😲 🐥 🦆 स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र और स्टनेल के साथ सुरक्षित डेटा चैनल 🔐 ☁️ ☀️

शुभ दिन, % उपयोगकर्ता नाम% !

जल्द या बाद में, प्रबंधन सभी नेटवर्क प्रशासकों के पास आता है और इंटरनेट के माध्यम से कंपनी के आंतरिक संसाधनों तक पहुंच बनाने के लिए कहता है। कॉर्पोरेट परियोजना प्रबंधन प्रणाली में कार्यों को हल करने की प्रगति की निगरानी के लिए मालदीव पर रस पीते हुए, प्रबंधन के लिए यह बहुत सुखद है। तो पहुँच को व्यवस्थित करने का कार्य बन जाता है।
साहित्य पढ़ने के बाद, मैं स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र और स्टनेल कार्यक्रम बनाने की विधि पर आ गया। एक स्व-हस्ताक्षरित (स्व-हस्ताक्षरित) प्रमाण पत्र एक विशेष प्रकार का प्रमाणपत्र है जो इसके निर्माता द्वारा हस्ताक्षरित है। तकनीकी रूप से, यह प्रकार किसी प्रमाणन केंद्र (CA) के हस्ताक्षर द्वारा प्रमाणित प्रमाणपत्र से अलग नहीं है, लेकिन इसे CA को हस्ताक्षर के लिए भेजने के बजाय, उपयोगकर्ता अपना स्वयं का हस्ताक्षर बनाता है।

बहुत संक्षेप में, प्रौद्योगिकी का सार इस प्रकार है:
हम अपना प्रमाणन प्राधिकरण बना रहे हैं। इसका उपयोग करते हुए, हम अपने प्रमाणीकरण प्राधिकारी द्वारा हस्ताक्षरित गुप्त कुंजी और प्रमाण पत्र बनाते हैं। रूट सर्टिफिकेट सर्वर पर रखा जाता है। क्लाइंट कुंजी और प्रमाणपत्र क्लाइंट के ब्राउज़र में दर्ज किया गया है। जब आप किसी संरक्षित संसाधन से कनेक्ट करने का प्रयास करते हैं, तो एक कुंजी जोड़ी की जाँच की जाती है। यदि सब कुछ ठीक है, तो सर्वर और ब्राउज़र के बीच एक सुरक्षित चैनल बनाया जाता है, जिसमें डेटा को क्रिप्टोग्राफ़िक प्रोटोकॉल एसएसएल या टीएलएस में "पैक" किया जाता है, जिससे इस डेटा की सुरक्षा होती है।

हम ओपन-सोर्स प्रोग्राम XCA का उपयोग करके प्रमाण पत्र बनाएंगे। कार्यक्रम का समर्थन करता है:
• सभी 32-बिट एमएस विंडोज (95/98 / NT / 2000 / XP);
• सभी बीएसडी प्लेटफार्म (FreeBSD / NetBSD / OpenBSD / Apple Mac OS X);
• सभी POSIX (Linux / BSD / UNIX- जैसे OSes), OS X, FreeBSD, Linux।
इसमें, हम अपने भविष्य के प्रमाणीकरण प्राधिकरण का एक डेटाबेस बनाते हैं, जहां हमारे प्रमाणपत्र संग्रहीत किए जाएंगे।

अब आपको रूट प्रमाणपत्र और हमारे प्रमाणीकरण प्राधिकरण की कुंजी बनाने की आवश्यकता है।
निजी कुंजी टैब -> नई कुंजी -> "नाम" फ़ील्ड में , CA दर्ज करें और "बनाएँ" बटन पर क्लिक करें। इस प्रकार, हमने अपने प्रमाणन प्राधिकरण की गुप्त कुंजी बनाई।

हम अपनी कुंजी के लिए एक प्रमाण पत्र बनाते हैं।
प्रमाणपत्र टैब -> नए प्रमाणपत्र , खुलने वाली विंडो में, "नए प्रमाण पत्र के लिए टेम्पलेट" फ़ील्ड में , "[डिफ़ॉल्ट] CA" चुनें , "लागू करें" बटन पर क्लिक करें। इसके साथ, हमने स्व-हस्ताक्षरित रूट प्रमाणपत्र बनाने के लिए एक टेम्पलेट चुना। इसके बाद सब्जेक्ट्स टैब पर जाएं। हमें उन क्षेत्रों को भरने की आवश्यकता है जो रूट प्रमाणपत्र में दर्ज किए जाएंगे। स्क्रीनशॉट में भरने का एक उदाहरण दिखाया गया है।

"निजी कुंजी" फ़ील्ड पर ध्यान दें। यह हमारी गुप्त कुंजी के नाम को इंगित करना चाहिए, जिस पर हम मूल प्रमाण पत्र बनाते हैं।

उन्नत टैब पर जाएं और "वैध" बटन पर क्लिक करें, फिर "ओके" बटन ।
अब हमारे पास अपना छोटा प्रमाणन प्राधिकरण है।
हमें उपयोगकर्ता और सर्वर के लिए कुंजी और प्रमाण पत्र बनाने की आवश्यकता है। यह अत्यंत सरलता से किया जाता है।
टैब पर हस्ताक्षर करने वाले प्रमाणपत्र -> नया अनुरोध , दिखाई देने वाली विंडो में, विषय टैब पर जाएं और रूट प्रमाण पत्र के साथ सादृश्य द्वारा भरें। अगला, "एक नई कुंजी उत्पन्न करें " बटन पर क्लिक करें और यह एक गुप्त कुंजी बनाता है, और फिर "ओके" बटन पर क्लिक करें ।

हमने अपने प्रमाणपत्र प्राधिकरण के लिए एक अनुरोध बनाया है, जिसे हम प्रमाणपत्र हस्ताक्षर अनुरोध टैब पर देखते हैं। उस पर राइट-क्लिक करें और साइन का चयन करें । साइनिंग फ़ील्ड में दिखाई देने वाली विंडो में, हस्ताक्षर करने के लिए इस प्रमाणपत्र का उपयोग करें चुनें। इनपुट क्षेत्र में हम अपना मूल सीए प्रमाण पत्र देखते हैं, "ओके" पर क्लिक करें। तो, हमारे क्लाइंट कुंजी और प्रमाण पत्र पर एक प्रमाणीकरण प्राधिकरण द्वारा हस्ताक्षर किए जाते हैं।

उसी तरह हम Stunnel सर्वर के लिए एक कुंजी और प्रमाण पत्र बनाते हैं।
हम PEM प्रारूप में सर्वर और उपयोगकर्ता की गुप्त कुंजी को निर्यात करते हैं। हम "प्रमाणपत्र श्रृंखला के साथ PKCS # 12" प्रारूप में उपयोगकर्ता प्रमाणपत्र निर्यात करते हैं।
PKCS # 12 RSA प्रयोगशालाओं द्वारा प्रकाशित सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी मानक (PKCS) पारिवारिक मानकों में से एक है। यह प्रमाणपत्र के साथ निजी कुंजी को संग्रहीत करने के लिए उपयोग किए जाने वाले फ़ाइल प्रारूप को परिभाषित करता है, जो पासवर्ड-आधारित सममित कुंजी के साथ सुरक्षित है।
निर्यात करते समय, प्रोग्राम फ़ाइल के लिए पासवर्ड मांगेगा।

आविष्कार किए गए पासवर्ड में ड्राइव करने के लिए स्वतंत्र महसूस करें। अगली बार हमें उपयोगकर्ता के ब्राउज़र में फ़ाइल आयात करते समय इसे दर्ज करने के लिए कहा जाएगा, इसलिए हम पासवर्ड नहीं भूलते हैं।
हम अपने प्रमाणपत्र प्राधिकरण और सर्वर के प्रमाणपत्र को "CRT" प्रारूप में निर्यात करते हैं।
कार्यक्रम प्रलेखन में अन्य सभी टैब और फ़ील्ड का विवरण पाया जा सकता है।
नतीजतन, हमारे पास होना चाहिए:
• CA.crt - एक प्रमाणीकरण प्राधिकरण का रूट प्रमाण पत्र;
• Server.crt - सर्वर प्रमाणपत्र;
• Server.pem - सर्वर गुप्त कुंजी;
• User.pkcs12 - गुप्त कुंजी + ग्राहक प्रमाणपत्र।

अब Stunnel कॉन्फ़िगर करें।
उदाहरण कॉन्फ़िगरेशन फ़ाइल stunnel.conf :

; Certificate/key is needed in server mode and optional in client mode
;
cert = /usr/local/etc/stunnel/server.crt
key = /usr/local/etc/stunnel/server.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/tmp/stunnel
setuid = stunnel
setgid = nogroup
pid = /stunnel.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

; Authentication stuff
verify = 2
; CApath is located inside chroot jail
CApath = /certs
; It's often easier to use CAfile
;
CAfile = /usr/local/etc/stunnel/ca.crt
; Some debugging stuff useful for troubleshooting
debug = 7
output = /var/log/stunnel.log

;
[https]
accept = 443
connect = 192.168.1.1:80

यह उपयोगकर्ता के ब्राउज़र में User.pkcs12 और CA.crt को आयात करने के लिए बना हुआ है। User.pkcs12 को आयात करते समय, हमें एक पासवर्ड दर्ज करने के लिए कहा जाएगा, वही जिसे हमने अपने प्रमाणन प्राधिकरण से निर्यात करते समय निर्दिष्ट किया था।
आखिरकार, हमें स्थानीय नेटवर्क पर ब्राउज़र और हमारे संसाधन के बीच एक सुरक्षित डेटा ट्रांसफर चैनल मिलेगा।

संदर्भ:
1. xca.sourceforge.net - XCA कार्यक्रम की आधिकारिक साइट;
2. www.stunnel.org - स्टनेल कार्यक्रम की आधिकारिक वेबसाइट।

स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र और स्टनेल के साथ सुरक्षित डेटा चैनल

More articles: