🗾 🌊 🖐🏼 Caché DBMS में SSL / TLS के साथ काम करें 👷🏼 🍿 👩🏽‍🤝‍👩🏼

इस लेख में, Caché SSL- आधारित DBMS के लिए एक सुरक्षित कनेक्शन स्थापित करने के कुछ उदाहरणों पर विचार किया जाएगा, अर्थात्:

Caché DBMS के किनारे SSL को कॉन्फ़िगर और सक्षम करना
अपाचे में एसएसएल कॉन्फ़िगरेशन, कैच डीबीएमएस में निर्मित;
CSP / ZEN वेब एप्लिकेशन में क्लाइंट प्रमाणपत्र से डेटा पढ़ना;
SSL का उपयोग करके .NET से कनेक्शन ;
SSL का उपयोग करके .Java से कनेक्शन ;
वेब सर्वर और कैच DBMS के बीच सुरक्षित संबंध स्थापित करने के लिए CSP गेटवे में SSL कॉन्फ़िगर करना
ODBC में SSL कॉन्फ़िगरेशन ।

नोट: Caché DBMS के साथ SSL का उपयोग करने के अन्य उदाहरण मिररिंग, टेलनेट, टीसीपी / आईपी (सॉकेट्स), वेब सेवाएं, कैच स्टूडियो, आदि हैं। - आप इसे प्रलेखन या तकनीकी सहायता में पा सकते हैं।

सबसे पहले, आइए स्वयं प्रमाण पत्र बनाएँ: रूट (CA: प्रमाणपत्र प्राधिकरण), सर्वर और क्लाइंट।
प्रमाण पत्र बनाने / प्राप्त करने की प्रक्रिया बल्कि जटिल है और इस लेख के दायरे से परे है, इसलिए इसका विस्तार से वर्णन यहाँ नहीं किया जाएगा।
इंटरनेट पर आप इस विषय पर कई सामग्री पा सकते हैं, उदाहरण के लिए: इलेक्ट्रॉनिक हस्ताक्षर ।

नोट: एक eToken वांछनीय है, लेकिन आवश्यक नहीं है।

परीक्षण डिजिटल प्रमाण पत्र के एक सेट की पीढ़ी

आपके परीक्षण प्रमाणपत्रों को बनाने, हस्ताक्षर करने, सत्यापन करने और रद्द करने की प्रक्रिया को सरल बनाने के लिए बैट स्क्रिप्ट का एक सेट तैयार किया गया है। आप उन्हें अपने विवेक पर बदल सकते हैं। विवरण के लिए संबंधित फाइलें देखें।

तो, चलिए हमारे प्रमाण पत्र बनाते हैं:

पासवर्ड के बिना निजी कुंजी उत्पन्न करें। यदि वांछित है, तो उन्हें जोड़कर संरक्षित पासवर्ड किया जा सकता है, उदाहरण के लिए, -a2525 पैरामीटर:
```
openssl genrsa -out cakey.pem -rand randfile 4096 openssl genrsa -out serverkey.pem -rand randfile 2048 openssl genrsa -out clientkey.pem -rand randfile 2048 
```

हम प्रमाणन अनुरोध बनाते हैं। हम संबंधित फ़ाइलों से अनुरोधों के लिए डेटा लेते हैं:

 openssl req -new -key cakey.pem -config cfgCA.txt -out cacsr.pem openssl req -new -key serverkey.pem -config cfgServer.txt -out servercsr.pem openssl req -new -key clientkey.pem -config cfgClient.txt -out clientcsr.pem

प्रमाण पत्र बनाएं और हस्ताक्षर करें:

 openssl x509 -req -signkey cakey.pem -in cacsr.pem -extfile cfgCA.txt -extensions v3_req -out cacrt.pem -days 365 openssl ca -config ca.config -extensions v3_server -in servercsr.pem -out servercrt.pem -batch openssl ca -config ca.config -extensions v3_client -in clientcsr.pem -out clientcrt.pem -batch

Windows में .NET, eToken, प्रमाणपत्र स्टोर के लिए उपयुक्त DER प्रारूप में ट्रांसकोड प्रमाणपत्र। निर्यात के लिए पासवर्ड रिक्त छोड़ा जा सकता है:

 openssl x509 -inform PEM -in cacrt.pem -outform DER -out ca.cer openssl x509 -inform PEM -in servercrt.pem -outform DER -out server.cer openssl x509 -inform PEM -in clientcrt.pem -outform DER -out client.cer openssl pkcs12 -export -in cacrt.pem -inkey cakey.pem -out ca.pfx -name "CA certificate CACHE" openssl pkcs12 -export -in servercrt.pem -inkey serverkey.pem -out server.pfx -name "Server certificate CACHE" openssl pkcs12 -export -in clientcrt.pem -inkey clientkey.pem -out client.pfx -name "Client certificate CACHE"

हम अपने ग्राहक प्रमाणपत्र (वैकल्पिक) में से एक को निरस्त करते हैं। हम निरस्त प्रमाण पत्र की सूची को फिर से बनाते हैं:
```
 rem openssl ca -config ca.config -revoke clientcrt.pem openssl ca -config ca.config -gencrl -out crl.pem openssl crl -outform DER -in crl.pem -out crl.crl -CAfile cacrt.pem copy crl.crl C:\Inetpub\wwwroot\crl.crl 
```

आसान पढ़ने के लिए प्रमाण पत्र की सामग्री को एक फ़ाइल में प्रिंट करें:

 openssl x509 -in cacrt.pem -noout -text >ca.log openssl x509 -in servercrt.pem -noout -text >server.log openssl x509 -in clientcrt.pem -noout -text >client.log openssl crl -in crl.pem -text -noout

हम अपने प्रमाणपत्रों की वैधता की जाँच करते हैं:
```
 openssl verify -CAfile cacrt.pem servercrt.pem clientcrt.pem 
```

Ca.config फ़ाइल की सामग्री:

 [ca] default_ca=CA_CLIENT [CA_CLIENT] dir=./db certs = $dir/certs new_certs_dir = $dir/newcerts database = $dir/index.txt serial = $dir/serial certificate = ./cacrt.pem private_key = ./cakey.pem default_days = 365 default_crl_hours = 4 default_md = sha1 policy = policy_anything #     [policy_anything] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional serialNumber = optional [v3_server] basicConstraints = critical,CA:false nsComment = "Server certificate CACHE" nsCertType = server keyUsage = critical,digitalSignature, nonRepudiation, keyEncipherment, keyAgreement crlDistributionPoints = URI:http://localhost/crl.crl [v3_client] subjectAltName = email:copy basicConstraints = critical,CA:false nsComment = "Client certificate CACHE" nsCertType = client, email, objsign keyUsage = critical,digitalSignature, nonRepudiation, keyEncipherment, keyAgreement crlDistributionPoints = URI:http://localhost/crl.crl

CfgCA.txt फ़ाइल की सामग्री:

 #    [req] distinguished_name = req_distinguished_name prompt = no extensions = v3_req [req_distinguished_name] #  C=MD #  ST=Moldova #  L=Chisinau #   O=abc #   OU=zxc #   (,  ) CN=CACHE #   emailAddress=support@abc.md [v3_req] subjectAltName = email:copy keyUsage = critical, keyCertSign, cRLSign basicConstraints = critical, CA:TRUE, pathlen:0 nsComment = "CA certificate CACHE" nsCertType = sslCA, emailCA crlDistributionPoints = URI:http://localhost/crl.crl

CfgServer.txt फ़ाइल की सामग्री:

 #    [req] distinguished_name = distinguished_name prompt = no [distinguished_name] C=MD ST=Moldova L=Chisinau O=abc OU=zxc CN=localhost

CfgClient.txt फ़ाइल की सामग्री:

 #    [req] distinguished_name = distinguished_name prompt = no [distinguished_name] serialNumber=987654321 CN=superuser emailAddress=my@abc.md

अब आपके पास परीक्षण प्रमाण पत्र हैं। फिर उन्हें कैचे, अपाचे, प्रमाण पत्र की दुकान में पंजीकृत किया जाना चाहिए और यदि आवश्यक हो, तो ईकोन पर स्थापित किया जाए, जिसके पास भी हो।

Windows प्रमाणपत्र संग्रह में प्रमाणपत्र स्थापित करें

^{वृद्धि}

ऐसा करने के लिए, आप प्रबंधन कंसोल (mmc.exe) के माध्यम से उपयुक्त स्नैप-इन का उपयोग कर सकते हैं:

ca.cer को स्थानीय कंप्यूटर के विश्वसनीय रूट प्रमाणन अधिकारियों में स्थापित किया जाना चाहिए;
server.pfx को स्थानीय कंप्यूटर के व्यक्तिगत प्रमाणपत्र (आईआईएस को कॉन्फ़िगर करने के लिए आवश्यक) में स्थापित किया जाना चाहिए;
client.pfx को वर्तमान उपयोगकर्ता के व्यक्तिगत प्रमाणपत्रों में स्थापित किया जाना चाहिए। ईटोकन के मालिक इस आइटम को छोड़ सकते हैं।

EToken पर प्रमाण पत्र स्थापित करें

ऐसा करने के लिए, डिवाइस के साथ आपूर्ति किए गए सॉफ़्टवेयर का उपयोग करें।

Caché में SSL कॉन्फ़िगरेशन कॉन्फ़िगर करें

पोर्टल में, हम SSL कॉन्फ़िगरेशन को % SuperServer नाम से बनाते और कॉन्फ़िगर करते हैं:

^{वृद्धि}
Caché सुपर सर्वर द्वारा SSL / TLS समर्थन सक्षम करें:

^{वृद्धि}
यह सुनिश्चित करने के लिए कि हमारे पास सब कुछ सही तरीके से सेट है और SSL समर्थन काम कर रहा है, हम एक परीक्षण क्लाइंट कॉन्फ़िगरेशन बनाएंगे और कॉन्फ़िगर करेंगे:

^{वृद्धि}

अगला, SSL कनेक्शन का परीक्षण करें। यदि आपने सब कुछ सही ढंग से किया है, तो आपको स्क्रीनशॉट के अनुसार, सुरक्षित कनेक्शन की सफल स्थापना के बारे में एक संदेश दिखाई देगा।
नोट: यदि आप चाहें, तो आप टेलनेट कनेक्शनों में SSL का समर्थन करने के लिए % TELNET / SSL नाम के साथ एक SSL कॉन्फ़िगरेशन बना सकते हैं।

Cache में एम्बेडेड अपाचे में SSL कॉन्फ़िगरेशन

नोट: इस खंड का पूर्ण और विस्तृत विवरण mod_ssl प्रलेखन में पाया जा सकता है। यहाँ से विंडोज के लिए एसएसएल के साथ अपाचे डाउनलोड करें।

% acheHome% \ httpd \ मॉड्यूल फ़ोल्डर में mod_ssl.so फ़ाइल स्थापित करें;

निम्न पंक्तियों को % acheHome% \ httpd \ conf \ httpd.conf फ़ाइल में जोड़ें :

 ... UseCanonicalName Off SSLEngine on SSLCertificateFile C:/SSLKeys/servercrt.pem SSLCertificateKeyFile C:/SSLKeys/serverkey.pem SSLCACertificateFile C:/SSLKeys/cacrt.pem SSLVerifyClient require SSLVerifyDepth 10 SSLCipherSuite TLSv1:SSLv3:!ADH:!LOW:!EXP:@STRENGTH SSLOptions +StdEnvVars ... LoadModule ssl_module modules/mod_ssl.so ...

कमांड लाइन से निर्मित अपाचे को पुनः आरंभ करें:
```
 httpd.exe -k restart -n CACHEhttpd -c "Listen 8972" 
```
हम क्यूबा से सिस्टम प्रबंधन पोर्टल या प्रलेखन शुरू करते हैं और सुनिश्चित करते हैं कि एक सुरक्षित कनेक्शन स्थापित करने के लिए, आपके पास सर्वर प्रमाणपत्र के रूप में एक ही प्रमाणित केंद्र द्वारा हस्ताक्षरित वैध ग्राहक प्रमाणपत्र होना चाहिए।

CSP / ZEN एप्लिकेशन से क्लाइंट सर्टिफिकेट डेटा पढ़ना

CSP गेटवे में, आपको सभी अतिरिक्त CGI वातावरण चर के Caché में स्थानांतरण को सक्षम करना होगा:

^{वृद्धि}

अब वेब एप्लिकेशन में आप निम्न प्रकार से वेब सर्वर के प्रकार के आधार पर प्रमाणपत्र सेटिंग्स प्राप्त कर सकते हैं:

Class sqlru.testpage Extends %ZEN.Component.page { /// This XML block defines the contents of this page. XData Contents [ XMLNamespace = "www.intersystems.com/zen" ] { < page xmlns = "www.intersystems.com/zen" title = "" > < textarea id = "ta" value = "test" rows = "10" cols = "50" /> </ page > } Method %OnAfterCreatePage() As %Status { if %request. CgiEnvs ( "SERVER_SOFTWARE" )[ "Apache" { set a = %request. CgiEnvs ( "SSL_CLIENT_S_DN" ) } else { set a = %request. CgiEnvs ( "CERT_SUBJECT" ) } do .. %SetValueById ( "ta" ,a) Quit $$$OK } }

अन्य प्रमाणपत्र विशेषताओं को उसी तरह पढ़ा जा सकता है:

SSL_CLIENT_I_DN ;
SSL_SERVER_I_DN ;
SSL_SERVER_S_DN ;
...

SSL का उपयोग करके .NET से Caché से कनेक्ट करें

 var db = new CacheConnection("Server = localhost; Port = 1972; Namespace = SAMPLES; Password = SYS; User ID = _SYSTEM; SSL=true;"); if (db.State == ConnectionState.Closed) { db.Open(); textBox1.Text = db.ServerZV; } db.Close();

व्यक्तिगत प्रमाण पत्र की दुकान से पहले वैध प्रमाण पत्र का उपयोग किया जाएगा। यदि प्रमाण पत्र ईटोकन पर है, तो एक पिन कोड का अनुरोध किया जाएगा।
यदि भंडारण खाली है, उदाहरण के लिए, एक ईकोकॉन डाला नहीं गया है, या सभी प्रमाण पत्र अमान्य हैं, तो कनेक्शन एक त्रुटि के साथ बाधित होगा।

SSL का उपयोग करके Java से Caché से कनेक्ट करें

पहले आपको हमारे प्रमाणपत्रों को उपयुक्त स्टोरों में जोड़ना होगा : ट्रस्टस्टोर में एक विश्वसनीय प्रमाण पत्र, कीस्टोर में एक क्लाइंट प्रमाणपत्र।
हमारे मामले में, पासवर्ड "mysecret" द्वारा संरक्षित फ़ाइल client_pwd.pfx , वीस्टोर के रूप में उपयुक्त है।
रूट प्रमाणपत्र को एक अलग ट्रस्टस्टोर या एक मानक कैसर्ट में डाला जा सकता है:

 keytool -importcert -alias CACHE -file c:\SSLKeys\ca.cer -keystore truststore -storepass mysecret

या

 keytool -importcert -alias CACHE -file c:\SSLKeys\ca.cer -keystore cacerts -storepass changeit

इसके बाद, क्लाइंट कॉन्फ़िगरेशन फ़ाइल SSLConfig बनाएँ।

 protocol=SSLv3 keyStore=C:/SSLKeys/client_pwd.pfx keyStoreType=PKCS12 keyStorePassword=mysecret keyRecoveryPassword=mysecret #  ca     cacerts,     trustStore=C:/SSLKeys/truststore trustStoreType=JKS trustStorePassword=mysecret

नोट: अधिक जानकारी JSSE प्रलेखन में पाई जा सकती है।

अब आप SSL के उपयोग से जावा अनुप्रयोगों से जुड़ सकते हैं, इस प्रकार है:

 package test; import java.sql.Connection; import com.intersys.jdbc.CacheDataSource; public class Test { public static void main(String[] args) throws Throwable { String url = "jdbc:Cache://localhost:1972/USER"; String username = "_SYSTEM"; String password = "SYS"; System.setProperty("com.intersys.SSLConfigFile", "C:/SSLKeys/SSLConfig.Properties"); CacheDataSource cs = new CacheDataSource(); cs.setURL(url); cs.setUser(username); cs.setPassword(password); cs.setConnectionSecurityLevel(10); Connection cn = cs.getConnection(); System.out.println("  !"); //Database db = CacheDatabase.getDatabase(cn); } }

CSP गेटवे में SSL कॉन्फ़िगर करना

^{वृद्धि}

आइए सर्वर से कनेक्शन की जांच करें, क्या हम सभी सही तरीके से सेट हैं:

^{वृद्धि}

SSL को ODBC में कॉन्फ़िगर करें

SSL कॉन्फ़िगरेशन सेटिंग्स रजिस्ट्री में संग्रहीत हैं: HKEY_CURRENT_USER \ Software \ InterSystems \ Cache \ SSLConfigurations \ SSL कॉन्फ़िगरेशन नाम
पैरामीटर का विवरण Security.SSLConfigs वर्ग में पाया जा सकता है
परीक्षण सेटिंग्स को CacheOdbcSSL.reg फ़ाइल में पाया जा सकता है (नीचे देखें)।

आइए सर्वर से कनेक्शन की जांच करें, क्या हम सभी सही तरीके से सेट हैं:

स्रोत स्क्रिप्ट

Caché DBMS में SSL / TLS के साथ काम करें