΑΣ) :www.mycompany.com Διεύθυνση ηλεκτρονικού ταχυδρομείου : [email προστατευμένο]Εισαγάγετε τα ακόλουθα "έξτρα" χαρακτηριστικά που θα σταλούν με το αίτημα πιστοποιητικού σας Ένας κωδικός πρόσβασης πρόκλησης : Προαιρετικό όνομα εταιρείας : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server. pem -days 365 Υπογραφή εντάξει θέμα=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/ [email προστατευμένο]Λήψη ιδιωτικού κλειδιού CA $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN =My Company Root Certificate/ [email προστατευμένο]θέμα= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/ [email προστατευμένο] notAfter=25 Ιανουαρίου 12:22:32 2016 GMT

Έτσι, το πιστοποιητικό διακομιστή έχει υπογραφεί και θα γνωρίζουμε ποιος οργανισμός εξέδωσε αυτό το πιστοποιητικό. Μετά την υπογραφή, το ολοκληρωμένο πιστοποιητικό μπορεί να χρησιμοποιηθεί για τον προορισμό του, για παράδειγμα, να εγκατασταθεί σε διακομιστή web.

Εγκατάσταση πιστοποιητικού SSL/TLS σε διακομιστή με nginx

Για να εγκαταστήσετε ένα πιστοποιητικό SSL / TLS στον διακομιστή web nginx, πρέπει να ακολουθήσετε μερικά απλά βήματα:

1) Αντιγράψτε τα αρχεία .key και .pem στον διακομιστή. Σε διαφορετικά λειτουργικά συστήματα, τα πιστοποιητικά και τα κλειδιά ενδέχεται να αποθηκεύονται σε διαφορετικούς καταλόγους. Στο Debian, για παράδειγμα, αυτό είναι το /etc/ssl/certs για τα πιστοποιητικά και το /etc/ssl/private για τα κλειδιά. Στο CentOS αυτά είναι /etc/pki/tls/certs και /etc/pki/tls/private

2) Συνταγογραφήστε απαραίτητες ρυθμίσειςσε αρχείο ρυθμίσεωνγια τον οικοδεσπότη. Δείτε πώς θα πρέπει να μοιάζει (αυτό είναι απλώς ένα παράδειγμα):

Διακομιστής (ακρόαση 443; όνομα_διακομιστή www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # SSLv3 απλά δεν συνιστάται!!! για παράδειγμα ssl_protocols SSLv3 TLSv1, ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers ενεργοποιημένο; τοποθεσία / (try_files) $40uri )

3) Επανεκκινήστε το nginx

4) Μεταβείτε στον διακομιστή θύρας 443 του προγράμματος περιήγησης - https://www.mycompany.com και ελέγξτε την απόδοσή του.

Εγκατάσταση πιστοποιητικού SSL/TLS σε διακομιστή Apache

Η εγκατάσταση ενός πιστοποιητικού SSL/TLS στον Apache μοιάζει περίπου με το ίδιο.

1) Αντιγράψτε τα αρχεία κλειδιού και πιστοποιητικού στον διακομιστή στους κατάλληλους καταλόγους

2) Ενεργοποιήστε τη μονάδα ssl για Apache με την εντολή "a2enmod ssl", εάν δεν είναι ήδη ενεργοποιημένη

3) Δημιουργήστε έναν εικονικό κεντρικό υπολογιστή που θα ακούει στη θύρα 443. Το config θα μοιάζει κάπως έτσι:

Διαχειριστής διακομιστή [email προστατευμένο] DocumentRoot /var/www Επιλογές FollowSymLinks AllowOverride None Επιλογές Ευρετήρια FollowSymLinks Πολλαπλές προβολές AllowOverride None Παραγγελία επιτρέπονται, άρνηση έγκρισης από όλους ScriptAlias ​​/cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order επιτρέπεται,άρνηση Επιτρέπεται από όλα ErrorLog $(APACHE_LOG_DIR)/error.log Προειδοποίηση LogLevel CustomLog $(APACHE_LOG_DIR)/ssl_access.log συνδυασμένο SSLEngine στο SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyserver.This directivesl/etc αρχείο , που περιέχει μια λίστα # όλων των πιστοποιητικών που υπέγραψαν το πιστοποιητικό διακομιστή #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions+StdEnvVars SSLOptions+StdEnvVars BrowserMatch "MSIE" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

Ταυτόχρονα, πρέπει να γίνει κάτι ακόμα. Βρείτε στο αρχείο httpd.conf ή apache2.conf ή ports.conf, ανάλογα με το σύστημα, την ακόλουθη ενότητα της διαμόρφωσης:

Ακούστε 443

Εάν δεν υπάρχει τέτοια συνθήκη, πρέπει να προστεθεί στη διαμόρφωση. Και κάτι ακόμα: Πρέπει να προσθέσετε μια γραμμή

NameVirtualHost *:443

Αυτή η γραμμή μπορεί να είναι σε httpd.conf, apache2.conf ή ports.conf

4) Επανεκκινήστε τον διακομιστή ιστού Apache

Δημιουργήστε ένα πιστοποιητικό πελάτη

Το πιστοποιητικό πελάτη δημιουργείται σχεδόν με τον ίδιο τρόπο όπως το πιστοποιητικό διακομιστή.

$ openssl genrsa -out client.key 2048 Δημιουργία ιδιωτικού κλειδιού RSA, συντελεστής μήκους 2048 bit ........................+++ ..... .................................+++ ε είναι 65537 (0x10001) $ openssl req -new -key client.key -out client.csr Αυτό που πρόκειται να εισαγάγετε είναι αυτό που ονομάζεται Διακεκριμένο Όνομα ή DN. Υπάρχουν αρκετά πεδία, αλλά μπορείτε να αφήσετε μερικά κενά Για ορισμένα πεδία θα υπάρχει μια προεπιλεγμένη τιμή. Εάν πληκτρολογήσετε ".", το πεδίο θα μείνει κενό. ----- Όνομα χώρας (κωδικός 2 γραμμάτων) : Όνομα πολιτείας ή επαρχίας RU (πλήρες όνομα) :Saint-Petersburg Όνομα τοποθεσίας (π.χ. πόλη) :^C [email προστατευμένο]:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr Θα σας ζητηθεί να εισαγάγετε πληροφορίες που θα ενσωματωθούν στο αίτημα πιστοποιητικού σας. Αυτό που πρόκειται να εισαγάγετε είναι αυτό που ονομάζεται Διακεκριμένο Όνομα ή DN. Υπάρχουν αρκετά πεδία, αλλά μπορείτε να αφήσετε μερικά κενά Για ορισμένα πεδία θα υπάρχει μια προεπιλεγμένη τιμή. Εάν πληκτρολογήσετε ".", το πεδίο θα μείνει κενό. ----- Όνομα χώρας (κωδικός 2 γραμμάτων) : Όνομα πολιτείας ή επαρχίας RU (πλήρες όνομα) : N/A Όνομα τοποθεσίας (π.χ. πόλη) :Saint-Petresburg Όνομα οργανισμού (π.χ. εταιρεία) :Η εταιρεία μου Όνομα οργανωτικής μονάδας (π.χ., ενότητα) :Engineering Common Name (π.χ. διακομιστής FQDN ή ΤΟ ΟΝΟΜΑ ΣΑΣ) :Ivan Ivanov Διεύθυνση ηλεκτρονικού ταχυδρομείου : [email προστατευμένο]Εισαγάγετε τα ακόλουθα "έξτρα" χαρακτηριστικά που θα αποσταλούν με το αίτημα πιστοποιητικού σας Ένας κωδικός πρόσβασης πρόκλησης : Προαιρετικό όνομα εταιρείας : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client. pem -days 365 Υπογραφή εντάξει θέμα=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/ [email προστατευμένο]Λήψη ιδιωτικού κλειδιού CA $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN =My Company Root Certificate/ [email προστατευμένο]θέμα= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/ [email προστατευμένο] notAfter=25 Ιανουαρίου 13:17:15 2016 GMT

Εάν χρειάζεστε ένα πιστοποιητικό πελάτη σε μορφή PKCS12, δημιουργήστε το:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Εισαγάγετε τον κωδικό εξαγωγής: Επαλήθευση - Εισαγάγετε τον κωδικό εξαγωγής:

Τώρα μπορούμε να χρησιμοποιήσουμε το πιστοποιητικό πελάτη για να εργαστούμε με τον διακομιστή μας.

Διαμόρφωση του nginx για χρήση πιστοποιητικών πελάτη

Τις περισσότερες φορές, όπως είπα, χρησιμοποιείται μονόδρομος έλεγχος ταυτότητας, συνήθως ελέγχεται μόνο το πιστοποιητικό διακομιστή. Ας δούμε πώς μπορείτε να κάνετε τον διακομιστή web nginx να επικυρώσει το πιστοποιητικό πελάτη. Είναι απαραίτητο να προσθέσετε επιλογές για εργασία με πιστοποιητικά πελάτη στην ενότητα διακομιστή:

# Πιστοποιητικό(α) ρίζας υπογεγραμμένο από τον πελάτη ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Πιθανές επιλογές: στις | off | προαιρετικό | optional_no_ca ssl_verify_client προαιρετικό. # Βάθος ελέγχου της αλυσίδας πιστοποιητικών που υπογράφονται από τον πελάτη ssl_verify_depth 2.

Μετά από αυτό, πρέπει να επανεκκινήσετε τις ρυθμίσεις ή ολόκληρο τον διακομιστή και μπορείτε να ελέγξετε την εργασία.

Ρύθμιση παραμέτρων του Apache για χρήση πιστοποιητικών πελάτη

Ο Apache ρυθμίζεται επίσης με προσθήκη επιπλέον επιλογέςστην ενότητα εικονικού κεντρικού υπολογιστή:

# Κατάλογος που περιέχει πιστοποιητικά ρίζας για έλεγχο των πελατών SSLCARevocationPath /etc/apache2/ssl.crl/ # ή αρχείου που περιέχει πιστοποιητικά SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Επιλογή επαλήθευσης πελάτη. Οι επιλογές είναι: # καμία, προαιρετική, απαίτηση και optional_no_ca Το SSLVerifyClient απαιτεί # Βάθος αναζήτησης αλυσίδας υπογραφής. Προεπιλογή 1 SSLVerifyDepth 2

Όπως μπορείτε να δείτε, οι επιλογές είναι περίπου οι ίδιες με το nginx, αφού η διαδικασία επαλήθευσης οργανώνεται με ομοιόμορφο τρόπο.

Ακρόαση πληροφοριών πιστοποιητικού με το openssl

Για να επαληθεύσετε ότι ο διακομιστής αλληλεπιδρά με πιστοποιητικά πελάτη, μπορείτε να ελέγξετε εάν η σύνδεση έχει δημιουργηθεί χρησιμοποιώντας TLS/SSL.

Από την πλευρά του διακομιστή, αρχίζουμε να ακούμε τη θύρα χρησιμοποιώντας το openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

Από την πλευρά του πελάτη, έχουμε πρόσβαση στον διακομιστή, για παράδειγμα, με το culr:

Curl -k https://127.0.0.1:443

Στην κονσόλα από την πλευρά του διακομιστή, μπορείτε να παρατηρήσετε τη διαδικασία ανταλλαγής πληροφοριών μεταξύ του διακομιστή και του πελάτη.

Μπορείτε επίσης να χρησιμοποιήσετε τις επιλογές -verify [verification depth] και Verify [verification depth]. Η επιλογή με πεζά γράμματα ζητά από τον πελάτη ένα πιστοποιητικό, αλλά δεν απαιτείται να παράσχει ένα. Με κεφαλαία - Εάν το πιστοποιητικό δεν παρέχεται, θα προκύψει σφάλμα. Ας αρχίσουμε να ακούμε από την πλευρά του διακομιστή ως εξής:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Από την πλευρά του διακομιστή, το σφάλμα μοιάζει με αυτό:

140203927217808:error:140890C7:Ρουτίνες SSL:SSL3_GET_CLIENT_CERTIFICATE:ο ομότιμος δεν επέστρεψε ένα πιστοποιητικό:s3_srvr.c:3287:

Από την πλευρά του πελάτη ως εξής:

Curl: (35) error:14094410:SSL ρουτίνες:SSL3_READ_BYTES:sslv3 ειδοποίηση αποτυχία χειραψίας

Προσθέστε ένα πιστοποιητικό στην πλευρά του πελάτη και Ονομα τομέα(για επαλήθευση, μπορείτε να εισαγάγετε το όνομα κεντρικού υπολογιστή για τη διεύθυνση 127.0.0.1 στο αρχείο /etc/hosts):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Τώρα η σύνδεση θα είναι επιτυχής και μπορείτε να εγκαταστήσετε το πιστοποιητικό διακομιστή στον διακομιστή web, να δώσετε το πιστοποιητικό πελάτη στον πελάτη και να εργαστείτε μαζί του.

Ασφάλεια

Όταν χρησιμοποιείτε SSL/TLS, μία από τις κύριες μεθόδους είναι η μέθοδος MITM (Man In The Middle). Αυτή η μέθοδος βασίζεται στη χρήση ενός πιστοποιητικού διακομιστή και ενός κλειδιού σε κάποιον κόμβο που θα ακούει την κίνηση και θα αποκρυπτογραφεί τις πληροφορίες που ανταλλάσσονται μεταξύ του διακομιστή και του πελάτη. Για να οργανώσετε την ακρόαση, μπορείτε να χρησιμοποιήσετε, για παράδειγμα, το πρόγραμμα sslsniff. Επομένως, είναι συνήθως επιθυμητό να αποθηκεύετε το πιστοποιητικό ρίζας και το κλειδί σε ένα μηχάνημα που δεν είναι συνδεδεμένο στο δίκτυο, να φέρετε αιτήματα υπογραφής σε μια μονάδα flash για υπογραφή, να υπογράψετε και να το αφαιρέσετε με τον ίδιο τρόπο. Και, φυσικά, δημιουργήστε αντίγραφα ασφαλείας.

Γενικά, έτσι χρησιμοποιούνται τα ψηφιακά πιστοποιητικά και τα πρωτόκολλα TLS και SSL. Εάν έχετε οποιεσδήποτε ερωτήσεις / προσθήκες, γράψτε στα σχόλια.

Αυτή η καταχώρηση δημοσιεύτηκε με ετικέτα , από τον συγγραφέα.

Πλοήγηση ανάρτησης

: 29 σχόλια

1. cl-service.com

   Ο πελάτης δημιουργεί ο ίδιος το CSR όταν παραγγέλνει ένα πιστοποιητικό, όπου ο πελάτης αποφασίζει επίσης να αποθηκεύσει το ιδιωτικό κλειδί, δεν χρειαζόμαστε ιδιωτικό κλειδί για την έκδοση πιστοποιητικού και ο πελάτης δεν μας το μεταφέρει με κανέναν τρόπο. Φυσικά, εάν αυτό συμβαίνει σε ένα κανονικό εικονικό, τότε οι διαχειριστές με πρόσβαση rootο διακομιστής έχει πρόσβαση στα κλειδιά που είναι αποθηκευμένα εκεί.

2. Καλοθελητής.

   Το θέμα των βυζιών δεν αποκαλύπτεται, επειδή η περιγραφόμενη τεχνολογία PKI δεν έχει καμία σχέση με τον τίτλο του θέματος. Αν μόνο για κάποιο λόγο, θα έδινα συνδέσμους στο rfc.
   ΥΣΤΕΡΟΓΡΑΦΟ. Υπήρχε ένα αστείο για έναν σκύλο και έναν ψύλλο.

3. Καλοθελητής.

   Ποτέ δεν είχε σκοπό να σε προσβάλει. Έψαχνα για πληροφορίες σχετικά με τη διαφορά μεταξύ SSl και TLS στην πράξη και ο σύνδεσμός σας στο Google ήταν ο πρώτος. Μου κίνησε το ενδιαφέρον ο τίτλος του θέματος. Όλα είναι υπέροχα, συνέχισε έτσι!

4. DrAibolit

   Σας ευχαριστούμε για τις λογικές εξηγήσεις σχετικά με την ψηφιακή πιστοποίηση. Είμαι νέος σε αυτό =)
   Ελπίζω να μπορείτε να διευκρινίσετε την επόμενη ερώτηση.
   Επειδή το θέμα της απάτης είναι πολύ ανεπτυγμένο στη βιομηχανία του Διαδικτύου, θα ήθελα να μάθω πώς να προσδιορίζω μόνος μου τις «ψείρες» των τοποθεσιών που επισκέπτομαι (ειδικά όπου υπάρχουν μετρητά και πληρωμές, επενδύσεις κ.λπ.) και να προσδιορίζω, με βάση αυτό, ο βαθμός της εμπιστοσύνης μου (συχνά πρέπει να εγγραφώ, να αφήσω προσωπικά στοιχεία, να κάνω αγορές, συναλλαγές, επενδύσεις). Αν καταλαβαίνω καλά ότι η παρουσία αυτής της πιστοποίησης σας επιτρέπει να κάνετε μια τέτοια αξιολόγηση. Λοιπόν, από την άλλη, η απόκτησή του δεν είναι πρόβλημα και μάλιστα δωρεάν.
   Πώς ή με τη βοήθεια ποιου προγράμματος μπορείτε να προσδιορίσετε την ύπαρξη ψηφιακού πιστοποιητικού για έναν συγκεκριμένο ιστότοπο; και κατά προτίμηση την κατηγορία του, που εκχωρείται όταν ειδική αρχή εκδίδει SSL DV (η έκδοση πιστοποιητικού πραγματοποιείται με επαλήθευση μόνο του domain), SSL OV (με επαλήθευση του οργανισμού), EV (με εκτεταμένη επαλήθευση του νομικού προσώπου). Πιθανότατα δόλιες τοποθεσίες τελευταία επιλογήπιστοποίηση δεν θα χρησιμοποιηθεί.
   Θα χαιρόμουν αν μου πείτε περισσότερους τρόπους για να προσδιορίσω την αξιοπιστία των τοποθεσιών))

   1. μνορίνΣυντάκτης ανάρτησης

      Μερικοί συγκεκριμένο πρόγραμμαΓια αυτούς τους σκοπούς, δεν έχω ακόμη συναντηθεί, αλλά μπορώ να δώσω μερικές συμβουλές για αυτό το θέμα.
      Μπορείτε να χρησιμοποιήσετε, για παράδειγμα, Chromium ή Google Chrome. Πάρτε, για παράδειγμα, τον ιστότοπο https://www.thawte.com/ - μια εταιρεία που ασχολείται ουσιαστικά με τα ψηφιακά πιστοποιητικά.
      ΣΤΟ γραμμή διεύθυνσηςθα αναγράφεται το όνομα της εταιρείας και ένα πράσινο λουκέτο. Αυτό σημαίνει ότι ο οργανισμός έχει επαληθευτεί, είναι τουλάχιστον SSL OV.
      Εάν κάνετε κλικ στην κλειδαριά και στο αναπτυσσόμενο πλαίσιο "Λεπτομέρειες" και στη συνέχεια "Προβολή πιστοποιητικού", μπορείτε να δείτε πληροφορίες σχετικά με το πιστοποιητικό. Για την Thawte, το πιστοποιητικό υπογράφεται με το ακόλουθο πιστοποιητικό: "thawte Extended Validation SHA256 SSL CA", και το πιστοποιητικό για το click.alfabank.ru υπογράφεται επίσης από την Thawte, αλλά με διαφορετικό πιστοποιητικό. Αυτά είναι τα "thawte EV SSL CA - G3", δηλαδή πέρασαν και Extended Validation.
      Κάτι σαν αυτό.

5. Ρουσλάν

   Ενότητα "Η αρχή λειτουργίας των SSL και TLS", "Ο πελάτης δημιουργεί μια τυχαία ψηφιακή ακολουθία".

   Ήμουν σίγουρος ότι ο πελάτης δημιουργεί μια περίοδο λειτουργίας ιδιωτική και, κατά συνέπεια, ένα δημόσιο κλειδί (το οποίο προφανώς αποκαλούσατε "ψηφιακή ακολουθία"). δημόσιο κλειδίαποστέλλεται στον διακομιστή και ο διακομιστής κρυπτογραφεί τα πακέτα προς τον πελάτη με το δημόσιο κλειδί συνόδου του πελάτη.

   Παρακαλώ διευκρινείστε.

6. Αρχάριος

   Το άρθρο είναι πολύ χρήσιμο! Υπάρχουν ακόμη και πρακτικά παραδείγματα =) Μόνο που δεν κατάλαβα ένα πράγμα - ποια είναι η διαφορά μεταξύ ενός πιστοποιητικού root και ενός διακομιστή; ή είναι το ίδιο πράγμα;

7. Βιτάλι

   Χαίρετε.
   Ο οικοδεσπότης πρόσφερε μια υπηρεσία - SSL για εικονικούς διακομιστές. έχουν εκμεταλλευτεί. Αποδείχθηκε ότι για το τρίτο επίπεδο, δηλ. Το πιστοποιητικό http://www.site.ru δεν είναι έγκυρο, μόνο για το site.ru. Επιπλέον, οι επισκέπτες ρίχνονται πεισματικά στο πρωτόκολλο https, δεν έχει σημασία αν πηγαίνουν στο site.ru ή στο http://www.site.ru. Φυσικά, στη δεύτερη περίπτωση, το πρόγραμμα περιήγησης αρχίζει να βρίζει με θλίψη και ο επισκέπτης δεν φτάνει ποτέ στον ιστότοπο.
   Και για όσους έφτασαν στον ιστότοπο, ο ιστότοπος άρχισε να φαίνεται στραβός, μέρος του μενού εξαφανίστηκε, ορισμένες από τις εικόνες στα αποτελέσματα αναζήτησης δεν εμφανίζονταν πλέον από ορισμένα στοιχεία.

Η ρύθμιση του σταθμού εργασίας E-budget πραγματοποιείται σε διάφορα στάδια, δεν είναι περίπλοκα, αλλά απαιτούν προσοχή. Κάνουμε τα πάντα σύμφωνα με τις οδηγίες για τη δημιουργία ηλεκτρονικού προϋπολογισμού. Σύντομο και επί της ουσίας...

Ρύθμιση χώρου εργασίας με ηλεκτρονικό προϋπολογισμό

Ηλεκτρονικός προϋπολογισμός πιστοποιητικού ρίζας

Δημιουργήστε έναν φάκελο κλειδιού στο My Documents για να αποθηκεύσετε τα ληφθέντα πιστοποιητικά σε αυτόν τον φάκελο:

Στον ιστότοπο http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ στο μενού GIS -> Αρχή πιστοποίησης -> Πιστοποιητικά ρίζας, πρέπει να κάνετε λήψη " Πιστοποιητικό ρίζας (Πιστοποιημένο)" (βλ. εικόνα), ή εάν λάβατε μια μονάδα flash με πιστοποιητικά, αντιγράψτε τα από το φάκελο Πιστοποιητικά.

Πιστοποιητικό Continent TLS VPN

Το δεύτερο πιστοποιητικό που πρέπει να κατεβάσετε είναι το πιστοποιητικό Continent TLS VPN, αλλά δεν μπόρεσα να το βρω στον νέο ιστότοπο roskazna, οπότε έβαλα έναν σύνδεσμο από τον ιστότοπό μου. Κάντε λήψη του πιστοποιητικού TLS VPN Continent στον φάκελο κλειδιού, θα το χρειαστούμε αργότερα όταν διαμορφώσουμε το πρόγραμμα πελάτη TLS Continent.

Εγκαταστήστε το πιστοποιητικό Root που κατεβάσατε (κατάλληλο) για να εργαστείτε με τον ηλεκτρονικό προϋπολογισμό.

Στο μενού START -> Όλα τα προγράμματα -> CRYPTO-PRO -> εκτελέστε το πρόγραμμα Πιστοποιητικά.

Μεταβείτε στο στοιχείο Πιστοποιητικά όπως φαίνεται στην παρακάτω εικόνα:

Μεταβείτε στο μενού Ενέργεια - Όλες οι εργασίες - Εισαγωγή, θα εμφανιστεί το παράθυρο "Οδηγός εισαγωγής πιστοποιητικού" - Επόμενο - Επισκόπηση - Βρείτε το ληφθέν Πιστοποιητικό ρίζας (κατάλληλο)στην περίπτωσή μας, βρίσκεται στο My Documents στον φάκελο κλειδιού

Εάν όλα γίνονται σωστά, τότε το πιστοποιητικό ρίζας της ΑΠ του Ομοσπονδιακού Υπουργείου Οικονομικών θα εμφανιστεί στο φάκελο πιστοποιητικών.

Εγκατάσταση "Continent TLS Client" για εργασία με ηλεκτρονικό προϋπολογισμό

Μπορείτε να βρείτε το Continent_tls_client_1.0.920.0 στο διαδίκτυο.

Αποσυσκευάστε το ληφθέν αρχείο, μεταβείτε στο φάκελο του CD και εκτελέστε το ContinentTLSSetup.exe

Από το στοιχείο, κάντε κλικ στο Continent TLS Client KC2 και ξεκινήστε την εγκατάσταση.

Δεχόμαστε τους όρους

Στον φάκελο προορισμού, αφήστε το από προεπιλογή

Στο παράθυρο εκκίνησης του διαμορφωτή, επιλέξτε το πλαίσιο Εκτέλεση του διαμορφωτή μετά την ολοκλήρωση της εγκατάστασης.

Κατά την εγκατάσταση, θα εμφανιστεί το παράθυρο ρυθμίσεων υπηρεσίας:

Διεύθυνση - προσδιορίστε lk.budget.gov.ru

Πιστοποιητικό - επιλέξτε το δεύτερο πιστοποιητικό που λάβατε νωρίτερα στον φάκελο κλειδιού.

Κάντε κλικ στο OK και ολοκληρώστε την εγκατάσταση, Τέλος.

Ζητήθηκε επανεκκίνηση λειτουργικό σύστημααπαντάμε Όχι.

Εγκατάσταση του εργαλείου ηλεκτρονικής υπογραφής "Jinn-Client"

Μπορείτε να κατεβάσετε το πρόγραμμα Jinn-Client στο Διαδίκτυο.

Μεταβείτε στο φάκελο Jinn-client - CD, εκτελέστε το setup.exe

Κάντε κλικ από τη λίστα Jinn-Client, ξεκινά η εγκατάσταση του προγράμματος

Δεν δίνουμε προσοχή στο σφάλμα, κάντε κλικ στο Continue, Next, αποδεχτείτε τη συμφωνία και κάντε κλικ στο κουμπί Next.

Εισαγάγετε το κλειδί άδειας χρήσης

Ορίστε το προεπιλεγμένο πρόγραμμα, κάντε κλικ στο Επόμενο

Ολοκληρώνουμε την εγκατάσταση, απαντάμε στην ερώτηση σχετικά με την επανεκκίνηση του λειτουργικού συστήματος Αρ

Εγκατάσταση της μονάδας για εργασία με την ηλεκτρονική υπογραφή "Cubesign"

Εάν χρειάζεστε ένα αρχείο με το πρόγραμμα, γράψτε στα σχόλια.

Εκτελέστε το αρχείο εγκατάστασης cubesign.msi

Ρύθμιση του προγράμματος περιήγησης Mozilla Firefox ώστε να λειτουργεί με τον Ηλεκτρονικό Προϋπολογισμό.

1. Ανοίξτε το μενού "Εργαλεία" και επιλέξτε "Ρυθμίσεις".

2. Μεταβείτε στην ενότητα "Για προχωρημένους" στην καρτέλα "Δίκτυο".

3. Στην ενότητα ρυθμίσεων «Σύνδεση», κάντε κλικ στο κουμπί «Διαμόρφωση…».

4. Στο παράθυρο παραμέτρων σύνδεσης που ανοίγει, ορίστε την τιμή

"Μη αυτόματη ρύθμιση παραμέτρων της υπηρεσίας διακομιστή μεσολάβησης."

5. Ορίστε τις τιμές των πεδίων διακομιστή μεσολάβησης HTTP: 127.0.0.1; Λιμάνι: 8080.

6. Πατήστε το κουμπί OK.

7. Στο παράθυρο "Ρυθμίσεις", κάντε κλικ στο κουμπί "ΟΚ".

Είσοδος στον προσωπικό λογαριασμό του Ηλεκτρονικού προϋπολογισμού

Θα ανοίξει ένα παράθυρο με την επιλογή πιστοποιητικού για την είσοδο στον προσωπικό λογαριασμό του Ηλεκτρονικού Προϋπολογισμού.

Επιλέξτε ένα πιστοποιητικό για να συνδεθείτε Προσωπικός ΧώροςΗλεκτρονικός προϋπολογισμός, εάν υπάρχει κωδικός πρόσβασης για το ιδιωτικό μέρος του πιστοποιητικού, γράψτε και κάντε κλικ στο OK και μετά θα ανοίξει ο Προσωπικός Λογαριασμός του E-budget.