Amaliy ish Mavzu: Openssl protokolida X509 sertifikatini hosil qilish
- Country Name (2 letter code) [AU]
Download 58.95 Kb.
|
1 2
Bog'liqamaliy ish
- Bu sahifa navigatsiya:
- Organizational Unit Name (e.g. section)
- Nazorat savollari
- Country Name (2 letter code) [AU] - sertifikat tayyorlayotgan tashkilot ro'yxatdan o'tgan mamlakat (O’zbekiston- UZ)
- State or Province Name (full name) [Some-State] - viloyat, tashkilotni ro'yxatdan o'tkazish hududi (Bukhara) - Locality Name (e.g. city) [] – Tashkilot ro’yxatga olingan shahar (Shafirkan) - Organization Name (e.g. company) – Dehqonobod - Organizational Unit Name (e.g. section) – Mahalla - Common Name (e.g. server FQDN or YOUR name) [] – Behro’z Qurbonov - Email Address []: b10041998@gmail.com 365 kunlik muddatga X509 sertifikatni (undan ko’p yoki kam bo’lishi ham mumkin) yaratish. openssl x509 -req -days 365 -in c:\certificate\csr.csr -signkey c:\certificate\private.key -out c:\certificate\certificate.pem Natijada, autentifikatsiya qilingan sertifikat holatida sertifikat organi sertifikati bo'lgan c: \ certificate katalogida maxsus kalit (private.key) va sertifikat (certificate.pem) yaratiladi. X 509 STANDARTI QAYSI TEXNOLOGIYAGA TEGISHLI? PKI STANDARTLARI VA TEXNIK XUSUSIYATLARI Kriptografik tizimlarning ikki turi mavjud: maxfiy kalitlar tizimi (nosimmetrik) va ochiq kalitlar tizimi (assimetrik). Qisqacha aytganda, lekin tushunarli bo'lsa ham, nosimmetrik tizimlar shifrlash va shifrni ochish uchun bir xil kalitdan foydalanadi, assimetrik tizimlar boshqacha. Nosimmetrik tizimlarda maxfiy kalitni xavfsiz tarzda tarqatish muammosi bor: ma'lumot almashayotgan har ikki tomon ham bu kalitni bilishi kerak, lekin boshqa hech kimda bu kalit bo'lmasligi kerak. Asimmetrik tizimlar shunday tuzilganki, ular ikkita raqamga ega: A foydalanuvchiga mo'ljallangan xabarni shifrlash uchun ishlatiladigan "A foydalanuvchining ochiq kaliti", "A foydalanuvchining shaxsiy kaliti", bu foydalanuvchi unga yuborilgan xabarlarni shifrini ochishda ishlatiladi. Bu raqamlar kalit juftligini hosil qiladi va quyidagi yaxshi xususiyatlarga ega: bu raqamlarning etarlicha katta uzunligi bilan, faqat ochiq kalitni bilish, yopiq kalitning qiymatini tiklash juda qiyin. Oxirgi holat juda muhim: foydalanuvchi o'z ochiq kalitini jamoat joylarida e'lon qilishi mumkin, shunda har kim undan foydalanishi va xabarni A. uchun shifrlashi mumkin. Shuning uchun maxfiy kalitni tarqatish muammosi yo'qoladi. Foydalanuvchi shaxsiy kalitini begonalardan sir saqlashi kerak: u faqat foydalanuvchidan unga yuborilgan xabarlarni parolini hal qila olishini xohlaydi. Bundan tashqari, yopiq kalitning maxfiyligini ta'minlash talabi raqamli imzo tushunchasi bilan bog'liq bo'lib, u quyida muhokama qilinadi. Oldinga qarab, biz aytamizki, maxfiy kalitning maxfiyligi ham muhim, chunki faqat foydalanuvchi shaxsiy kalitning qiymatiga bog'liq bo'lgan raqamli imzosini yaratishi kerak. Ko'pincha, maxfiy kalit tashuvchida shifrlangan shaklda saqlanadi va maxfiy kalitni bilishni talab qiladigan ba'zi harakatlar davomida shifrdan chiqariladi. Bu shaxsiy kalitni saqlashning ishonchliligini biroz oshiradi, lekin agar shaxsiy kalit ba'zi avtomatik xizmatlarga kerak bo'lsa, noqulaylik tug'diradi: (hech bo'lmaganda) bu xizmat har safar ishga tushganda, siz kalitni parolini ochish uchun parolni kiritishingiz kerak bo'ladi. Kriptografik operatsiyalarni bajarishga qodir, faqat natijaga faqat natija beradigan, lekin maxfiy kalit mazmunini oshkor qilmaydigan smart -kartalar ham mavjud. To'g'ri amalga oshirilgan smart -kartadan shaxsiy kalitni o'g'irlash juda qiyin bo'lishi kerak. Shaxsiy kalit, hatto smart -kartada saqlansa ham, parol bilan himoyalangan bo'lishi mumkin. Agar parol bo'lmasa, qo'lida smart -karta bo'lgan har bir kishi maxfiy kalitni bilishni talab qiladigan amallarni bajarishi mumkin: maxfiy kalitning o'zi sir bo'lib qoladi, lekin har qanday belgilangan amallarni bajarish mumkin bo'ladi. u RAQAMLI IMZO Ochiq kalitlar tizimining yana bir yaxshi xususiyati bor: foydalanuvchi raqamli imzoni yaratishi mumkin, bu raqamli hujjatga yopishtirilganda, hujjatni boshqa birov emas, balki foydalanuvchi imzolaganining kafolati bo'ladi. Sxema kontseptual jihatdan sodda: A foydalanuvchisi shaxsiy kalitini ishlatib, imzolamoqchi bo'lgan ma'lumotlarga ba'zi operatsiyalarni bajaradi va natijani asl ma'lumotlar bilan birga boshqa ob'ektga o'tkazadi. Va aynan shu ob'ekt, faqat A foydalanuvchining ochiq kalitidan foydalanib, elektron raqamli imzoning to'g'riligini osongina tekshirishi mumkin. Yana bir bor ta'kidlaymizki, bu shaxsiy kalit faqat uning egasiga kirish sharti juda muhim rol o'ynaydi: agar u bajarilgan bo'lsa, foydalanuvchi o'z raqamli imzosidan voz kecha olmaydi. Bunga rad qilmaslik deyiladi. Raqamli imzodan foydalanish usullaridan biri bu ob'ektni