https://sourceforge.net/p/authit/wiki/OpenSSL/Recent changes to OpenSSLenMon, 17 Dec 2018 14:27:53 -0000https://sourceforge.net/p/authit/wiki/OpenSSL/<div class="markdown_content"><p>Настройка OpenSSL для работы с двухфакторной аутентификацией.<br/> Устанавливаем пакеты</p> <p>pcscd<br/> libccid<br/> openssl<br/> xca<br/> libengine-pkcs11-openssl<br/> libengine-pkcs11-openssl1.1<br/> libpam-pkcs11<br/> Замечание: пакет libengine-pkcs11-openssl в репозиториях представлен в двух версиях. Устанавливались оба.</p> <p>Драйвер для JaCarta PKI: <a href="https://www.aladdin-rd.ru/support/downloads/989e9d58-8600-4d97-a039-e209c7c8fa8e" rel="nofollow">https://www.aladdin-rd.ru/support/downloads/989e9d58-8600-4d97-a039-e209c7c8fa8e</a></p> <ol> <li>Настройка ЦС.<br/> Запускаем xca от имени root.</li> </ol> <p>Замечание: вероятно, можно это делать и без привилегий суперпользователя. Но стенд настраивался именно так.</p> <p>Переходим на вкладку сертификаты, создаем новый для сервера CA.</p> <p>На вкладке "Источник" выбираем самоподписанный сертификат, алгоритм подписи SHA 256.</p> <p>Далее идём на вкладку "Владелец": </p> <p>Заполняем необходимые поля, в поле commonName указываем имя хоста.</p> <p>Здесь же нажимаем "Создать новый ключ". </p> <p>Нажимаем "Создать".</p> <p>Далее переходим на вкладку "Расширения". </p> <p>В поле "Тип" указываем "Центр сертификации". При необходимости изменяем другие параметры.</p> <p>Далее нажимаем кнопку "ОК" и убеждаемся, что новый сертификат появился в списке.</p> <ol> <li>Шаблон сертификата.<br/> Возвращаемся в интерфейс XCA, делаем шаблон для своего сертификата. Переходим на вкладку "Шаблоны", нажимаем "Новый шаблон" </li> </ol> <p>На вкладке "Владелец" заполняем необходимые поля.</p> <p>На вкладке "Расширения" указываем "Конечный пользователь"</p> <p>Нажимаем "ОК"</p> <ol> <li>Настройка модуля для смарт-карт.<br/> Для того, чтобы можно было выпускать сертификаты с ключевой парой и сертификатами прямо на токене, необходимо добавить модуль pkcs11 в настройках. В меню Файл -&gt; Опции, вкладка PKCS#11 provider.</li> </ol> <p>Необходимо добавить библиотеку /usr/lib/libPKCS11.so.2. Замечание: пути могут меняться в зависимости от дистрибутива и версий ПО.</p> <ol> <li>Выпуск сертификата.<br/> Выпускаем сертификат для пользователя. Вкладка "Сертификаты", кнопка "Новый сертификат", вкладка "Источник" Выбираем "Use this Certificate for sighning", алгоритм подписи SHA 256, выбираем созданный ранее шаблон. Нажимаем "Применить всё".</li> </ol> <p>Идём на вкладку "Владелец": </p> <p>Заполняем необходимые поля. В поле commonName указываем имя нужного пользователя.</p> <p>Далее нажимаем "Создать новый ключ". </p> <p>В поле "Тип ключа" выбираем наш токен, алгоритм RSA. Нажимаем "Создать". После ввода пин-кода будет сгенерирована ключевая пара.</p> <p>Далее нажимаем "ОК", соглашаемся, чтобы сертификат был сохранён на токене.</p> <p>Теперь этот токен можно использовать для входа в систему.</p> <ol> <li>Экспорт файлов для настройки рабочих станций.<br/> Устанавливаем указатель на сертификат ЦС, который делали в п.1, нажимаем "Экспорт"</li> </ol> <p>Указываем каталог для экспорта и нажимаем ОК.</p> <p>Далее ПКМ на сертификате: ЦС -&gt; Создать CRL.</p> <p>Переходим на вкладку "Списки отозванных сертификатов".</p> <p>Выделяем появившийся список, нажимаем "Экспорт" </p> <p>Указываем каталог для экспорта и нажимаем ОК.</p></div>KarenMon, 17 Dec 2018 14:27:53 -0000https://sourceforge.net89d28429cde9e86bd88aec3098d3fc2d7eee612e