Ak chcete nainštalovať softvér Continent TLS Client, musíte:

Obrázok 33. Úvodné okno sprievodcu inštaláciou softvéru Continent TLS Client.

Obrázok 34. Okno Licenčná zmluva Klientsky softvér Continent TLS.

3. Začiarknite políčko „Súhlasím s podmienkami licenčnej zmluvy“ a kliknite na tlačidlo „Ďalej“. Na obrazovke sa zobrazí okno na zadanie licenčného kľúča dodávaného so softvérom Continent TLS Client na papieri alebo elektronickom médiu.

Obrázok 35. Okno na zadanie licenčného kľúča pre softvér Continent TLS Client.

4. Zadajte licenčný kľúč a kliknite na tlačidlo "Ďalej". Na obrazovke sa zobrazí dialógové okno na výber inštalačnej cesty pre softvér Continent TLS Client.

Obrázok 36. Okno na výber inštalačnej cesty pre softvér Continent TLS Client.

5. Ponechajte predvolenú cestu inštalácie. Stlačte tlačidlo "Ďalej". Na obrazovke sa zobrazí dialógové okno „Spustiť konfigurátor“.

Obrázok 37. Okno na spustenie konfigurátora softvéru Continent TLS Client.

6. Začiarknite políčko „Spustiť konfigurátor po dokončení inštalácie“.

Obrázok 38. Okno pripravenosti na inštaláciu softvéru Continent TLS Client.

8. Kliknite na tlačidlo "Inštalovať". Spustí sa inštalácia komponentu.

Obrázok 39. Proces inštalácie softvéru Continent TLS Client.

9. Na obrazovke sa zobrazí dialógové okno konfigurácie softvéru Continent TLS Client.

Obrázok 40. Konfigurácia softvéru Continent TLS Client.

Na konfiguráciu softvéru potrebujete:

a) V časti „Nastavenia kontinentu TLS klienta“ ponechajte predvolenú hodnotu „Port“ rovnú 8080.

b) V časti „Nastavenia chráneného servera“ v poli „Adresa“ zadajte názov TLS servery: lk.budget.gov.ru.

c) V časti „Nastavenia chráneného servera“ v poli „Certifikát“ zadajte súbor certifikátu servera TLS skopírovaný do lokálneho adresára v článku 3.1 tejto príručky.

Obrázok 41. Konfigurácia softvéru Continent TLS Client. Výber certifikátu.

d) Ak pracovná stanica používateľa nepoužíva externý proxy server, kliknite na tlačidlo „OK“.

e) V opačnom prípade zadajte adresu a port externého proxy servera organizácie, ktorý sa má použiť.

Obrázok 42. Nastavenie softvérovej služby Continent TLS Client. Nastavenie externého proxy servera.

f) Stlačte tlačidlo OK.

10. Na obrazovke sa zobrazí dialógové okno na dokončenie inštalácie softvéru Continent TLS Client.

Obrázok 43. Dialógové okno na dokončenie inštalácie softvéru Continent TLS Client.

11. Stlačte tlačidlo "Dokončiť".

12. Na obrazovke sa zobrazí dialógové okno s výzvou na reštartovanie pracovnej stanice používateľa.

Obrázok 44. Dialóg o potrebe reštartovať pracovnú stanicu používateľa.

13. Stlačte tlačidlo "Nie".

softvér Kontinentálna TLS VPN– systém na poskytovanie bezpeč vzdialený prístup do webových aplikácií pomocou šifrovacích algoritmov GOST. Kontinentálne implementácie TLS VPN kryptografická ochrana Prevádzka HTTP na úrovni relácie. Šifrovanie informácií sa vykonáva podľa algoritmu GOST 28147–89.

Identifikácia a autentifikácia vzdialených používateľov

Identifikácia a autentifikácia používateľov sa vykonáva pomocou certifikátov verejného kľúča štandardu x.509v3 (GOST R 31.11–94, 34.10–2001). Kontinent TLS VPN kontroluje kľúčové certifikáty podľa zoznamov zrušených certifikátov (CRL). Certifikáty vydáva externá certifikačná autorita.

V prípade úspešného ukončenia autentifikačných procedúr je požiadavka užívateľa presmerovaná cez HTTP do zabezpečenej siete na príslušný webový server. V tomto prípade sa do každej relácie HTTP používateľa pridajú špeciálne identifikátory (identifikátor klienta a identifikátor IP).

Kryptografická ochrana prenášaných informácií

TLS VPN Continent vykonáva kryptografickú ochranu prenosu HTTP na úrovni relácie. Šifrovanie informácií sa vykonáva podľa algoritmu GOST 28147–89. Hašovacia funkcia sa počíta podľa algoritmu GOST R 34.11–94, GOST R 34.11–2012. Vytváranie a overovanie elektronického podpisu sa vykonáva v súlade s algoritmom GOST R 34.10–2001, GOST R 34.10–2012.

Skrytie chránených serverov a preklad adries

TLS VPN Continent filtruje požiadavky a prekladá adresy požiadaviek na webové servery firemná sieť. Preklad adries sa vykonáva v súlade s pravidlami, ktoré nastavuje správca „Continent TLS VPN“.

Odolnosť voči chybám a škálovateľnosť

TLS VPN Continent podporuje prácu vo vysokovýkonnej klastrovej schéme s vyrovnávaním záťaže (externý nástroj na vyrovnávanie záťaže). Zvýšenie odolnosti voči chybám sa dosiahne pridaním redundantného uzla do klastra. Zároveň môžu byť prvky vyrovnávacieho klastra neobmedzene zvyšované. Porucha prvku klastra nevedie k prerušeniu spojení, pretože zaťaženie je rovnomerne rozdelené medzi zostávajúce prvky.

Monitorovanie a zaznamenávanie udalostí

V TLS VPN Continent môže administrátor vždy získať aktuálne informácie o aktuálnom stave nadviazaných spojení a štatistiky o svojej práci. Udalosti sa zaznamenávajú na server informačná bezpečnosť. Všetky udalosti môžu byť odoslané na špecifikovaný server vo formáte syslog na ďalšiu analýzu, vďaka čomu je integrácia so systémami SIEM čo najjednoduchšia.

Pohodlné nástroje na správu

Kombinácia miestnych a vzdialené nástroje s webovým rozhraním a pohodlnou grafickou riadiacou konzolou poskytuje flexibilnú konfiguráciu TLS VPN Continent v súlade s požiadavkami bezpečnostných politík.

Podporované protokoly

TLS VPN Continent podporuje protokoly TLS v.1, TLS v.2.

Obsluha používateľa cez ľubovoľný webový prehliadač

Pomocou aplikácie Continent TLS VPN Client môžu používatelia pristupovať k chráneným zdrojom z akéhokoľvek webového prehliadača. Continent TLS VPN Klient je lokálny proxy, ktorý zachytáva prevádzku prehliadača na chránené webové servery a zabalí ju do http tunela. Vďaka tomu môže používateľ pracovať s akýmkoľvek webovým prehliadačom nainštalovaným na jeho zariadení.

Používanie užívateľsky prívetivého softvérového klienta

Používanie užívateľsky prívetivého softvérového klienta Continent TLS VPN Client alebo CryptoPro možno použiť ako klienta na zariadení používateľa verzie CSP 3.6.1.

V poslednom čase sa čoraz častejšie spomínajú TLS a SSL, čoraz aktuálnejšie je používanie digitálnych certifikátov a dokonca sa objavili spoločnosti, ktoré sú pripravené poskytnúť digitálne certifikáty každému zadarmo, aby zaručili šifrovanie prevádzky medzi navštívenými stránkami a prehliadačom klienta. Je to potrebné, samozrejme, kvôli bezpečnosti, aby nikto v sieti nemohol prijímať dáta prenášané z klienta na server a naopak. Ako to celé funguje a ako to používať? Aby sme to pochopili, možno je potrebné začať teóriou a potom ukázať v praxi. Takže SSL a TLS.

Čo je SSL a čo je TLS?

SSL je skratka pre Secure Socket Layer, úroveň bezpečných soketov. TLS - Transport Layer Security, zabezpečenie transportnej vrstvy. SSL je starší systém, TLS je novší a je založený na špecifikácii SSL 3.0 vyvinutej spoločnosťou Netscape Communications. Napriek tomu je úloha týchto protokolov rovnaká – zabezpečiť bezpečný prenos dát medzi dvoma počítačmi na internete. Tento prevod sa používa pre rôzne stránky, napr Email, na odosielanie správ a oveľa viac. V zásade môžete týmto spôsobom preniesť akékoľvek informácie, viac o tom nižšie.

Bezpečný prenos je zabezpečený pomocou autentifikácie a šifrovania prenášaných informácií. V skutočnosti tieto protokoly, TLS a SSL, fungujú rovnako, neexistujú žiadne zásadné rozdiely. TLS možno povedať, že je nástupcom SSL, aj keď môžu byť použité súčasne, dokonca aj na rovnakom serveri. Takáto podpora je potrebná na zabezpečenie práce s novými klientmi (zariadeniami a prehliadačmi) aj so staršími klientmi, ktorí nepodporujú TLS. Postupnosť vzhľadu týchto protokolov vyzerá takto:

SSL 1.0 – nikdy nezverejnené
SSL 2.0 – február 1995
SSL 3.0 – 1996
TLS 1.0 – január 1999
TLS 1.1 – apríl 2006
TLS 1.2 – august 2008

Ako fungujú SSL a TLS

Princíp fungovania SSL a TLS, ako som povedal, je rovnaký. Nad protokolom TCP/IP je vytvorený šifrovaný kanál, v rámci ktorého sa dáta prenášajú cez aplikačný protokol – HTTP, FTP atď. Tu je návod, ako to možno graficky znázorniť:

Aplikačný protokol je „obalený“ v TLS/SSL, ktorý je zase zabalený v TCP/IP. V skutočnosti sa údaje aplikačného protokolu prenášajú cez TCP / IP, ale sú šifrované. A iba stroj, ktorý nadviazal spojenie, môže dešifrovať prenášané dáta. Pre všetkých ostatných, ktorí prijímajú prenášané pakety, budú tieto informácie bezvýznamné, ak ich nedokážu dešifrovať.

Spojenie sa vytvorí v niekoľkých krokoch:

1) Klient vytvorí spojenie so serverom a požiada o zabezpečené pripojenie. Dá sa to dosiahnuť buď nadviazaním spojenia na porte, ktorý je pôvodne navrhnutý na prácu s SSL/TLS, ako napríklad 443, alebo dodatočná žiadosť klient nadviaže zabezpečené pripojenie po nadviazaní normálneho.

2) Pri nadväzovaní spojenia klient poskytne zoznam šifrovacích algoritmov, ktoré "pozná". Server porovná prijatý zoznam so zoznamom algoritmov, ktoré server sám „pozná“ a vyberie najspoľahlivejší algoritmus, po čom klientovi povie, ktorý algoritmus má použiť.

3) Server odošle klientovi svoj digitálny certifikát podpísaný certifikačnou autoritou a verejný kľúč servera.

4) Klient môže kontaktovať server dôveryhodnej CA, ktorá podpísala certifikát servera, a skontrolovať, či je certifikát servera platný. Ale nemusí sa to spojiť. Operačný systém má zvyčajne nainštalované koreňové certifikáty certifikačných autorít, voči ktorým sa overujú podpisy serverových certifikátov, napríklad prehliadačov.

5) Vygeneruje sa kľúč relácie pre zabezpečené pripojenie. Toto sa vykonáva nasledujúcim spôsobom:
- Klient vygeneruje náhodnú digitálnu sekvenciu
- Klient to zašifruje verejným kľúčom servera a výsledok pošle na server
- Server dešifruje prijatú sekvenciu pomocou súkromného kľúča
Vzhľadom na to, že šifrovací algoritmus je asymetrický, sekvenciu môže dešifrovať iba server. Pri použití asymetrického šifrovania sa používajú dva kľúče – súkromný a verejný. Verejná odoslaná správa je zašifrovaná a súkromná správa je dešifrovaná. Verejným kľúčom nemôžete dešifrovať správu.

6) Takto sa vytvorí šifrované spojenie. Dáta prenášané cez ňu sú šifrované a dešifrované, kým sa spojenie neukončí.

Koreňový certifikát

Vyššie som spomenul koreňový certifikát. Ide o certifikát autorizačného centra, ktorého podpis potvrdzuje, že podpísaný certifikát patrí príslušnej službe. Samotný certifikát zvyčajne obsahuje množstvo informačných polí, ktoré obsahujú informácie o názve servera, na ktorý bol certifikát vydaný a dobe platnosti tohto certifikátu. Ak platnosť certifikátu vypršala, je neplatný.

Žiadosť o podpis (CSR, žiadosť o podpis certifikátu)

Ak chcete získať podpísaný certifikát servera, musíte vygenerovať žiadosť o podpis (CSR, Certificate Sign Request) a odoslať túto žiadosť do autorizačného centra, ktoré vráti podpísaný certifikát, ktorý je nainštalovaný priamo na serveri, uvidíme, ako urobte to v praxi nižšie. Najprv sa vygeneruje šifrovací kľúč, potom sa na základe tohto kľúča vygeneruje žiadosť o podpis, súbor CSR.

Klientsky certifikát

Klientsky certifikát je možné vygenerovať pre použitie zariadenia aj používateľom. Zvyčajne sa takéto certifikáty používajú pri obojsmernom overovaní, keď klient overí, že server je skutočne tým, za koho sa vydáva, a server v reakcii urobí to isté. Táto interakcia sa nazýva obojsmerná autentifikácia alebo vzájomná autentifikácia. Obojsmerná autentifikácia umožňuje zvýšiť úroveň zabezpečenia v porovnaní s jednosmernou a môže slúžiť aj ako náhrada za autentifikáciu pomocou prihlasovacieho mena a hesla.

Reťazec akcií na generovanie certifikátov

Pozrime sa v praxi, ako fungujú úkony súvisiace s generovaním certifikátov od úplného začiatku a zároveň aj v praxi.

Prvá vec, ktorú musíte urobiť, je vygenerovať koreňový certifikát. Koreňový certifikát sa podpisuje sám. A potom sa týmto certifikátom podpíšu ďalšie certifikáty.

$ openssl genrsa -out root.key 2048 Generovanie súkromného kľúča RSA, 2048 bit dlhý modul ...........+++ ................... ........................+++ e je 65537 (0x10001) $ openssl req -new -key root.key -out root.csr Ste budete vyzvaní na zadanie informácií, ktoré budú zahrnuté do vašej žiadosti o certifikát. To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN. Existuje pomerne málo polí, ale môžeš nechajte niektoré prázdne Pre niektoré polia bude predvolená hodnota. Ak zadáte ".", pole zostane prázdne. ----- Názov krajiny (2 písmenový kód) :Názov štátu alebo provincie RU (celý názov) :N/A Názov lokality (napr. mesto) :Názov organizácie Saint-Petersburg (napr. spoločnosť) :Názov organizačnej jednotky mojej spoločnosti (napr. sekcia) :Bežný názov IT služby (napr. FQDN servera alebo VAŠE meno) :E-mailová adresa koreňového certifikátu mojej spoločnosti : [chránený e-mailom] Zadajte nasledujúce atribúty „extra“, ktoré sa majú odoslať s vašou žiadosťou o certifikát Heslo výzvy : Voliteľný názov spoločnosti :Moja spoločnosť $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Podpis ok predmet=/C=RU/ST=N/A/L=Saint-Petersburg/O=Moja spoločnosť/OU=Služba IT/CN=Koreňový certifikát mojej spoločnosti/ [chránený e-mailom] Získanie súkromného kľúča

Najprv sme teda vygenerovali súkromný kľúč, potom žiadosť o podpis a následne sme našim kľúčom podpísali vlastnú žiadosť a dostali sme vlastný digitálny certifikát vydávaný na 10 rokov. Heslo (vyzývacie heslo) je možné pri generovaní certifikátu vynechať.

Súkromný kľúč MUSÍ byť uložený na bezpečnom mieste, s ním môžete podpísať akýkoľvek certifikát vo svojom mene. A prijatý koreňový certifikát možno použiť na identifikáciu, že certifikát napríklad servera sme podpísali my a nie niekto iný. Toto sú akcie, ktoré autorizačné centrá vykonávajú, keď generujú svoje vlastné certifikáty. Po vytvorení koreňového certifikátu môžete začať generovať certifikát servera.

Zobraziť informácie o certifikáte

Obsah certifikátu je možné zobraziť takto:

$ openssl x509 -noout -issuer -enddate -in root.pem emiter= /C=RU/ST=N/A/L=Saint-Petersburg/O=Moja spoločnosť/OU=IT Service/CN=Koreňový certifikát mojej spoločnosti/ [chránený e-mailom] notAfter=22. január 11:49:41 2025 GMT

Vidíme, kto vydal tento certifikát a kedy vyprší jeho platnosť.

Certifikát servera

Na podpísanie certifikátu pre server musíme urobiť nasledovné:

1) Vygenerujte kľúč
2) Vygenerujte žiadosť o podpis
3) Pošlite súbor CSR do autorizačného centra alebo ho podpíšte sami

Certifikát servera môže obsahovať reťazec certifikátov, ktoré podpísali certifikát servera, ale môže byť uložený aj v samostatnom súbore. V princípe všetko vyzerá približne rovnako ako pri generovaní koreňového certifikátu

$ openssl genrsa -out server.key 2048 Generovanie súkromného kľúča RSA, 2048 bit dlhý modul ................................ ................................................. +++ ....................++++ e je 65537 (0x10001) $ openssl req -new -key server.key - out server.csr Chystáte sa byť požiadaný o zadanie informácií, ktoré budú zahrnuté do vašej žiadosti o certifikát. To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN. Existuje pomerne veľa polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte ".", pole zostane prázdne. ----- Názov krajiny (2 písmenový kód) :Názov štátu alebo provincie RU (celý názov) :N/A Názov lokality (napr. mesto) :Názov organizácie Saint-Petersburg (napr. spoločnosť) :Názov organizačnej jednotky mojej spoločnosti (napr. sekcia) :Spoločný názov IT služby (napr. FQDN servera alebo VAŠE meno) :www.mojaspolocnost.com E-mailová adresa : [chránený e-mailom] Zadajte nasledujúce atribúty „extra“, ktoré sa majú odoslať s vašou žiadosťou o certifikát. Heslo výzvy : Voliteľný názov spoločnosti : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server. pem -days 365 Podpis ok predmet=/C=RU/ST=N/A/L=Saint-Petersburg/O=Moja firma/OU=IT Service/CN=www.mojaspolocnost.com/ [chránený e-mailom] Získanie súkromného kľúča CA $ openssl x509 -noout -issuer -subject -enddate -in server.pem vydavateľ= /C=RU/ST=N/A/L=Saint-Petersburg/O=Moja spoločnosť/OU=IT Service/CN = koreňový certifikát mojej spoločnosti/ [chránený e-mailom] predmet= /C=RU/ST=N/A/L=Saint-Petersburg/O=Moja firma/OU=IT Service/CN=www.mojaspolocnost.com/ [chránený e-mailom] notAfter=25. január 12:22:32 2016 GMT

Certifikát servera je teda podpísaný a my budeme vedieť, ktorá organizácia tento certifikát vydala. Po podpísaní je možné hotový certifikát použiť na určený účel, napríklad nainštalovať na webový server.

Inštalácia certifikátu SSL/TLS na server s nginx

Ak chcete nainštalovať certifikát SSL / TLS na webový server nginx, musíte vykonať niekoľko jednoduchých krokov:

1) Skopírujte súbory .key a .pem na server. V rôznych operačných systémoch môžu byť certifikáty a kľúče uložené v rôznych adresároch. V Debiane je to napríklad /etc/ssl/certs pre certifikáty a /etc/ssl/private pre kľúče. Na CentOS sú to /etc/pki/tls/certs a /etc/pki/tls/private

2) Predpísať potrebné nastavenia v konfiguračný súbor pre hostiteľa. Takto by to malo vyzerať (toto je len príklad):

Server ( listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # SSLv3 sa neodporúča!!! # Práve tu je napríklad ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / (try_files $04 $uri/) )

3) Reštartujte nginx

4) Prejdite na server portu 443 prehliadača - https://www.mycompany.com a skontrolujte jeho výkon.

Inštalácia certifikátu SSL/TLS na server Apache

Inštalácia certifikátu SSL/TLS na Apache vyzerá približne rovnako.

1) Skopírujte súbory kľúča a certifikátu na server do príslušných adresárov

2) Povoľte modul ssl pre Apache pomocou príkazu "a2enmod ssl", ak ešte nie je povolený

3) Vytvorte virtuálneho hostiteľa, ktorý bude počúvať na porte 443. Konfigurácia bude vyzerať asi takto:

ServerAdmin [chránený e-mailom] DocumentRoot /var/www Možnosti FollowSymLinks AllowOverride Žiadne Možnosti Indexy FollowSymLinks MultiViews AllowOverride None Poradie povoliť, zakázať povoliť od všetkých ScriptAlias ​​​​/cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIf OwnerMatch Order povoliť,zakázať Povoliť od všetkých ErrorLog $(APACHE_LOG_DIR)/error.log LogLevel warning CustomLog $(APACHE_LOG_DIR)/ssl_access.log kombinovaný SSLEngine na SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile pridáva /etc/ssl Táto direktíva aprivatkey/ssl/ súbor , ktorý obsahuje zoznam # všetkých certifikátov, ktoré podpísali certifikát servera #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions+StdEnvVars SSLOptions+StdEnvVars BrowserMatch "MSIE" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

Zároveň je potrebné urobiť ešte jednu vec. Nájdite v súbore httpd.conf alebo apache2.conf alebo ports.conf, v závislosti od systému, nasledujúcu časť konfigurácie:

Počúvaj 443

Ak takáto podmienka neexistuje, musí sa pridať do konfigurácie. A ešte jedna vec: Musíte pridať riadok

MenoVirtuálny hostiteľ *:443

Tento riadok môže byť v httpd.conf, apache2.conf alebo ports.conf

4) Reštartujte webový server Apache

Vytvorte klientsky certifikát

Klientsky certifikát sa vytvára v podstate rovnakým spôsobom ako certifikát servera.

$ openssl genrsa -out client.key 2048 Generovanie súkromného kľúča RSA, 2048 bit dlhý modul ........................++++ ..... ...................................................++++ e je 65537 (0x10001) $ openssl req -new -key client.key -out client.csr To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN. Existuje pomerne veľa polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte ".", pole zostane prázdne. ----- Názov krajiny (2 písmenový kód) :Názov štátu alebo provincie RU (celý názov) :Názov lokality Saint-Petersburg (napr. mesto) :^C [chránený e-mailom]:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr Budete požiadaní o zadanie informácií, ktoré budú zahrnuté do vašej žiadosti o certifikát. To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN. Existuje pomerne veľa polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte ".", pole zostane prázdne. ----- Názov krajiny (2 písmenový kód) :Názov štátu alebo provincie RU (celý názov) :N/A Názov lokality (napr. mesto) :Saint-Petrersburg Názov organizácie (napr. spoločnosť) : Názov organizačnej jednotky mojej spoločnosti (napr. sekcia) :Obvyklý názov inžinierstva (napr. FQDN servera alebo VAŠE meno) :Ivan Ivanov E-mailová adresa : [chránený e-mailom] Zadajte nasledujúce atribúty „extra“, ktoré sa majú odoslať s vašou žiadosťou o certifikát. Heslo výzvy : Voliteľný názov spoločnosti : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client. pem -days 365 Podpis ok predmet=/C=RU/ST=N/A/L=Saint-Petrersburg/O=Moja firma/OU=Engineering/CN=Ivan Ivanov/ [chránený e-mailom] Získanie súkromného kľúča CA $ openssl x509 -noout -issuer -subject -enddate -in client.pem vydavateľ= /C=RU/ST=N/A/L=Saint-Petersburg/O=Moja spoločnosť/OU=IT Service/CN = koreňový certifikát mojej spoločnosti/ [chránený e-mailom] predmet= /C=RU/ST=N/A/L=Saint-Petrersburg/O=Moja firma/OU=Inžinierstvo/CN=Ivan Ivanov/ [chránený e-mailom] notAfter=25. január 13:17:15 2016 GMT

Ak potrebujete klientsky certifikát vo formáte PKCS12, vytvorte ho:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Zadajte heslo pre export: Overenie - Zadajte heslo pre export:

Teraz môžeme použiť klientsky certifikát na prácu s naším serverom.

Konfigurácia nginx na používanie klientskych certifikátov

Ako som už povedal, najčastejšie sa používa jednosmerná autentifikácia, zvyčajne sa kontroluje iba certifikát servera. Pozrime sa, ako prinútiť webový server nginx overiť certifikát klienta. Do sekcie servera je potrebné pridať možnosti pre prácu s klientskymi certifikátmi:

# Koreňové certifikáty podpísané klientom ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Možné možnosti: dňa | vypnuté | voliteľné | optional_no_ca ssl_verify_client optional; # Hĺbka kontroly reťazca certifikátov podpísaných klientom ssl_verify_depth 2;

Potom musíte reštartovať nastavenia alebo celý server a môžete skontrolovať prácu.

Konfigurácia Apache na používanie klientskych certifikátov

Apache sa tiež konfiguruje pridaním ďalšie možnosti do sekcie virtuálneho hostiteľa:

# Adresár obsahujúci koreňové certifikáty na kontrolu klientov SSLCARevocationPath /etc/apache2/ssl.crl/ # alebo súbor obsahujúci certifikáty SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Možnosť overenia klienta. Možnosti sú: # none, optional, required a optional_no_ca SSLVerifyClient required # Hĺbka vyhľadávania reťazca podpisov. Predvolená hodnota 1 SSLVerifyDepth 2

Ako vidíte, možnosti sú približne rovnaké ako pre nginx, pretože proces overovania je organizovaný jednotným spôsobom.

Počúvanie informácií o certifikáte pomocou openssl

Ak chcete overiť, či server komunikuje s klientskymi certifikátmi, môžete skontrolovať, či je pripojenie vytvorené pomocou TLS/SSL.

Na strane servera začneme počúvať port pomocou openssl:

Openssl s_server -akceptovať 443 -cert server.pem -key server.key -state

Na strane klienta pristupujeme k serveru napríklad pomocou culr:

Curl -k https://127.0.0.1:443

V konzole zo strany servera môžete sledovať proces výmeny informácií medzi serverom a klientom.

Môžete tiež použiť možnosti -verify [hĺbka overenia] a -Verify [hĺbka overenia]. Možnosť s malými písmenami vyžaduje od klienta certifikát, ale nie je potrebné ho poskytnúť. Veľké písmená – ak certifikát nie je poskytnutý, dôjde k chybe. Začnime počúvať zo strany servera takto:

Openssl s_server -prijať 443 -cert server.pem -key server.key -state -Overiť 3

Na strane servera chyba vyzerá takto:

140203927217808:error:140890C7:Rutiny SSL:SSL3_GET_CLIENT_CERTIFICATE:peer nevrátil certifikát:s3_srvr.c:3287:

Zo strany klienta takto:

Curl: (35) error:14094410:Rutíny SSL:SSL3_READ_BYTES:sslv3 alert handshake failure

Pridajte certifikát na strane klienta a Doménové meno(pre overenie môžete zadať názov hostiteľa pre adresu 127.0.0.1 v súbore /etc/hosts):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Teraz bude pripojenie úspešné a môžete nainštalovať certifikát servera na webový server, odovzdať klientsky certifikát klientovi a pracovať s ním.

Bezpečnosť

Pri použití SSL/TLS je jednou z hlavných metód metóda MITM (Man In The Middle). Táto metóda sa spolieha na použitie certifikátu servera a kľúča na nejakom uzle, ktorý bude počúvať prevádzku a dešifrovať informácie vymieňané medzi serverom a klientom. Na organizáciu počúvania môžete použiť napríklad program sslsniff. Preto je zvyčajne žiaduce uložiť koreňový certifikát a kľúč na stroji, ktorý nie je pripojený k sieti, priniesť požiadavky na podpis na flash disku, podpísať a odniesť rovnakým spôsobom. A, samozrejme, zálohovať.

Vo všeobecnosti sa takto používajú digitálne certifikáty a protokoly TLS a SSL. Ak máte nejaké otázky / doplnky, napíšte do komentárov.

Tento záznam bol zaslaný v označenom , autorom.

Navigácia príspevku

: 29 komentárov

1. cl-service.com

   CSR si klient vygeneruje sám pri objednávke certifikátu, kde sa klient rozhodne aj pre uloženie privátneho kľúča, na vydanie certifikátu nepotrebujeme privátny kľúč a klient nám ho nijakým spôsobom neprenáša. Prirodzene, ak sa to stane na bežnom virtuálnom, potom správcovia s root prístup server má prístup ku kľúčom, ktoré sú tam uložené.

2. Priaznivec.

   Téma prsia nie je zverejnená, pretože opísaná technológia PKI nemá nič spoločné s názvom témy. Keby len z nejakého dôvodu, dal by som odkazy na rfc.
   P.S. Bol tam vtip o psovi a blche.

3. Priaznivec.

   Nikdy som ťa nechcel uraziť. Hľadal som informácie o rozdiele medzi SSl a TLS v praxi a váš odkaz v Google bol prvý. Zaujal ma názov témy. Všetko je skvelé, len tak ďalej!

4. DrAibolit

   Ďakujeme za rozumné vysvetlenia týkajúce sa digitálnej certifikácie. Som v tom nový =)
   Dúfam, že môžete objasniť ďalšiu otázku.
   Keďže téma podvodov je v internetovom priemysle veľmi rozvinutá, rád by som sa naučil, ako sám určiť „vši“ stránok, ktoré navštevujem (najmä tam, kde sú hotovosť a platby, investície atď.) a určiť, na základe toho miera mojej dôvery (často sa musím registrovať, zanechávať osobné údaje, nakupovať, transakcie, investície). Ak správne chápem, že prítomnosť tohto osvedčenia vám umožňuje vykonať takéto hodnotenie. No na druhej strane zohnať ho nie je problém a dokonca zadarmo.
   Ako alebo pomocou ktorého programu môžete určiť prítomnosť digitálneho certifikátu pre konkrétnu stránku? a najlepšie jeho kategóriu, ktorá sa prideľuje pri vydaní SSL DV osobitným orgánom (vydanie certifikátu sa vykonáva s overením len domény), SSL OV (s overením organizácie), EV (s rozšíreným overením právnickej osoby). S najväčšou pravdepodobnosťou podvodné stránky posledná možnosť certifikácia sa nepoužije.
   Bol by som rád, keby ste mi povedali viac spôsobov, ako určiť spoľahlivosť stránok))

   1. mnorin Autor príspevku

      Niektorí konkrétny program na tieto účely som sa ešte nestretol, ale môžem dať pár tipov na túto záležitosť.
      Môžete použiť napríklad Chromium resp Google Chrome. Vezmime si napríklad stránku https://www.thawte.com/ – spoločnosť, ktorá sa skutočne zaoberá digitálnymi certifikátmi.
      AT adresný riadok bude napísaný názov spoločnosti a zelený visiaci zámok. To znamená, že organizácia je overená, je to minimálne SSL OV.
      Ak kliknete na zámok a v rozbaľovacom poli „Podrobnosti“ a potom „Zobraziť certifikát“, uvidíte informácie o certifikáte. V prípade Thawte je certifikát podpísaný nasledujúcim certifikátom: „thawte Extended Validation SHA256 SSL CA“ a certifikát pre click.alfabank.ru je tiež podpísaný Thawte, ale s iným certifikátom. Ide o "thawte EV SSL CA - G3", teda prešli aj rozšírenou validáciou.
      Niečo také.

5. Ruslan

   Sekcia "Princíp fungovania SSL a TLS", "Klient generuje náhodnú digitálnu sekvenciu".

   Bol som si istý, že klient generuje súkromnú reláciu a teda verejný kľúč (ktorý ste zjavne nazvali „digitálna sekvencia“). verejný kľúč sa prenesie na server a server zašifruje pakety smerom ku klientovi verejným kľúčom relácie klienta.

   Prosím o vysvetlenie, prosím o objasnenie.

6. Nováčik

   Článok je veľmi užitočný! Sú tam aj praktické príklady =) Len som nepochopil jednu vec - aký je rozdiel medzi koreňovým certifikátom a serverovým? alebo je to to isté?

7. Vitaly

   Ahoj.
   Hoster ponúkal službu - SSL pre virtuálne servery. Využili. Ukázalo sa, že pre tretiu úroveň, t.j. Certifikát http://www.site.ru je neplatný, iba pre site.ru. Návštevníci sú navyše tvrdohlavo hodení na protokol https, nezáleží na tom, či idú na stránku site.ru alebo http://www.site.ru. Samozrejme, v druhom prípade prehliadač začne srdcervúco nadávať a návštevník sa na stránku nikdy nedostane.
   A pre tých, ktorí sa na stránku dostali, stránka začala vyzerať krivo, časť menu zmizla, niektoré obrázky vo výsledkoch vyhľadávania už niektoré komponenty nezobrazovali.

Nastavenie pracovnej stanice E-budget prebieha v niekoľkých etapách, nie sú zložité, ale vyžadujú si starostlivosť. Všetko robíme podľa návodu na nastavenie elektronického rozpočtu. Krátke a k veci...

Elektronické nastavenie rozpočtového pracoviska

E-rozpočet koreňového certifikátu

Vytvorte priečinok kľúčov v priečinku Moje dokumenty na ukladanie prevzatých certifikátov do tohto priečinka:

Na stránke http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ v menu GIS -> Certifikačná autorita -> Koreňové certifikáty si musíte stiahnuť " Koreňový certifikát (kvalifikovaný)“ (pozri obrázok), alebo ak ste dostali flash disk s certifikátmi, skopírujte ich z priečinka Certifikáty.

Certifikát Continent TLS VPN

Druhý certifikát, ktorý si musíte stiahnuť, je certifikát TLS VPN Continent, ale na novej stránke roskazna som ho nenašiel, tak som dal odkaz z mojej stránky. Stiahnite si certifikát VPN Continent TLS do priečinka kľúčov, budeme ho potrebovať neskôr, keď nakonfigurujeme klientsky program Continent TLS.

Nainštalujte si stiahnutý koreňový certifikát (kvalifikovaný), aby ste mohli pracovať s elektronickým rozpočtom.

V ponuke ŠTART -> Všetky programy -> CRYPTO-PRO -> spustite program Certifikáty.

Prejdite na položku Certifikáty, ako je znázornené na obrázku nižšie:

Prejdite do ponuky Akcia - Všetky úlohy - Import, zobrazí sa okno Sprievodca importom certifikátu - Ďalej - Prehľad - Vyhľadajte stiahnuté Koreňový certifikát (kvalifikovaný) v našom prípade sa nachádza v priečinku Moje dokumenty v priečinku kľúčov

Ak je všetko vykonané správne, v priečinku certifikátov sa zobrazí koreňový certifikát CA federálnej štátnej pokladnice.

Inštalácia "Continent TLS Client" pre prácu s elektronickým rozpočtom

Continent_tls_client_1.0.920.0 možno nájsť na internete.

Rozbaľte stiahnutý archív, prejdite do priečinka CD a spustite ContinentTLSSetup.exe

V položke kliknite na Continent TLS Client KC2 a spustite inštaláciu.

Podmienky akceptujeme

V cieľovom priečinku ponechajte štandardne

V okne spustenia konfigurátora začiarknite políčko Po dokončení inštalácie spustiť konfigurátor.

Počas inštalácie sa zobrazí okno s nastaveniami služby:

Adresa - uveďte lk.budget.gov.ru

Certifikát – vyberte v priečinku kľúčov druhý predtým stiahnutý certifikát.

Kliknite na OK a dokončite inštaláciu, Hotovo.

Požiadal o reštart operačný systém odpovedáme nie.

Inštalácia nástroja elektronického podpisu "Jinn-Client"

Program Jinn-Client si môžete stiahnuť na internete.

Prejdite do priečinka Jinn-client - CD, spustite setup.exe

Kliknite zo zoznamu Jinn-Client, spustí sa inštalácia programu

Ignorujte chybu, kliknite na Pokračovať, Ďalej, prijmite zmluvu a kliknite na Ďalej.

Zadajte vydaný licenčný kľúč

Nastavte predvolený program, kliknite na tlačidlo Ďalej

Dokončíme inštaláciu, odpovieme na otázku o reštartovaní operačného systému č

Inštalácia modulu pre prácu s elektronickým podpisom "Cubesign"

Ak potrebujete archív s programom, napíšte do komentárov.

Spustite inštalačný súbor cubesign.msi

Nastavenie prehliadača Mozilla Firefox na prácu s elektronickým rozpočtom.

1. Otvorte ponuku „Nástroje“ a vyberte „Nastavenia“.

2. Prejdite do časti „Rozšírené“ na karte „Sieť“.

3. V časti „Nastavenia pripojenia“ kliknite na tlačidlo „Konfigurovať...“.

4. V okne parametrov pripojenia, ktoré sa otvorí, nastavte hodnotu

"Manuálna konfigurácia služby proxy."

5. Nastavte hodnoty polí HTTP proxy: 127.0.0.1; Port: 8080.

6. Stlačte tlačidlo OK.

7. V okne „Nastavenia“ kliknite na tlačidlo „OK“.

Prihláste sa do osobného účtu elektronického rozpočtu

Otvorí sa okno s výberom certifikátu na zadanie osobného účtu Elektronického rozpočtu.

Vyberte certifikát na prihlásenie Osobná oblasť E-rozpočet, ak existuje heslo pre súkromnú časť certifikátu, napíšte a kliknite na OK, po čom sa otvorí Osobný účet E-rozpočtu.