tasdiqlashdir. Autentifikatsiya - bu ob'ektning "o'ziga xosligini" aniqlash jarayoni. Agar ob'ekt raqamli imzo qo'yishi mumkin bo'lsa, bu imzo tekshirilishi va ob'ekt uning ochiq kaliti bilan bog'lanishi aniq. Bu autentifikatsiya sxemasida mavjud bo'lmagan oxirgi tarkibiy qism - bu ochiq kalitni ob'ektning o'zi bilan bog'lash vaqti: biz ochiq kalit kimga tegishli ekanligini aniq bilishimiz kerak. SERTIFIKATLASHTIRISH ORGANI Ochiq kalit va ob'ektni bog'lash muammosi turli yo'llar bilan hal qilinishi mumkin. Oddiy usullardan biri mos keladigan ochiq kalitlar va ob'ektlarning "nomlari" ro'yxatini tuzishdir. Ism har qanday identifikator bo'lishi mumkin, masalan, mashinaning domen nomi, shaxsning to'liq ismi, familiyasi va otasining ismi va boshqalar; Nomlarning o'ziga xosligi muammosi, albatta, paydo bo'lishi kerak bo'lgan alohida qiyinchilik bo'lib, odatda ma'muriy usullar bilan hal qilinadi, masalan, ierarxik nomlar tizimi va nomlar ziddiyatlarini bitta kichik nomlar ichida hal qilish tizimi. Bu masala endi bu erda yoritilmaydi. Ammo yozishmalar ro'yxatiga asoslangan yondashuv juda zaif miqyosga ega, chunki bu ro'yxatlar butun dunyo bo'ylab (aniqrog'i, bu ro'yxatlar qo'llaniladigan dunyoning bir qismida) sinxronlashtirilishi kerak. Shuning uchun X.509 sertifikati va sertifikatlashtirish organi tushunchalari kiritildi. X.509 sertifikati (bundan buyon matnda oddiy sertifikat) - bu foydalanuvchining ochiq kaliti, foydalanuvchi ma'lumotlari, Distungiushed Name (DN) deb nomlangan sertifikat nomi va bu ma'lumotlarning barchasini bog'laydigan sertifikatlashtirish organining raqamli imzosi. bir-biri. Ya'ni, agar identifikator sifatida uning sertifikatining taniqli nomi ishlatilsa, autentifikatsiya jarayonining zarur tarkibiy qismi bo'lib xizmat qiladigan ochiq kalit va foydalanuvchining DN -ni bog'lash mumkin bo'ladi. Aytgancha, sertifikatning amal qilish muddati bor, bu sertifikatlashtirish organi tomonidan yaratilgan muvofiqlik muddatini cheklaydi. Tabiiyki, muammo boshqa joyga ko'chiriladi - o'yinlarning katta ro'yxatini tuzish o'rniga, endi sertifikatlashtirish organlarining ochiq kalitlari ro'yxatini ancha kichikroq saqlashga to'g'ri keladi. Bunday holda, sertifikatlashtirish organining kalitiga etarlicha ishoniladi: sertifikatlashtirish organi minglab foydalanuvchi nomlarining tegishli ochiq kalitlar bilan bog'lanishini tasdiqlaydi. NEGA AUTENTIFIKATSIYA? FAQAT SHIFRLASH ETARLI EMASMI? Xo'sh, birinchi navbatda, autentifikatsiya o'z -o'zidan qimmatlidir: kompyuter tizimlari o'z foydalanuvchilarining autentifikatsiyasini o'tkazishi kerak, shundan so'ng ularning turli manbalarga kirishiga ruxsat berish to'g'risida qaror qabul qilinadi. Ammo, agar siz foydalanuvchining ochiq kalitini olsangiz va ularga shifrlangan xabar yubormoqchi bo'lsangiz, ehtimol siz xabarni to'g'ri ochiq kalit bilan shifrlaganingizga ishonch hosil qilishni xohlaysiz, ayniqsa, agar siz bu kalitni umumiy manbalardan olgan bo'lsangiz. Axir, tajovuzkor ochiq kalitni qo'yishi mumkin, lekin shu bilan birga kalit sizning qabul qiluvchingizga tegishli ekanligini bildiradi. Agar siz ochiq kalitni tasdiqlamasangiz, tajovuzkor sizning shifrlangan xabaringizni eshitib, uni hech qanday muammosiz hal qila oladi. Ya'ni, sertifikatlashtirish organining kiritilishi bizga ushbu sertifikatga ega bo'lgan ob'ektni autentifikatsiya qilish imkonini beradi. Tabiiyki, bundan oldin biz sertifikatlashtirish organining ochiq kalitiga ishonishimiz kerak. Bu ikkita narsani anglatadi: umuman sertifikatlashtirish organiga ishonish, ya'ni uning obro'siga ishonish, Siz olgan ochiq kalit haqiqatan ham ushbu sertifikatlashtirish organining ochiq kaliti ekanligiga ishonch. Oxirgi nuqtadan ko'rinib turibdiki, sertifikatlashtirish organlarining ochiq kalitlarini autentifikatsiya qilish muammosi yana paydo bo'ladi. Ammo bu markazlar foydalanuvchilarga qaraganda ancha kam bo'lgani uchun siz ma'muriy choralarga murojaat qilishingiz mumkin: sertifikatlashtirish markaziga qo'ng'iroq qiling va ochiq kalit tarkibini telefon orqali tekshiring, sertifikatlashtirish markaziga keling va ochiq kalitni biron bir vositadan oling, ba'zi dasturiy paketlarda mavjud bo'lgan sertifikatlashtirish organlarining ochiq kalitlariga ishoning va yuqorida aytib o'tilganlardan ham noqulay bo'lgan boshqa ko'plab usullar;)) PROKSI SERTIFIKATLARI Ajoyib: bizda hozir ishonchli CAlar, ularning ochiq kalitlari, foydalanuvchi sertifikatlari va shaxsiy kalitlari bor. Biz xabarlarni shifrlashimiz va raqamli imzo yaratishimiz mumkin, bu ishlab chiqarish faktidan voz kechish qiyin. Yana nima? Ko'p komponentli tizimlarda "Yagona kirish" deb nomlangan narsa juda qulay-qo'lda faqat bir marta autentifikatsiya qilish imkoniyati va boshqa barcha autentifikatsiya operatsiyalari avtomatik tarzda amalga oshiriladi. Bu odatda sizning haqiqiyligingizni tasdiqlaydigan tizimlarda to'g'ri keladi, keyin tizim sizning nomingizdan harakatlar qila boshlaydi, masalan, ma'lumotlarni olish, vazifalarni ishga tushirish, ularning natijalarini e'lon qilish va hk. Bu delegatsiya deb ataladi. Proksi -sertifikatlarga asoslangan delegatsiya quyidagi funktsiyalarni bajaradi: foydalanuvchi va keyinchalik foydalanuvchi nomidan ishlaydigan xizmat o'zaro autentifikatsiyasidan so'ng, xizmat yangi kalit juftini yaratadi va ochiq kalitni foydalanuvchiga imzolash uchun yuboradi. Foydalanuvchi ushbu ochiq kalitni sertifikatlashtirish organi imzolaganidek imzolaydi, lekin foydalanuvchining shaxsiy kalitidan foydalanadi. Olingan sertifikat proksi sertifikati deb ataladi. Shundan so'ng, foydalanuvchi nomidan ish olib boradigan xizmat o'zining (yangi yaratilgan) yopiq kaliti va foydalanuvchi tomonidan imzolangan sertifikat yordamida autentifikatsiya qilishi mumkin. Autentifikatsiya jarayoni shunga o'xshash tarzda o'tadi. Xizmat tomonidan yaratilgan imzo tasdiqlanadi. Bu imzo bilan birga yuborilgan ochiq kalitdan foydalanadi. Imzoni tekshirish uchun ishlatiladigan ochiq kalit tasdiqlangan. Birinchidan, foydalanuvchining shaxsiy kaliti yordamida yaratilgan proksi -sertifikatdagi imzo tekshiriladi. Bu foydalanuvchining ochiq kaliti yordamida amalga oshiriladi. Foydalanuvchining ochiq kaliti xuddi shu tarzda tasdiqlanadi, lekin bu erda sertifikatlashtirish organi haqidagi ma'lumotlar allaqachon ishlatilgan. Natijada, ishonch zanjiri deb ataladigan narsa quriladi, u elektron raqamli imzo bilan boshlanadi va sertifikatlashtirish organining raqamli imzosi bilan tugaydi. Xuddi shu mexanizm yordamida, proksi -sertifikat dastlab berilgan xizmat, zanjir bo'ylab foydalanuvchining vakolatlarini boshqa xizmatga topshirish orqali boshqa proksi -sertifikatga imzo chekishi mumkin. Yagona kirish tizimi shu tarzda amalga oshiriladi. X.509 uslubi bo'yicha qo'llanma Piter Gutmann tomonidan yozilgan. Texnik tafsilotlar juda ko'p, lekin ba'zilari o'qishga arziydi. X.509 sertifikat formati X.509 - bu juda keng tarqalgan format. Barcha X.509 sertifikatlari ITU-T X.509 xalqaro standartiga mos keladi; Shunday qilib (nazariy jihatdan) bitta dastur uchun ishlab chiqarilgan X.509 sertifikati ushbu standartni qo'llab -quvvatlaydigan boshqa dasturlarda ishlatilishi mumkin. Biroq, amalda, vaziyat har xil kompaniyalar X.509 uchun o'z kengaytmalarini yaratishi bilan yuzaga kelgan, hammasi ham bir -biriga mos kelmaydi. Har qanday sertifikat kimnidir ochiq kalit va kalit egasini aniqlovchi ma'lumot o'rtasidagi munosabatni tasdiqlashni talab qiladi. PGP sertifikati bilan ishlashda, har bir kishi o'z ichiga olgan ma'lumotlarning tashuvchisi sifatida harakat qilishi mumkin (agar bu imkoniyat xavfsizlik siyosati bilan ataylab cheklanmagan bo'lsa). Ammo X.509 sertifikatlariga guvoh faqat sertifikatlashtirish idorasi yoki u tomonidan maxsus vakolat berilgan shaxs bo'lishi mumkin. (E'tibor bering, PGP sertifikatlari sertifikatlarni autentifikatsiya qilish uchun CAdan foydalanadigan ierarxik ishonchli tuzilmani to'liq qo'llab -quvvatlaydi.) X.509 sertifikati - bu foydalanuvchi yoki qurilma va unga tegishli ochiq kalit haqidagi ma'lumotlarni o'z ichiga olgan standart maydonlar to'plami. X.509 standarti sertifikatga qanday ma'lumotlar kiritilganligini va u qanday kodlanganligini aniqlaydi (ma'lumotlar formati). X.509 sertifikati quyidagi ma'lumotlarni o'z ichiga oladi: X.509 versiyasi - bu sertifikat X.509 standartining qaysi versiyasida qurilganligini ko'rsatadi, bu unda qanday ma'lumotlar bo'lishi mumkinligini aniqlaydi. Sertifikat egasining ochiq kaliti - bu ishlatilgan algoritm identifikatori (bu kalit tegishli bo'lgan kriptosistemani ko'rsatuvchi) va kalit parametrlari haqidagi boshqa ma'lumotlar bilan birga ochiq kalit. Sertifikatning seriya raqami - sertifikatni bergan tashkilot uni ushbu tashkilot tomonidan berilgan boshqa sertifikatlar qatorida identifikatsiya qilish uchun unga yagona seriya (tartib) raqamini berishga majburdir. Bu ma'lumotlar bir qator holatlarda qo'llaniladi; Masalan, sertifikat bekor qilinganda uning seriya raqami qo'yiladi bekor qilingan sertifikatlar ro'yxati(Sertifikatlarni bekor qilish ro'yxati, CRL). Kalit egasining yagona identifikatori (yoki DN, taniqli ism- yagona ism) - bu nom butun Internetda yagona va noyob bo'lishi kerak. DN bir nechta kichik bandlardan iborat va shunga o'xshash bo'lishi mumkin: CN = Bob Devis, EMAIL=bdavis@pgp.com, OU = PGP muhandisligi, O = PGP korporatsiyasi, C = AQSh (Bu mavzu bo'yicha do'stona ism, elektron pochta, tashkiliy birlik, tashkilot va mamlakat degan ma'noni anglatadi.) Guvohnomaning amal qilish muddati - sertifikatning amal qilish muddati boshlangan sana va uning amal qilish muddati; sertifikat qachon haqiqiy emasligini ko'rsatadi. Nashriyotning yagona nomi - sertifikatni imzolagan tashkilotning yagona nomi. Odatda, bu sertifikatlashtirish idorasining nomi. Sertifikatdan foydalanish, uni imzolagan tashkilotga ishonishini bildiradi. (Ildiz sertifikatlari bo'lgan hollarda, emitent tashkilot - xuddi shu CA - imzolaydi.) Nashriyotning ERI - bu sertifikatni bergan tashkilotning yopiq kaliti tomonidan yaratilgan elektron imzo. Imzo algoritmi identifikatori - CA tomonidan sertifikatga imzo chekish algoritmini ko'rsatadi. X.509 va PGP sertifikatlari formatlari o'rtasida bir qator tub farqlar mavjud: siz o'zingizning shaxsiy PGP sertifikatingizni yaratishingiz mumkin; siz X.509 sertifikatini sertifikatlashtirish markazidan so'rashingiz va olishingiz kerak; X.509 sertifikatlarida sertifikat egasining faqat bitta ismi bor; X.509 sertifikatlarida faqat bitta raqamli imzo bor, bu sertifikatning haqiqiyligini tasdiqlaydi. X.509 sertifikatini olish uchun siz CAdan uni berishini so'rashingiz kerak. Siz tizimni ochiq kalit bilan ta'minlaysiz va shu bilan sizda shaxsiy kalitingiz borligini isbotlaysiz. Keyin siz elektron shaklda ushbu ma'lumotga imzo chekasiz va barcha paketni - sertifikat so'rovini - Sertifikatlashtirish idorasiga topshirasiz. CA taqdim etilgan ma'lumotlarning haqiqiyligini tekshirishning ma'lum jarayonini amalga oshiradi va agar hamma narsa birlashsa, sertifikat yaratadi, imzolaydi va sizga qaytaradi. Siz X.509 sertifikatini oddiy qog'oz sertifikati yoki ochiq kalit yopishtirilgan sertifikat sifatida tasavvur qilishingiz mumkin. Unda sizning ismingiz, shuningdek siz haqingizda ba'zi ma'lumotlar va sertifikat beruvchining imzosi bor. Ehtimol, X.509 sertifikatlarining eng katta foydasi bu ularni veb -brauzerlarda ishlatishdir. Unix dasturlash san'ati kitobidan muallif Raymond Erik Stiven Windows 2000 / XP uchun Windows Script Host kitobidan muallif Popov Andrey Vladimirovich Raqamli sertifikatni olish usullari Raqamli sertifikatlarning uch turi mavjud: biri ishlab chiqaruvchi tomonidan yaratilgan, tashkilot tomonidan ishlab chiqaruvchiga berilgan va sertifikatlashtirish organidan olingan. Ishlab chiqaruvchi tomonidan yaratilgan raqamli sertifikat odatda o'sha foydalanuvchilar tomonidan ishlatiladi. Umumiy kalit infratuzilmalari kitobidan muallif Polyanskaya Olga Yurievna O'zingizning sertifikatingizni yaratish O'zingizning raqamli sertifikatingizni yaratishning eng tezkor usuli - bu Microsoft Office 2000 / XP bilan ta'minlangan SelfCert.exe dasturidan foydalanish. Ushbu yordam dasturini ishga tushirib, biz yaratilgan nomni ko'rsatishga imkon beradigan dialog oynasini olamiz Yandex kitobidan hamma uchun muallif Abramzon M.G. Sertifikat qo'shimchalari Sertifikat qo'shimchasida ham muhim ma'lumotlar mavjud. Ular sizga sertifikatga asosiy tarkibda etishmayotgan ma'lumotlarni kiritish, sertifikatning haqiqiyligini va sertifikat egasining bir yoki bir nechta huquqlarga ega ekanligini aniqlash imkonini beradi. "Kriptografiyaga kirish" kitobidan muallif Zimmermann Filipp Onlayn sertifikat holati protokoli OCSP onlayn sertifikat holati protokoli-OCSP javob beruvchisi deb nomlangan ishonchli tashkilotdan bekor qilish ma'lumotlarini olish uchun nisbatan oddiy javob berish protokoli. OCSP so'rovi versiya raqamidan iborat UNIX Operatsion tizimi kitobidan muallif Robachevskiy Andrey M. Asosiy sertifikatlar nazorati barcha sertifikatlar uchun ketma -ketlikda amalga oshiriladi va bir qator tekshiruvlardan iborat. Davlat o'zgaruvchilarining har to'rt guruhidan foydalangan holda testlar o'tkaziladi Yozuvchining kitobidan Sertifikatning amal qilish muddatini tekshirish Agar tekshirish paytida joriy sana va vaqt amal qilish muddati ichida bo'lsa, bu tekshiruv muvaffaqiyatli bo'ladi. Yozuvchining kitobidan Sertifikat holatini tekshirish Bu chek, agar emitent sertifikatni bekor qilmagan bo'lsa, muvaffaqiyatli bo'ladi. CAC ro'yxatlari sertifikat holatini tekshirishning asosiy vositasi hisoblanadi, lekin boshqa muqobil vositalardan foydalanish mumkin. Yozuvchining kitobidan Sertifikat imzosini tekshirish Sertifikat imzosi sertifikat beruvchining ochiq kaliti yordamida, to'g'ri parametrlar va raqamli algoritmdan foydalanib, holat o'zgaruvchilarining birinchi guruhi asosida tekshirilishi mumkin. Yozuvchining kitobidan Keyingi sertifikatni tayyorlash Birinchidan, CA sertifikatini oddiy tekshirish amalga oshiriladi. Shtat o'zgaruvchilari sertifikat kengaytmasi maydonlarining qiymatlarini aks ettirish uchun yangilanadi. Bir nechta qo'shimchalar paydo bo'ladi Yozuvchining kitobidan Sertifikatni qayta ishlashni yakunlash Yakuniy sertifikatni qayta ishlash tugallangach, chiqish qiymatlari holat o'zgaruvchilarining qiymatlari asosida o'rnatiladi, elektron raqamli imzoni tekshirish holatining o'zgaruvchilari. Axborot maydonida Yozuvchining kitobidan 3.3.1. RSS formati Siz veb -sayt yangiliklarini turli yo'llar bilan o'qishingiz mumkin. Vaqti -vaqti bilan saytga tashrif buyurish va yangi xabarlarni ko'rish eng oson yo'li. Siz yangiliklar kanaliga ulanadigan va o'zi sarlavhalar yoki yangiliklar izohlarini oladigan dasturni o'rnatishingiz mumkin Yozuvchining kitobidan X.509 sertifikat formati X.509 - bu juda keng tarqalgan format. Barcha X.509 sertifikatlari ITU-T X.509 xalqaro standartiga mos keladi; Shunday qilib (nazariy jihatdan) bitta dastur uchun yaratilgan X.509 sertifikati boshqa dasturlarda ishlatilishi mumkin, Yozuvchining kitobidan Sertifikatni bekor qilish Sertifikat faqat amalda bo'lgan taqdirdagina ishlatilishi mumkin. Xavfsiz va abadiy ishonchli bo'lish uchun sertifikatga tayanish xavfli. Ko'pgina tashkilotlarda va barcha PKIlarda sertifikat cheklangan "umr ko'rish" muddatiga ega. Bu qaysi davrni qisqartiradi Yozuvchining kitobidan Sertifikatni bekor qilish to'g'risidagi bildirishnoma Sertifikat bekor qilingandan so'ng, barcha potentsial muxbirlarga uning haqiqiy emasligi to'g'risida xabar berish zarur. PGP muhitida muloqot qilishning eng oddiy usuli - bu bekor qilingan sertifikatni joylashtirish Yozuvchining kitobidan ELF formati ELF formatida bir necha turdagi fayllar mavjud bo'lib, ularni biz hozirgacha boshqacha chaqirganmiz, masalan, bajariladigan fayl yoki ob'ektli fayl. Biroq, ELF standarti quyidagi turlarni ajratadi: 1. Ko'chiriladigan fayl bo'lishi mumkin bo'lgan ko'rsatmalar va ma'lumotlarni saqlaydi X.509 sertifikat formati X.509 - bu juda keng tarqalgan format. Barcha X.509 sertifikatlari ITU-T X.509 xalqaro standartiga mos keladi; Shunday qilib (nazariy jihatdan) bitta dastur uchun ishlab chiqarilgan X.509 sertifikati ushbu standartni qo'llab -quvvatlaydigan boshqa dasturlarda ishlatilishi mumkin. Biroq, amalda, vaziyat har xil kompaniyalar X.509 uchun o'z kengaytmalarini yaratishi bilan yuzaga kelgan, hammasi ham bir -biriga mos kelmaydi. Har qanday sertifikat kimnidir ochiq kalit va kalit egasini aniqlovchi ma'lumot o'rtasidagi munosabatni tasdiqlashni talab qiladi. PGP sertifikati bilan ishlashda, har bir kishi o'z ichiga olgan ma'lumotlarning tashuvchisi sifatida harakat qilishi mumkin (agar bu imkoniyat xavfsizlik siyosati bilan ataylab cheklanmagan bo'lsa). Ammo X.509 sertifikatlariga guvoh faqat sertifikatlashtirish idorasi yoki u tomonidan maxsus vakolat berilgan shaxs bo'lishi mumkin. (E'tibor bering, PGP sertifikatlari sertifikatlarni autentifikatsiya qilish uchun CAdan foydalanadigan ierarxik ishonchli tuzilmani to'liq qo'llab -quvvatlaydi.) X.509 sertifikati - bu foydalanuvchi yoki qurilma va unga tegishli ochiq kalit haqidagi ma'lumotlarni o'z ichiga olgan standart maydonlar to'plami. X.509 standarti sertifikatga qanday ma'lumotlar kiritilganligini va u qanday kodlanganligini aniqlaydi (ma'lumotlar formati). X.509 sertifikati quyidagi ma'lumotlarni o'z ichiga oladi: X.509 versiyasi - bu sertifikat X.509 standartining qaysi versiyasida qurilganligini ko'rsatadi, bu unda qanday ma'lumotlar bo'lishi mumkinligini aniqlaydi. Sertifikat egasining ochiq kaliti - bu ishlatilgan algoritm identifikatori (bu kalit tegishli bo'lgan kriptosistemani ko'rsatuvchi) va kalit parametrlari haqidagi boshqa ma'lumotlar bilan birga ochiq kalit. Sertifikatning seriya raqami - sertifikatni bergan tashkilot uni ushbu tashkilot tomonidan berilgan boshqa sertifikatlar qatorida identifikatsiya qilish uchun unga yagona seriya (tartib) raqamini berishga majburdir. Bu ma'lumotlar bir qator holatlarda qo'llaniladi; Masalan, sertifikat bekor qilinganda uning seriya raqami qo'yiladi bekor qilingan sertifikatlar ro'yxati(Sertifikatlarni bekor qilish ro'yxati, CRL). Kalit egasining yagona identifikatori (yoki DN, taniqli ism- yagona ism) - bu nom butun Internetda yagona va noyob bo'lishi kerak. DN bir nechta kichik bandlardan iborat va shunga o'xshash bo'lishi mumkin: CN = Bob Devis, EMAIL=bdavis@pgp.com, OU = PGP muhandisligi, O = PGP korporatsiyasi, C = AQSh (Bu mavzu bo'yicha do'stona ism, elektron pochta, tashkiliy birlik, tashkilot va mamlakat degan ma'noni anglatadi.) Guvohnomaning amal qilish muddati - sertifikatning amal qilish muddati boshlangan sana va uning amal qilish muddati; sertifikat qachon haqiqiy emasligini ko'rsatadi. Nashriyotning yagona nomi - sertifikatni imzolagan tashkilotning yagona nomi. Odatda, bu sertifikatlashtirish idorasining nomi. Sertifikatdan foydalanish, uni imzolagan tashkilotga ishonishini bildiradi. (Ildiz sertifikatlari bo'lgan hollarda, emitent tashkilot - xuddi shu CA - imzolaydi.) Nashriyotning ERI - bu sertifikatni bergan tashkilotning yopiq kaliti tomonidan yaratilgan elektron imzo. Imzo algoritmi identifikatori - CA tomonidan sertifikatga imzo chekish algoritmini ko'rsatadi. X.509 va PGP sertifikatlari formatlari o'rtasida bir qator tub farqlar mavjud: siz o'zingizning shaxsiy PGP sertifikatingizni yaratishingiz mumkin; siz X.509 sertifikatini sertifikatlashtirish markazidan so'rashingiz va olishingiz kerak; X.509 sertifikatlarida sertifikat egasining faqat bitta ismi bor; X.509 sertifikatlarida faqat bitta raqamli imzo bor, bu sertifikatning haqiqiyligini tasdiqlaydi. X.509 sertifikatini olish uchun siz CAdan uni berishini so'rashingiz kerak. Siz tizimni ochiq kalit bilan ta'minlaysiz va shu bilan sizda shaxsiy kalitingiz borligini isbotlaysiz. Keyin siz elektron shaklda ushbu ma'lumotga imzo chekasiz va barcha paketni - sertifikat so'rovini - Sertifikatlashtirish idorasiga topshirasiz. CA taqdim etilgan ma'lumotlarning haqiqiyligini tekshirishning ma'lum jarayonini amalga oshiradi va agar hamma narsa birlashsa, sertifikat yaratadi, imzolaydi va sizga qaytaradi. OS: Linux Debian / Ubuntu. Ilova: OpenSSL, Nginx, Apache2. Bu erda SSL / TLS sertifikatini sotib olishga tayyorgarlik ko'rish, uning to'g'riligini tekshirish va uni veb -xizmatida ishlatish uchun ba'zi tushuntirishlar bilan kengaytirilgan oddiy cheat varaq. Biz shaxsiy va ochiq kalitlarni yaratamiz. Sertifikatning tarkibiy qismlari bilan ruxsatsiz shaxslar kira olmaydigan joyda ishlash tavsiya etiladi: $ mkdir -p ./make-cert Birinchidan, kelajakda sertifikatning boshqa barcha komponentlarini yaratishda va uning haqiqiyligini tasdiqlashda foydalaniladigan "maxfiy" (aka "shaxsiy") va "ochiq" (aka "umumiy") RSA shifrlash kalitlarini yaratish kerak. veb -server tomonida: $ CD ./make-cert $ openssl genrsa -des3 -out ./example.net.key 2048 Klaviatura matnli faylida biz ko'radigan ramzlar to'plami, aslida, RSA algoritmiga binoan noyob shifrlangan bloklar majmuasining konteyneridir va bu bloklardan biri - "modul" - bu "ochiq" kalit. sertifikatning barcha komponentlarida ishlatiladigan assimetrik shifrlash zanjiri. Boshqa barcha kontent - "shaxsiy" kalit. Kalit konteyner bloklari tarkibi bilan tanishish uchun uning kodini yanada tuzilgan shaklda kengaytirish mumkin: $ openssl rsa -noout -text -in ./example.net.key (Shaxsiy) shifrlash kaliti ta'rifi bo'yicha SSL sertifikatining eng sirli qismidir, shuning uchun u sukut bo'yicha parol bilan himoyalangan. Generation yordam dasturining iltimosiga binoan kiritilgan parolni eslab qoling, bizga kerak bo'ladi. Shuni ta'kidlash kerakki, amalda, SSL sertifikati faqat bir nechta saytlarni HTTPS-ga o'tkazish uchun ishlatilganda, ko'pchilik parol bilan himoyalangan kalitlar konteynerini bezovta qilmaslikni afzal ko'radi, balki uni boshqa himoyani yaratib, darhol bu himoyadan ozod qiladi. yonida - "parolsiz": $ CD ./make-cert $ openssl rsa -in ./example.net.key -out ./example.net.key.decrypt X.509 sertifikatiga talabnoma (CSR) yarating. O'z -o'zidan, SSL / TLS orqali trafik oqimlarini himoya qilish tizimi odatda ulanishning dastlabki muzokaralari paytida veb -server va mijozning brauzeri tomonidan yaratilgan nosimmetrik seans kalitlarida amalga oshiriladi va buning uchun oldindan o'rnatilgan shifrlash kalitlari talab qilinmaydi (garchi ular muzokaralarni osonlashtirsa ham). protsedura - DH tugmachasi, masalan). Biz bu erda asta -sekin shakllantirayotgan tarkibiy qismlar sertifikati (X.509 standarti) Internet -infratuzilmadagi veb -resursning haqiqiyligini tasdiqlash uchun mo'ljallangan, bu erda an'anaviy ishonchli sertifikatlashtirish organi kafolat beradi. sertifikatda ko'rsatilgan "ochiq" kalitning ulanishi va mana shunday kontentning elektron imzosi orqali resurs tavsifi. Maxsus CSR konteyner (sertifikatga imzo chekish so'rovi) sertifikatlashtirish organiga bizning "ochiq" kalitimizni ("maxfiy" kalitning to'liq tarkibini emas, balki faqat "modul" blokini) o'tkazish uchun mo'ljallangan. haqiqiyligini tasdiqlaymiz. Biz konteynerni "ochiq" kalitning manbai sifatida ko'rsatib, uni yaratamiz: $ CD ./make-cert $ openssl req -new -key ./example.net.key -out ./example.net.csr Jarayonda siz sertifikat so'raladigan manbaning egasi haqidagi ma'lumotlarni ko'rsatishingiz kerak bo'ladi, masalan: "Mamlakat nomi" - ISO -3166 bo'yicha ikki belgili mamlakat kodi (RU - Rossiya uchun); "Shtat yoki viloyat nomi" - viloyat yoki viloyat nomi; "Mahalla nomi" - shahar yoki qishloq nomi; "Tashkilot nomi" - tashkilot nomi; "Tashkiliy birlik nomi" - birlik nomi (ixtiyoriy); "Umumiy ism" - sertifikat so'raladigan manbaning to'liq malakali domen nomi (FQDN); "Elektron pochta manzili" - domen nomi ma'murining elektron pochta manzili (ixtiyoriy); "Qiyinchilik parol" - (ixtiyoriy, to'ldirilmagan); "Ixtiyoriy kompaniya nomi" - kompaniyaning muqobil nomi (ixtiyoriy, to'ldirilmagan). E'tibor bering, agar sertifikatning haqiqiyligi autentifikatsiya qilinayotgan manbaning pastki domenlariga taalluqli bo'lsa, "Umumiy ism" maydonidagi FQDN "*" niqobi bilan to'ldirilishi kerak bo'ladi. ("* .example.net" - masalan). Qiziquvchilar CSR konteyner kodida nima yashiringanligini ko'rishlari mumkin: $ openssl req -noout -text -in ./example.net.csr Biz "example.net.csr" CSR faylini sertifikat sotib oladigan sertifikatlashtirish idorasiga yuboramiz. SSL / TLS sertifikatini sotib olish (X.509). Bu erda sertifikat etkazib beruvchini tanlash, buyurtma berish va to'lov tartib -qoidalari hisobga olinmaydi, bu texnik muammo emas. Muhim jihatlardan biri - bitta domen uchun mo'ljallangan sertifikat va uning kafolatlari bilan keyingi darajadagi barcha pastki domenlarni qamrab oluvchi "joker belgi" o'rtasidagi tanlovni o'tkazib yubormaslik. O'z-o'zidan imzolangan X.509 sertifikatini yaratish (ixtiyoriy). Shu bilan bir qatorda, faqat mahalliy tarmoqda foydalanish uchun, siz "sertifikatlangan" ishonchli sertifikatlashtirish organi o'rniga "shaxsiy" kalitingiz bilan imzolab, kerakli sertifikatni o'zingiz yaratishingiz mumkin. $ CD ./make-cert $ openssl x509 -req -days 1095 -yilda ./example.net.csr -belgisi Yuqoridagi buyruqning bajarilishi natijasida, mavjud komponentalarga qo'shimcha ravishda, biz sertifikatlashtirish organlarining Internet -infratuzilmasida haqiqiyligini tekshirish mumkin bo'lmagan, uy qurilishi sertifikatining "example.net.crt" faylini olamiz, garchi u funktsional jihatdan normal va qo'llaniladigan bo'lsa. Sertifikatlar va kalitlarning to'g'riligini tekshirish. Qabul qilingan SSL / TLS sertifikati kamida quyidagi ma'lumotlarni o'z ichiga oladi: Sertifikat versiyasi; Sertifikatning seriya raqami; Imzo algoritmi; Sertifikat egasining to'liq (noyob) ismi; Sertifikat egasining ochiq kaliti; Sertifikat berilgan sana; Sertifikatning amal qilish muddati; Sertifikatlashtirish organining to'liq (noyob) nomi; Nashriyotning raqamli imzosi. Shaxsan men har doim sertifikatda ko'rsatilgan ma'lumotlarning to'g'riligini quyidagi buyruq yordamida dekodlash va tarkibini ko'rish orqali tekshiraman: $ CD ./make-cert $ openssl x509 -not -matnli ./example.net.crt Amalda, ko'pincha qobiliyatsiz mijozlar yoki hamkasblar veb -xizmatlarda foydalanish uchun bir -biriga bog'liq bo'lmagan aralash sertifikatlar va kalitlarni taqdim etishadi. Veb -serverda ulardan foydalanishga urinish "x509 kalit qiymatining mos kelmasligi" kabi xatoga olib keladi. "Maxfiy" kalitlar to'plami, CSR so'rovi va yakuniy X.509 sertifikatining to'g'riligini tekshirishning eng oddiy usuli - bu barcha konteynerlarda joylashgan "ochiq" kalit ("modul" bloki) nazorat summasini tekshirish: $ openssl rsa -noout -modulus -in ./example.net.key | openssl md5 $ openssl req -noout -modulus -in ./example.net.csr | openssl md5 $ openssl x509 -noout -modulus -in ./example.net.crt | openssl md5 MD5 xash qatori qisqa va ularni ajratish qiyin emas. Biz sertifikat va kalit fayllarning standart to'plamini tuzamiz. Odatda sertifikatlashtirish organlari nafaqat so'ralgan sertifikatni, balki qo'shimcha oraliq sertifikatlar to'plamini ham (markazning o'zi, uning yuqoridagi tuguni va boshqalar) tugunigacha beradi. Umuman olganda, biz bir nechta fayllarni to'plashimiz mumkin, men ularni funktsional xususiyatlariga ko'ra nomlayman: "example.net.key" - "shaxsiy" va "ochiq" kalitlarga ega konteyner (parol bilan himoyalangan); "example.net.key.decrypt" - "maxfiy" va "ochiq" kalitlarga ega parol bilan himoyalanmagan konteyner; "example.net.csr" - sertifikatga buyurtma berishda foydalaniladigan KSS so'rovi; "example.net.crt" - bizning X.509 sertifikati to'g'ridan -to'g'ri; "intermediate.crt" - sertifikatlashtirish organining sertifikati (yoki ularning zanjiri); "root.crt" - bu ishonch zanjiri boshlanadigan asosiy hokimiyat sertifikati. Oraliq sertifikatlar bizga nafaqat tanishish uchun, balki ularni ishonchli xizmat ko'rsatuvchi tugunga qadar zanjir hosil qilib, veb -xizmatida foydalanish uchun mo'ljallangan sertifikati bo'lgan konteyner bilan to'ldirish maqsadga muvofiqdir. Bu faylning oxiriga matn kodlarini qo'shish orqali amalga oshiriladi: $ CD ./make-cert $ mushuk ./example.net.crt >> ./example.net- zanjir.crt $ sat ./intermediate.crt >> ./example.net- zanjir.crt $ mushuk ./root.crt >> ./example.net- zanjir.crt Sizning e'tiboringizni bizning sertifikatimiz konteynerga joylashtirilgan zanjirning boshida bo'lishi kerakligiga qarataman - odatda veb -server biriktirilgan "maxfiy" kalitni "ochiq" kalit bilan tekshiradi. konteyner tarkibini o'qish. Linuxda fayl tizimida sertifikatlar va shifrlash kalitlari uchun joylar mavjud. Biz fayllarni tarqatamiz va ularni ruxsatsiz kirishdan himoya qilamiz: # mkdir -p / etc / ssl / certs # mkdir -p / etc / ssl / private # cp ./example.net-chain.crt / etc / ssl / certs / # cp ./example.net.key.decrypt / etc / ssl / private / # chown -R root: root / etc / ssl # chmod -R o -rwx / etc / ssl Nginx veb -serverida SSL sertifikati. Oddiy holatda, "Nginx" veb -serverida SSL sertifikatidan foydalanish taxminan quyidagicha