Norėdami įdiegti „Continent TLS Client“ programinę įrangą, turite:

33 pav. „Continent TLS Client“ programinės įrangos diegimo vedlio pradžios langas.

34 pav. Langas licencijos sutartis„Continent TLS Client“ programinė įranga.

3. Pažymėkite langelį „Sutinku su licencijos sutarties sąlygomis“ ir spustelėkite mygtuką „Kitas“. Ekrane atsiras langas, kuriame reikia įvesti licencijos raktą, pateiktą kartu su Continent TLS Client programine įranga popieriuje arba elektroninėje laikmenoje.

35 pav. Langas Continent TLS Client programinės įrangos licencijos rakto įvedimui.

4. Įveskite licencijos raktas ir spustelėkite mygtuką „Kitas“. Ekrane pasirodys dialogo langas, kuriame galėsite pasirinkti „Continent TLS Client“ programinės įrangos diegimo kelią.

36 pav. Langas, skirtas Continent TLS kliento programinės įrangos diegimo kelio pasirinkimui.

5. Palikite numatytąjį diegimo kelią. Paspauskite "Kitas". Ekrane pasirodys dialogo langas „Start Configurator“.

37 pav. Langas, skirtas Continent TLS Client programinės įrangos konfigūravimo programai paleisti.

6. Pažymėkite langelį „Paleisti konfigūratorių, kai diegimas baigtas“.

38 pav. Parengties įdiegti „Continent TLS Client“ programinę įrangą langas.

8. Spustelėkite mygtuką „Įdiegti“. Bus pradėtas komponento diegimas.

39 pav. „Continent TLS Client“ programinės įrangos diegimo procesas.

9. Ekrane bus rodomas Continent TLS Client programinės įrangos konfigūracijos dialogas.

40 pav. „Continent TLS Client“ programinės įrangos konfigūravimas.

Norėdami sukonfigūruoti reikalingą programinę įrangą:

a) Skiltyje „Kliento TLS žemyno nustatymai“ palikite „Port“ reikšmę pagal numatytuosius nustatymus, lygią 8080.

b) Skilties „Apsaugoti serverio nustatymai“ lauke „Adresas“ nurodykite pavadinimą TLS serveriai: lk.budget.gov.ru.

c) Skilties „Apsaugoti serverio nustatymai“ lauke „Sertifikatas“ nurodykite TLS serverio sertifikato failą, nukopijuotą į vietinį katalogą šio vadovo 3.1 punkte.

41 pav. „Continent TLS Client“ programinės įrangos konfigūravimas. Sertifikato pasirinkimas.

d) Jei vartotojo darbo stotis nenaudoja išorinio tarpinio serverio, spustelėkite mygtuką „Gerai“.

e) Kitu atveju nurodykite naudojamo organizacijos išorinio įgaliotojo serverio adresą ir prievadą.

42 pav. „Continent TLS Client“ programinės įrangos paslaugos nustatymas. Išorinio tarpinio serverio nustatymas.

f) Paspauskite mygtuką OK.

10. Ekrane bus rodomas dialogo langas, skirtas Continent TLS Client programinės įrangos diegimo užbaigimui.

43 pav. Dialogo langas Continent TLS Client programinės įrangos diegimui užbaigti.

11. Paspauskite mygtuką „Baigti“.

12. Ekrane pasirodys dialogo langas, kuriame bus prašoma iš naujo paleisti vartotojo darbo vietą.

44 pav. Dialogas apie būtinybę iš naujo paleisti Vartotojo darbo vietą.

13. Paspauskite mygtuką "Ne".

Programinė įranga Žemyno TLS VPN– sistema, užtikrinanti saugumą Nuotolinis prisijungimasžiniatinklio programoms naudojant GOST šifravimo algoritmus. „Continent TLS VPN“ įgyvendina kriptografinė apsauga HTTP srautas sesijos lygiu. Informacijos šifravimas atliekamas pagal algoritmą GOST 28147–89.

Nutolusių vartotojų identifikavimas ir autentifikavimas

Vartotojų identifikavimas ir autentifikavimas atliekamas naudojant x.509v3 standarto viešojo rakto sertifikatus (GOST R 31.11–94, 34.10–2001). TLS VPN žemynas tikrina raktų sertifikatus pagal sertifikatų panaikinimo sąrašus (CRL). Sertifikatus išduoda išorinė sertifikavimo institucija.

Sėkmingai užbaigus autentifikavimo procedūras, vartotojo užklausa per HTTP yra nukreipiama į saugų tinklą į atitinkamą žiniatinklio serverį. Tokiu atveju prie kiekvieno vartotojo HTTP seanso pridedami specialūs identifikatoriai (kliento identifikatorius ir IP identifikatorius).

Perduodamos informacijos kriptografinė apsauga

TLS VPN žemynas atlieka HTTP srauto kriptografinę apsaugą seanso lygiu. Informacijos šifravimas atliekamas pagal algoritmą GOST 28147–89. Maišos funkcija apskaičiuojama pagal algoritmą GOST R 34.11–94, GOST R 34.11–2012. Elektroninio parašo formavimas ir tikrinimas atliekamas pagal algoritmą GOST R 34.10–2001, GOST R 34.10–2012.

Apsaugotų serverių slėpimas ir adresų vertimas

TLS VPN žemynas filtruoja užklausas ir verčia užklausų adresus į žiniatinklio serverius įmonių tinklas. Adresų vertimas vykdomas pagal „Continent TLS VPN“ administratoriaus nustatytas taisykles.

Gedimų tolerancija ir mastelio keitimas

TLS VPN žemynas palaiko darbą didelio našumo klasterio schemoje su apkrovos balansavimu (išoriniu apkrovos balansavimo įrenginiu). Padidėjęs atsparumas gedimams pasiekiamas pridedant perteklinį mazgą į klasterį. Tuo pačiu metu balansavimo klasterio elementai gali būti didinami neribotą laiką. Sugedus klasterio elementui jungtys nenutrūksta, nes apkrova tolygiai paskirstoma tarp likusių elementų.

Stebėjimas ir įvykių registravimas

TLS VPN žemyne ​​administratorius visada gali gauti naujausią informaciją apie esamą užmegztų ryšių būklę ir savo darbo statistiką. Įvykiai registruojami serveryje informacijos saugumas. Visi įvykiai gali būti siunčiami į nurodytą serverį syslog formatu tolesnei analizei, todėl integracija su SIEM sistemomis tampa kuo paprastesnė.

Patogūs valdymo įrankiai

Vietos ir nuotoliniai įrankiai su žiniatinklio sąsaja ir patogia grafine valdymo konsole suteikia lanksčią konfigūraciją TLS VPN Continent pagal saugos politikos reikalavimus.

Palaikomi protokolai

TLS VPN Continent palaiko TLS v.1, TLS v.2 protokolus.

Vartotojo veikimas per bet kurią interneto naršyklę

Naudodami Continent TLS VPN Client programą, vartotojai gali pasiekti apsaugotus išteklius iš bet kurios žiniatinklio naršyklės. Žemyno TLS VPN Klientas yra vietinis tarpinis serveris, kuris perima naršyklės srautą į apsaugotus žiniatinklio serverius ir supakuoja jį į http tunelį. Dėl šios priežasties vartotojas gali dirbti su bet kuria jo įrenginyje įdiegta žiniatinklio naršykle.

Naudojant patogią programinės įrangos klientą

Patogios programinės įrangos kliento naudojimas Continent TLS VPN Client arba CryptoPro gali būti naudojamas kaip klientas vartotojo įrenginyje CSP versijos 3.6.1.

Pastaruoju metu vis dažniau kalbama apie TLS ir SSL, vis aktualesnis tampa skaitmeninių sertifikatų naudojimas, atsirado net įmonių, kurios pasiruošusios visiems nemokamai pateikti skaitmeninius sertifikatus, kad garantuotų srauto šifravimą tarp lankomų svetainių ir kliento naršyklės. Tai būtina, žinoma, dėl saugumo, kad tinkle niekas negalėtų gauti duomenų, kurie perduodami iš kliento į serverį ir atvirkščiai. Kaip visa tai veikia ir kaip juo naudotis? Norint tai suprasti, galbūt reikia pradėti nuo teorijos, o tada parodyti praktiškai. Taigi, SSL ir TLS.

Kas yra SSL ir kas yra TLS?

SSL reiškia Secure Socket Layer, saugių lizdų lygį. TLS – Transport Layer Security, transport Layer Security. SSL yra senesnė sistema, TLS yra naujesnė ir pagrįsta Netscape Communications sukurta SSL 3.0 specifikacija. Nepaisant to, šių protokolų užduotis yra ta pati – užtikrinti saugų duomenų perdavimą tarp dviejų kompiuterių internete. Šis perkėlimas naudojamas įvairioms svetainėms El. paštas, susirašinėjimui ir daug daugiau. Iš esmės tokiu būdu galite perduoti bet kokią informaciją, plačiau apie tai žemiau.

Saugus perdavimas užtikrinamas perduodamos informacijos autentifikavimo ir šifravimo priemonėmis. Tiesą sakant, šie protokolai, TLS ir SSL, veikia vienodai, esminių skirtumų nėra. Galima sakyti, kad TLS yra SSL įpėdinis, nors jie gali būti naudojami vienu metu, net tame pačiame serveryje. Toks palaikymas reikalingas norint užtikrinti darbą tiek su naujais klientais (įrenginiais ir naršyklėmis), tiek su senais, nepalaikončiais TLS. Šių protokolų atsiradimo seka atrodo taip:

SSL 1.0 – niekada nepaskelbta
SSL 2.0 – 1995 m. vasario mėn
SSL 3.0 – 1996 m
TLS 1.0 – 1999 m. sausio mėn
TLS 1.1 – 2006 m. balandžio mėn
TLS 1.2 – 2008 m. rugpjūčio mėn

Kaip veikia SSL ir TLS

SSL ir TLS veikimo principas, kaip sakiau, yra tas pats. Per TCP / IP protokolą sukuriamas užšifruotas kanalas, per kurį duomenys perduodami per programos protokolą - HTTP, FTP ir pan. Štai kaip jis gali būti pavaizduotas grafiškai:

Programos protokolas yra „suvyniotas“ į TLS/SSL, kuris, savo ruožtu, yra įvyniotas į TCP/IP. Tiesą sakant, programos protokolo duomenys perduodami per TCP / IP, tačiau jie yra užšifruoti. Ir tik ryšį užmezgęs aparatas gali iššifruoti perduodamus duomenis. Visiems kitiems, kurie gauna perduotus paketus, ši informacija neteks prasmės, jei jie negalės jos iššifruoti.

Ryšys užmezgamas keliais etapais:

1) Klientas užmezga ryšį su serveriu ir prašo saugaus ryšio. Tai galima pasiekti užmezgus ryšį su prievadu, kuris iš pradžių buvo sukurtas dirbti su SSL/TLS, pvz., 443, arba papildomas prašymas klientas užmezga saugų ryšį po įprasto ryšio.

2) Užmegzdamas ryšį klientas pateikia sąrašą šifravimo algoritmų, kuriuos „žino“. Serveris palygina gautą sąrašą su algoritmų sąrašu, kurį pats serveris „žino“ ir parenka patikimiausią algoritmą, po kurio nurodo klientui kurį algoritmą naudoti.

3) Serveris siunčia klientui savo skaitmeninį sertifikatą, pasirašytą sertifikavimo institucijos, ir serverio viešąjį raktą.

4) Klientas gali susisiekti su patikimos CA, pasirašiusios serverio sertifikatą, serveriu ir patikrinti, ar serverio sertifikatas galioja. Bet gali neprisijungti. Paprastai operacinėje sistemoje jau yra įdiegti sertifikavimo institucijų šakniniai sertifikatai, pagal kuriuos tikrinami serverio sertifikatų, pavyzdžiui, naršyklių, parašai.

5) Sugeneruojamas seanso raktas saugiam ryšiui. Tai atliekama tokiu būdu:
- Klientas sukuria atsitiktinę skaitmeninę seką
- Klientas užšifruoja jį viešuoju serverio raktu ir siunčia rezultatą į serverį
- Serveris iššifruoja gautą seką naudodamas privatų raktą
Atsižvelgiant į tai, kad šifravimo algoritmas yra asimetriškas, seką gali iššifruoti tik serveris. Naudojant asimetrinį šifravimą, naudojami du raktai – privatus ir viešasis. Viešai išsiųstas pranešimas yra užšifruotas, o privatus pranešimas iššifruojamas. Negalite iššifruoti pranešimo naudodami viešąjį raktą.

6) Taip užmezgamas šifruotas ryšys. Per jį perduodami duomenys yra užšifruojami ir iššifruojami, kol ryšys nutraukiamas.

Šakninis sertifikatas

Tiesiog aukščiau paminėjau šakninį sertifikatą. Tai autorizacijos centro sertifikatas, kurio parašas patvirtina, kad pasirašytas sertifikatas yra būtent tas, kuris priklauso atitinkamai tarnybai. Pačiame sertifikate paprastai yra keletas informacijos laukų, kuriuose yra informacija apie serverio, kuriam buvo išduotas sertifikatas, pavadinimą ir šio sertifikato galiojimo laiką. Jei sertifikato galiojimo laikas pasibaigęs, jis pripažįstamas negaliojančiu.

Parašo užklausa (CSR, sertifikato pasirašymo užklausa)

Norėdami gauti pasirašytą serverio sertifikatą, turite sugeneruoti pasirašymo užklausą (CSR, Certificate Sign Request) ir nusiųsti šią užklausą autorizavimo centrui, kuris grąžins pasirašytą sertifikatą, kuris įdiegtas tiesiogiai serveryje, pamatysime, kaip praktikoje atlikite tai žemiau. Pirmiausia sugeneruojamas šifravimo raktas, tada, remiantis šiuo raktu, sugeneruojama pasirašymo užklausa, CSR failas.

Kliento sertifikatas

Kliento sertifikatas gali būti generuojamas tiek įrenginiui, tiek naudotojo naudojimui. Paprastai tokie sertifikatai naudojami atliekant dvipusį patikrinimą, kai klientas patikrina, ar serveris tikrai yra tas, koks jis teigia esąs, o serveris atsakydamas daro tą patį. Ši sąveika vadinama dvipusiu autentifikavimu arba abipusiu autentifikavimu. Dvipusis autentifikavimas leidžia padidinti saugumo lygį, palyginti su vienpusiu autentifikavimu, taip pat gali būti naudojamas kaip autentifikavimo, naudojant prisijungimo vardą ir slaptažodį, pakaitalas.

Sertifikatų generavimo veiksmų grandinė

Pažiūrėkime praktiškai, kaip nuo pat pradžių veikia su sertifikatų generavimu susiję veiksmai, o kartu ir praktiškai.

Pirmas dalykas, kurį reikia padaryti, yra sugeneruoti šakninį sertifikatą. Šakninį sertifikatą pasirašo pats. Ir tada su šiuo sertifikatu bus pasirašyti kiti sertifikatai.

$ openssl genrsa -out root.key 2048 Generuojamas RSA privatus raktas, 2048 bitų ilgio modulis ..........+++ ................... ........................+++ e yra 65537 (0x10001) $ openssl req -new -key root.key -out root.csr Jūs esate būsite paprašyti įvesti informaciją, kuri bus įtraukta į jūsų sertifikato užklausą. Tai, ką ketinate įvesti, yra vadinama išskirtiniu vardu arba DN. Laukų yra nemažai, bet tu gali palikite kai kuriuos tuščius Kai kuriuose laukuose bus numatytoji reikšmė. Jei įvesite ".", laukas bus paliktas tuščias. ----- Šalies pavadinimas (2 raidžių kodas) :RU valstijos arba provincijos pavadinimas (pilnas pavadinimas) :N/A Vietovės pavadinimas (pvz., miestas) :Sankt Peterburgas Organizacijos pavadinimas (pvz., įmonė) :Mano įmonės organizacinio padalinio pavadinimas (pvz., skyrius) : IT paslaugos bendrasis pavadinimas (pvz., serverio FQDN arba JŪSŲ vardas) : Mano įmonės šakninio sertifikato el. pašto adresas: [apsaugotas el. paštas]Įveskite šiuos „papildomus“ atributus, kurie bus siunčiami kartu su jūsų sertifikato užklausa Iššūkio slaptažodis : Neprivalomas įmonės pavadinimas : Mano įmonė $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Parašas gerai subjektas=/C=RU/ST=N/A/L=Sankt Peterburgas/O=Mano įmonė/OU=IT paslauga/CN=Mano įmonės pagrindinis sertifikatas/ [apsaugotas el. paštas] Privataus rakto gavimas

Taigi pirmiausia sugeneravome privatų raktą, tada parašo užklausą, o tada pasirašėme savo užklausą savo raktu ir gavome savo skaitmeninį sertifikatą, išduotą 10 metų. Generuojant sertifikatą slaptažodžio (iššūkio slaptažodžio) galima praleisti.

Privatusis raktas PRIVALO būti saugomas saugioje vietoje, jį turėdami galite savo vardu pasirašyti bet kurį sertifikatą. Ir pagal gautą šakninį sertifikatą galima nustatyti, kad sertifikatas, pavyzdžiui, serverio, pasirašytas mūsų, o ne kito asmens. Tai yra veiksmai, kuriuos autorizavimo centrai atlieka generuodami savo sertifikatus. Sukūrę šakninį sertifikatą, galite pradėti generuoti serverio sertifikatą.

Peržiūrėkite sertifikato informaciją

Sertifikato turinį galima peržiūrėti taip:

$ openssl x509 -noout -issuer -enddate -root.pem emitentas= /C=RU/ST=N/A/L=Sankt Peterburgas/O=Mano įmonė/OU=IT paslauga/CN=Mano įmonės šakninis sertifikatas/ [apsaugotas el. paštas] notAfter=Sausio 22 d. 11:49:41 2025 GMT

Matome, kas išdavė šį pažymėjimą ir kada baigiasi jo galiojimas.

Serverio sertifikatas

Norėdami pasirašyti serverio sertifikatą, turime atlikti šiuos veiksmus:

1) Sukurkite raktą
2) Sugeneruokite parašo prašymą
3) Išsiųskite CSR failą į autorizavimo centrą arba pasirašykite jį patys

Serverio sertifikatas gali apimti sertifikatų, kurie pasirašė serverio sertifikatą, grandinę, tačiau jis taip pat gali būti saugomas atskirame faile. Iš esmės viskas atrodo taip pat, kaip generuojant šakninį sertifikatą

$ openssl genrsa -out server.key 2048 RSA privataus rakto generavimas, 2048 bitų ilgio modulis ................................ .................................................. +++ ...................+++ e yra 65537 (0x10001) $ openssl req -new -key server.key - out server.csr Jūs būsite paprašė įvesti informaciją, kuri bus įtraukta į jūsų sertifikato užklausą. Tai, ką ketinate įvesti, yra vadinama išskirtiniu vardu arba DN. Laukų yra nemažai, bet kai kuriuos galite palikti tuščius Kai kuriems laukams bus numatytoji reikšmė. Jei įvesite „.“, laukas liks tuščias. ----- Šalies pavadinimas (2 raidžių kodas) :RU valstijos arba provincijos pavadinimas (pilnas pavadinimas) :N/A Vietovės pavadinimas (pvz., miestas) :Sankt Peterburgas Organizacijos pavadinimas (pvz., įmonė) :Mano įmonės organizacinio padalinio pavadinimas (pvz., skyrius) : IT paslaugos bendrasis pavadinimas (pvz., serverio FQDN arba JŪSŲ vardas) :www.mycompany.com El. pašto adresas: [apsaugotas el. paštas]Įveskite šiuos „papildomus“ atributus, kurie bus siunčiami kartu su sertifikato užklausa Iššūkio slaptažodis : Neprivalomas įmonės pavadinimas : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out serveris. pem -dienos 365 Parašas gerai subjektas=/C=RU/ST=N/A/L=Saint-Peterburg/O=My Company/OU=IT Service/CN=www.mycompany.com/ [apsaugotas el. paštas] CA privataus rakto gavimas $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Peterburg/O=Mano įmonė/OU=IT paslauga/CN =Mano įmonės šakninis sertifikatas/ [apsaugotas el. paštas] subjektas= /C=RU/ST=N/A/L=Saint-Peterburgas/O=Mano įmonė/OU=IT paslauga/CN=www.manokompanija.com/ [apsaugotas el. paštas] notAfter=2016 m. sausio 25 d. 12:22:32 GMT

Taigi, serverio sertifikatas yra pasirašomas ir mes žinosime, kuri organizacija išdavė šį sertifikatą. Pasirašius gatavą sertifikatą galima naudoti pagal paskirtį, pavyzdžiui, įdiegti žiniatinklio serveryje.

SSL/TLS sertifikato įdiegimas serveryje su nginx

Norėdami įdiegti SSL / TLS sertifikatą nginx žiniatinklio serveryje, turite atlikti kelis paprastus veiksmus:

1) Nukopijuokite .key ir .pem failus į serverį. Skirtingose ​​operacinėse sistemose sertifikatai ir raktai gali būti saugomi skirtinguose kataloguose. Pavyzdžiui, Debian'e tai yra /etc/ssl/certs sertifikatams ir /etc/ssl/private raktams. „CentOS“ tai yra /etc/pki/tls/certs ir /etc/pki/tls/private

2) Išrašyti būtinus nustatymus in konfigūracijos failąšeimininkui. Štai kaip jis turėtų atrodyti (tai tik pavyzdys):

Serveris (klausykite 443; serverio_pavadinimas www.mycompany.com; root html; index index.html index.htm; ssl įjungtas; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # SSLv3 tiesiog nerekomenduojama!!! # Tai čia pavyzdžiui, ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; vieta / ($uri/files =4 $uri; )

3) Iš naujo paleiskite nginx

4) Eikite į naršyklės prievado 443 serverį – https://www.mycompany.com ir patikrinkite jo veikimą.

SSL/TLS sertifikato įdiegimas „Apache“ serveryje

SSL/TLS sertifikato įdiegimas „Apache“ atrodo taip pat.

1) Nukopijuokite rakto ir sertifikato failus į serverį atitinkamuose kataloguose

2) Įgalinkite Apache ssl modulį naudodami komandą "a2enmod ssl", jei ji dar neįjungta

3) Sukurkite virtualų pagrindinį kompiuterį, kuris klausys 443 prievade. Konfigūracija atrodys maždaug taip:

Serverio administratorius [apsaugotas el. paštas] DocumentRoot /var/www Parinktys FollowSymLinks AllowOverride Nėra Parinktys Rodyklės FollowSymLinks MultiViews AllowOverride Nėra Užsakyti leisti, uždrausti leisti iš visų ScriptAlias/cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order leisti, uždrausti Leisti iš visų ErrorLog $(APACHE_LOG_DIR)/error.log LogLevel įspėja CustomLog $(APACHE_LOG_DIR)/ssl_access.log kombinuotą SSLEngine SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificate/Keyservers direktyva /etcvate/sservers. failas , kuriame yra visų sertifikatų, pasirašiusių serverio sertifikatą, sąrašas #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions+StdEnvVars SSLOptions+StdEnvVars BrowserMatch "MSIE" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

Tuo pačiu metu reikia padaryti dar vieną dalyką. Faile httpd.conf, apache2.conf arba ports.conf, priklausomai nuo sistemos, raskite šią konfigūracijos skyrių:

Klausyk 443

Jei tokios sąlygos nėra, ją reikia įtraukti į konfigūraciją. Ir dar vienas dalykas: reikia pridėti eilutę

NameVirtualHost *:443

Ši eilutė gali būti httpd.conf, apache2.conf arba ports.conf

4) Iš naujo paleiskite „Apache“ žiniatinklio serverį

Sukurkite kliento sertifikatą

Kliento sertifikatas sukuriamas taip pat, kaip ir serverio sertifikatas.

$ openssl genrsa -out client.key 2048 Generuojamas RSA privatus raktas, 2048 bitų ilgio modulis ........................+++ ..... ..............................................+++ e yra 65537 (0x10001) $ openssl req -new -key client.key -out client.csr Tai, ką ketinate įvesti, yra vadinama išskirtiniu vardu arba DN. Laukų yra nemažai, bet kai kuriuos galite palikti tuščius Kai kuriems laukams bus numatytoji reikšmė. Jei įvesite „.“, laukas liks tuščias. ----- Šalies pavadinimas (2 raidžių kodas) :RU valstijos arba provincijos pavadinimas (pilnas pavadinimas) :Sankt Peterburgo vietovės pavadinimas (pvz., miestas) :^C [apsaugotas el. paštas]:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr Jūsų bus paprašyta įvesti informaciją, kuri bus įtraukta į jūsų sertifikato užklausą. Tai, ką ketinate įvesti, yra vadinama išskirtiniu vardu arba DN. Laukų yra nemažai, bet kai kuriuos galite palikti tuščius Kai kuriems laukams bus numatytoji reikšmė. Jei įvesite „.“, laukas liks tuščias. ----- Šalies pavadinimas (2 raidžių kodas) :RU valstijos arba provincijos pavadinimas (pilnas pavadinimas) :N/A Vietovės pavadinimas (pvz., miestas) :Sankt Peterburgas Organizacijos pavadinimas (pvz., įmonė) :Mano įmonės organizacinio padalinio pavadinimas (pvz., skyrius) :Inžinerinis bendrasis pavadinimas (pvz., serverio FQDN arba JŪSŲ vardas) :Ivanas Ivanovas El. pašto adresas: [apsaugotas el. paštas]Įveskite šiuos „papildomus“ atributus, kurie bus siunčiami kartu su sertifikato užklausa Iššūkio slaptažodis : Neprivalomas įmonės pavadinimas : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out klientas. pem -dienos 365 Parašas gerai subjektas=/C=RU/ST=N/A/L=Sankt Peterburgas/O=Mano įmonė/OU=Inžinerija/CN=Ivanas Ivanovas/ [apsaugotas el. paštas] CA privataus rakto gavimas $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Peterburg/O=Mano įmonė/OU=IT paslauga/CN =Mano įmonės šakninis sertifikatas/ [apsaugotas el. paštas] subjektas= /C=RU/ST=N/A/L=Sankt Peterburgas/O=Mano įmonė/OU=Inžinerija/CN=Ivanas Ivanovas/ [apsaugotas el. paštas] notAfter=2016 m. sausio 25 d. 13:17:15 GMT

Jei jums reikia kliento sertifikato PKCS12 formatu, sukurkite jį:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Įveskite eksportavimo slaptažodį: patvirtinkite - įveskite eksportavimo slaptažodį:

Dabar galime naudoti kliento sertifikatą darbui su mūsų serveriu.

Nginx konfigūravimas naudoti kliento sertifikatus

Dažniausiai, kaip sakiau, naudojamas vienpusis autentifikavimas, dažniausiai tikrinamas tik serverio sertifikatas. Pažiūrėkime, kaip priversti nginx žiniatinklio serverį patvirtinti kliento sertifikatą. Į serverio skyrių būtina įtraukti darbo su kliento sertifikatais parinktis:

# Pagrindinis sertifikatas (-ai), pasirašytas (-i) kliento ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Galimi variantai: įjungta | išjungti | neprivaloma | optional_no_ca ssl_verify_client neprivaloma; # Kliento pasirašytų sertifikatų grandinės tikrinimo gylis ssl_verify_depth 2;

Po to turite iš naujo paleisti nustatymus arba visą serverį ir galite patikrinti darbą.

„Apache“ konfigūravimas naudoti kliento sertifikatus

Apache taip pat sukonfigūruojamas pridedant papildomos parinktysį virtualaus pagrindinio kompiuterio skyrių:

# Katalogas, kuriame yra šakniniai sertifikatai, skirti tikrinti SSLCARevocationPath klientus /etc/apache2/ssl.crl/ # arba failas su SSLCARevocationFile sertifikatais /etc/apache2/ssl.crl/ca-bundle.crl # Kliento patvirtinimo parinktis. Galimos parinktys: # nėra, pasirenkama, reikalauja ir optional_no_ca SSLVerifyClient reikalauja # parašo grandinės peržvalgos gylis. Numatytasis 1 SSLVerifyDepth 2

Kaip matote, parinktys yra maždaug tokios pačios kaip ir nginx, nes patvirtinimo procesas organizuojamas vienodai.

Klausytis sertifikato informacijos naudojant openssl

Norėdami patikrinti, ar serveris sąveikauja su kliento sertifikatais, galite patikrinti, ar ryšys užmegztas naudojant TLS/SSL.

Serverio pusėje pradedame klausytis prievado naudodami openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

Kliento pusėje mes pasiekiame serverį, pavyzdžiui, naudodami culr:

Curl -k https://127.0.0.1:443

Konsolėje iš serverio pusės galite stebėti informacijos mainų tarp serverio ir kliento procesą.

Taip pat galite naudoti parinktis -verify [patikrinimo gylis] ir -Verify [patikrinimo gylis]. Mažosiomis raidėmis kliento prašoma sertifikato, tačiau jo pateikti nereikia. Didžiosios raidės – jei sertifikatas nepateikiamas, įvyks klaida. Pradėkime klausytis iš serverio pusės taip:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Patvirtinti 3

Iš serverio pusės klaida atrodo taip:

140203927217808:error:140890C7:SSL rutinos:SSL3_GET_CLIENT_CERTIFICATE:peer negrąžino sertifikato:s3_srvr.c:3287:

Iš kliento pusės taip:

Curl: (35) error:14094410:SSL rutinos:SSL3_READ_BYTES:sslv3 įspėjimo rankos paspaudimo gedimas

Pridėkite sertifikatą kliento pusėje ir Domeno vardas(Patikrinimui galite įvesti adreso 127.0.0.1 pagrindinio kompiuterio pavadinimą /etc/hosts faile):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Dabar prisijungimas bus sėkmingas ir galėsite įdiegti serverio sertifikatą žiniatinklio serveryje, suteikti klientui kliento sertifikatą ir dirbti su juo.

Saugumas

Naudojant SSL/TLS, vienas pagrindinių metodų yra MITM (Man In The Middle) metodas. Šis metodas pagrįstas serverio sertifikato ir rakto naudojimu tam tikrame mazge, kuris išklausys srautą ir iššifruos informaciją, kuria keičiamasi tarp serverio ir kliento. Norėdami organizuoti klausymą, galite naudoti, pavyzdžiui, sslsniff programą. Todėl dažniausiai norima šakninį sertifikatą ir raktą saugoti kompiuteryje, kuris neprijungtas prie tinklo, pasirašymo užklausas atnešti į „flash“ diską, kad būtų galima pasirašyti, pasirašyti ir atsiimti tokiu pačiu būdu. Ir, žinoma, pasidarykite atsargines kopijas.

Apskritai taip naudojami skaitmeniniai sertifikatai ir TLS bei SSL protokolai. Jei turite klausimų / papildymų, rašykite komentaruose.

Šis įrašas buvo paskelbtas pažymėtoje , autoriaus.

Įrašo navigacija

: 29 komentarai

1. cl-service.com

   Klientas pats sugeneruoja CSR užsakydamas sertifikatą, kur klientas taip pat nusprendžia saugoti privatų raktą, sertifikatui išduoti privataus rakto mums nereikia ir klientas jo niekaip neperduoda. Natūralu, kad jei tai atsitiks įprastame virtualiame, tada administratoriai su root prieiga serveris turi prieigą prie ten saugomų raktų.

2. Gero linkintis.

   Krūtų tema neatskleidžiama, nes aprašyta PKI technologija neturi nieko bendra su temos pavadinimu. Jei tik dėl priežasties, aš duočiau nuorodas į rfc.
   P.S. Buvo pokštas apie šunį ir blusą.

3. Gero linkintis.

   Niekada nenorėjau tavęs įžeisti. Ieškojau informacijos apie SSl ir TLS skirtumus praktikoje ir jūsų nuoroda Google buvo pirmoji. Sužavėjo temos pavadinimas. Viskas puiku, taip ir toliau!

4. DrAibolit

   Dėkojame už protingus paaiškinimus apie skaitmeninį sertifikavimą. Aš čia naujokas =)
   Tikiuosi, kad galite paaiškinti kitą klausimą.
   Kadangi sukčiavimo tema interneto pramonėje labai išplėtota, norėčiau išmokti savarankiškai nustatyti svetainių, kuriose lankau, „utėlių“ (ypač ten, kur yra grynųjų pinigų ir mokėjimų, investicijų ir pan.) ir nustatyti, pagal tai mano pasitikėjimo laipsnis (dažnai tenka registruotis, palikti asmeninę informaciją, pirkti, atlikti sandorius, investuoti). Jei teisingai suprantu, šio sertifikato buvimas leidžia atlikti tokį vertinimą. Na, kita vertus, jį gauti nėra problema ir netgi nemokamai.
   Kaip arba kokios programos pagalba galite nustatyti skaitmeninio sertifikato buvimą konkrečioje svetainėje? ir pageidautina jo kategorija, kuri priskiriama specialiai institucijai išduodant SSL DV (sertifikato išdavimas vykdomas su tikrinimu tik domene), SSL OV (su organizacijos patikra), EV (su išplėstine juridinio asmens patikra). Labiausiai tikėtina, kad apgaulingos svetainės paskutinis variantas sertifikatas nebus naudojamas.
   Būčiau malonu, jei papasakotumėte daugiau būdų, kaip nustatyti svetainių patikimumą))

   1. mnorin Pranešimo autorius

      Kai kurie speciali programašiais tikslais aš dar nesutikau, bet galiu duoti keletą patarimų šiuo klausimu.
      Galite naudoti, pavyzdžiui, Chromium arba Google Chrome. Paimkite, pavyzdžiui, svetainę https://www.thawte.com/ – įmonę, kuri iš tikrųjų užsiima skaitmeniniais sertifikatais.
      AT adreso juosta bus parašytas įmonės pavadinimas ir žalia pakabinama spyna. Tai reiškia, kad organizacija yra patikrinta, ji yra bent SSL OV.
      Jei spustelėsite užraktą ir išskleidžiamajame laukelyje „Išsami informacija“, tada „Peržiūrėti sertifikatą“, pamatysite informaciją apie sertifikatą. „Thawte“ sertifikatas pasirašomas tokiu sertifikatu: „thawte Extended Validation SHA256 SSL CA“, o click.alfabank.ru sertifikatą taip pat pasirašo Thawte, bet su kitu sertifikatu. Tai yra „thawte EV SSL CA - G3“, tai yra, jie taip pat praėjo išplėstinį patvirtinimą.
      Kažkas panašaus į tai.

5. Ruslanas

   Skyrius „SSL ir TLS veikimo principas“, „Klientas generuoja atsitiktinę skaitmeninę seką“.

   Buvau tikras, kad klientas sugeneruoja privatų seansą ir atitinkamai viešąjį raktą (kurį jūs akivaizdžiai pavadinote „skaitmenine seka“). viešasis raktas yra perduodamas į serverį, o serveris užšifruoja paketus kliento link kliento seanso viešuoju raktu.

   Prašau paaiškinti.

6. Naujokas

   Straipsnis labai naudingas! Yra net praktinių pavyzdžių =) Tik aš vieno nesupratau - kuo skiriasi root sertifikatas nuo serverio? ar tai tas pats?

7. Vitalijus

   Sveiki.
   Prieglobos serveris pasiūlė paslaugą – SSL už virtualūs serveriai. Pasinaudojo. Paaiškėjo, kad trečiam lygiui, t.y. http://www.site.ru sertifikatas neteisingas, tik skirtas site.ru. Be to, lankytojai atkakliai kreipiasi į https protokolą, nesvarbu, ar jie eina į site.ru ar http://www.site.ru. Žinoma, antruoju atveju naršyklė pradeda skaudžiai keiktis, o lankytojas niekada nepatenka į svetainę.
   O tiems, kurie pateko į svetainę, svetainė pradėjo atrodyti kreivai, dalis meniu dingo, kai kurios nuotraukos paieškos rezultatuose nebebuvo rodomos dėl kai kurių komponentų.

E-biudžeto darbo vietos nustatymas vyksta keliais etapais, jie nesudėtingi, tačiau reikalauja kruopštumo. Viską darome pagal elektroninio biudžeto sudarymo instrukcijas. Trumpai ir taikliai...

Elektroninis biudžetinis darbo vietos nustatymas

Šakninis sertifikatas e-biudžetas

Sukurkite raktų aplanką Mano dokumentuose, kad šiame aplanke būtų saugomi atsisiųsti sertifikatai:

Svetainės http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ GIS meniu -> Sertifikavimo institucija -> Pagrindiniai sertifikatai, turite atsisiųsti " Šakninis sertifikatas (kvalifikuotas)“ (žr. pav.), arba jei gavote „flash drive“ su sertifikatais, nukopijuokite juos iš aplanko „Sertifikatai“.

Sertifikatas žemyno TLS VPN

Antrasis sertifikatas, kurį reikia atsisiųsti, yra Continent TLS VPN sertifikatas, tačiau naujoje „roskazna“ svetainėje jo neradau, todėl įdėjau nuorodą iš savo svetainės. Atsisiųskite „Continent TLS VPN“ sertifikatą į raktų aplanką, jo mums prireiks vėliau, kai sukonfigūruosime „Continent TLS“ kliento programą.

Įdiekite atsisiųstą Root sertifikatą (kvalifikuotą), kad galėtumėte dirbti su elektroniniu biudžetu.

Meniu START -> Visos programos -> CRYPTO-PRO -> paleiskite programą Sertifikatai.

Eikite į elementą Sertifikatai, kaip parodyta paveikslėlyje žemiau:

Eikite į Veiksmų meniu - Visos užduotys - Importuoti, pasirodys sertifikato importavimo vedlio langas - Kitas - Apžvalga - Raskite atsisiųstą Šakninis sertifikatas (kvalifikuotas) mūsų atveju jis yra raktų aplanke Mano dokumentai

Jei viskas bus padaryta teisingai, sertifikatų aplanke pasirodys Federalinio iždo CA šakninis sertifikatas.

Diegimas "Continent TLS Client" darbui su elektroniniu biudžetu

Continent_tls_client_1.0.920.0 galima rasti internete.

Išpakuokite atsisiųstą archyvą, eikite į CD aplanką ir paleiskite ContinentTLSSetup.exe

Elemente spustelėkite „Continent TLS Client KC2“ ir pradėkite diegimą.

Mes sutinkame su sąlygomis

Paskirties aplanke palikite pagal numatytuosius nustatymus

Paleidimo konfigūravimo programos lange pažymėkite langelį Paleisti konfigūratorių, kai diegimas baigtas.

Diegimo metu pasirodys Paslaugos nustatymų langas:

Adresas – nurodykite lk.budget.gov.ru

Sertifikatas – rakto aplanke pasirinkite antrą anksčiau atsisiųstą sertifikatą.

Spustelėkite Gerai ir užbaikite diegimą, Atlikta.

Paprašė perkrauti Operacinė sistema atsakome ne.

Elektroninio parašo įrankio „Jinn-Client“ įdiegimas

Jinn-Client programą galite atsisiųsti iš interneto.

Eikite į aplanką Jinn-client - CD, paleiskite setup.exe

Spustelėkite iš Jinn-Client sąrašo ir prasidės programos diegimas

Nepaisykite klaidos, spustelėkite Tęsti, Kitas, sutikite su sutartimi ir spustelėkite Pirmyn.

Įveskite išduotą licencijos raktą

Nustatykite numatytąją programą, spustelėkite Pirmyn

Baigiame diegti, atsakome į klausimą apie operacinės sistemos paleidimą iš naujo Nr

Modulio darbui su elektroniniu parašu įdiegimas „Cubesign“

Jei jums reikia archyvo su programa, rašykite komentaruose.

Paleiskite diegimo failą cubesign.msi

„Mozilla Firefox“ naršyklės nustatymas dirbti su elektroniniu biudžetu.

1. Atidarykite meniu „Įrankiai“ ir pasirinkite „Nustatymai“.

2. Eikite į skirtuko „Tinklas“ skiltį „Išplėstinė“.

3. Skiltyje „Ryšio“ nustatymai spustelėkite mygtuką „Konfigūruoti…“.

4. Atsidariusiame ryšio parametrų lange nustatykite reikšmę

„Rankinis tarpinio serverio konfigūravimas“.

5. Nustatykite HTTP tarpinio serverio laukų reikšmes: 127.0.0.1; Prievadas: 8080.

6. Paspauskite mygtuką Gerai.

7. „Nustatymų“ lange spustelėkite mygtuką „Gerai“.

Prisijunkite prie asmeninės Elektroninio biudžeto paskyros

Atsidarys langas, kuriame bus pasirinkta pažyma, skirta įvesti asmeninę Elektroninio biudžeto sąskaitą.

Norėdami prisijungti, pasirinkite sertifikatą Asmeninė sritis E-biudžetas, jei yra slaptažodis privačiai sertifikato daliai, parašykite ir paspauskite OK, po to atsidarys Asmeninė E-biudžeto paskyra.