amalga oshiriladi: # vi /etc/nginx/sites-enabled/example.net.conf .... server ( 443 ssl tinglang; server_name example.net; .... ssl yoqish; ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES256-SHA: RC4: HIGH :! aNULL :! MD5 :! kEDH; ssl_prefer_server_ciphers yoqilgan; ssl_session_cache ulashdi: SSL: 30m; ssl_session_timeout 1 soat; ssl_certificate /etc/ssl/certs/example.net-chain.crt; ssl_certificate_key /etc/ssl/private/example.net.key.decrypt; .... } .... Apache veb -serverida SSL sertifikati. Apache veb -serveri SSL sertifikatidan foydalanadi: # vi /etc/apache2/sites-enabled/example.net.conf .... # HTTPS orqali kirish mumkin bo'lgan veb -sayt ish muhitining tavsifi ServerName example.net .... # Tavsiya etilgan umumiy protokol sozlamalari SSLEngine yoqildi SSLP protokoli -SSLv2 SSLHonorCipherOrder yoqilgan SSLCipherSuite HIGH: O'RTA :! ANULL :! ENULL :! EXPORT :! DES :! MD5 :! PSK :! RC4 :! AECDH: + SHA1: + MD5: + HIGH: + MEDIUM SSLOptions + StrictRequire SSLC siqish o'chirilgan # Sertifikat va kalit fayllar SSLCertificateFile /etc/ssl/certs/example.net-chain.crt SSLCertificateKeyFile /etc/ssl/certs/example.net.key.decrypt .... PGP (Pretty Good Privacy) standarti. PGP sertifikati, birinchi navbatda, ochiq kalit va egasining identifikatorini (yoki bir nechta muqobil identifikatorlarini) o'z ichiga oladi. Egasining identifikatori matnli yoki grafikli bo'lishi mumkin. Sertifikat bir nechta raqamli imzo bilan tasdiqlanishi mumkin; bundan tashqari, har bir imzo ochiq kalitning sertifikatda berilgan bir yoki bir nechta egasining identifikatorlari bilan bog'lanishini tasdiqlaydi (bu kumulyativ ishonch kontseptsiyasini amalga oshirishga imkon beradi). Oddiy foydalanuvchilar abonent bo'lishi mumkin deb taxmin qilinadi. Oxir -oqibat (hech bo'lmaganda 7.0 versiyasidan boshlab), imzo chekuvchilarning har biri uchun sertifikatda imzo chekuvchi boshqa foydalanuvchilar uchun sertifikatlar emitenti sifatida sertifikat mavzusiga (egasiga) to'liq ishonganligi to'g'risida yozuv bo'lishi mumkin. bu ishonch kengayadigan elektron pochta manzillari domeni). Bu foydalanuvchilarning shaxsiy tanishlari doirasidan tashqarida "ishonch tarmoqlarini" kengaytirishga imkon beradi (uzoq bo'lmagan bo'lsa ham) va deyarli har qanday murakkablikdagi sertifikatlar berish siyosatiga ega IUOC korporativ tashkil etish. PGP standarti xuddi shu nomdagi elektron pochta xavfsizligi tizimida ishlatiladi. Bu tizimning birinchi versiyasi 1991 yilda F.Zimmerman (AQSh) tomonidan ishlab chiqilgan. 7.0 versiyasi 2000 yilda chiqarilgan (Network Associates, Inc. tomonidan ishlab chiqilgan). ISO ITU-T X.509v1 standarti, 2. X.509v1 tarixan birinchi raqamli sertifikat standarti (1988 yilda kiritilgan). 1 va 2 -versiyalar orasidagi farq unchalik katta emas. X.509v1, 2 sertifikati oddiy, qattiq formatdagi shaxsni tasdiqlovchi sertifikatdir. Bu, birinchi navbatda, ochiq kalit va egasining identifikatorini (bitta) o'z ichiga oladi. Egasining identifikatori - bu matn. Sertifikatning amal qilish muddati (ochiq kalit) ham ko'rsatiladi. Bitta nashriyot tomonidan tasdiqlangan. ISO ITU-T X.509v3 standarti. X.509v3 sertifikati va X.509v1, 2 sertifikati o'rtasidagi asosiy farq kengaytmalar deb ataladi. X.509v3 standarti (1997 yilda kiritilgan) bir nechta standartlarni belgilaydi, ya'ni. nafaqat shaklda, balki mazmunida, ilovalarida ham ma'lum. Bundan tashqari, u sertifikatga faqat shakl bo'yicha aniqlanadigan, foydalanuvchi tomonidan belgilanadigan ilovalarni kiritish imkonini beradi. Maxsus ilovalar asosan PKI tomonidan sertifikatga sub'ektlarning avtorizatsiyasi to'g'risidagi ma'lumotlarni kiritish uchun ishlatiladi. Eng muhim standart dasturlar orasida quyidagilar mavjud: nashr siyosati identifikatori; muqobil mavzu identifikatorlari; sertifikat emitenti sifatida sub'ekt vakolatining identifikatori (foydalanuvchilar ushbu ilovadan emitent vakolatlarini tasdiqlash uchun foydalanishlari mumkin); SOS nashriyot serverining manzili (bir nechta bunday ilovalar bo'lishi mumkin, masalan, delta-SOS nashriyot server manzillari). X.509 sertifikatlari zamonaviy IUOCning aksariyati tomonidan ishlatiladi. Masalan, ular Visa va MasterCard tizimlarida ishlatiladi, ularning asosida IUOK VeriSign funktsiyalari (bu kompaniya, xususan, veb-serverlar uchun sertifikatlar beradi), ular asosida, qoida tariqasida, korporativ IUOK yaratish uchun mo'ljallangan tizimlar. funktsiyasi (masalan, Entrust va TimeStampdan), ularning ilovasi Internet PKIX uchun global PKIX IUOC loyihasini nazarda tutadi. Nazorat savollari Openssl kutubxonasi haqida ma’lumot bering? Openssl kutubxonasidan foydalanib shaxsiy kalit hosil qiling Sertifikat olish uchun CSR so’rovini yarating X509 sertifikatini hosil qiling. Download 58.95 Kb. Do'stlaringiz bilan baham: |
1 2
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling