GOST एल्गोरिदम का उपयोग करके प्रमाणपत्र प्राधिकरण के साथ लिनक्स पर पीएचपी-साबुन इंटरैक्शन

मैं पहले क्रिप्टोग्राफी में आया था, मुझे एक समय में CryptoPro पर एक प्रमाणन केंद्र तैनात करना था, इसलिए मेरे पास सामान्य विचार थे कि निजी और सार्वजनिक कुंजी और प्रमाण पत्र क्या हैं, लेकिन लिनक्स में यह सब कैसे काम करता है, इस बारे में बहुत कुछ नहीं पता था।
कार्य रोसमिनज़द्रव की सेवाओं के साथ सहभागिता सुनिश्चित करने के लिए उत्पन्न हुआ, अर्थात् SOAP प्रोटोकॉल का उपयोग करते हुए चिकित्सा श्रमिकों की संघीय रजिस्ट्री के साथ। क्लाइंट की ओर, सिस्टम PHP में CentOS और रनिंग सेवाओं पर है, सर्वर साइड पर GOST एल्गोरिदम का उपयोग करके प्रमाणपत्र प्राधिकरण के साथ SOAP सेवा है। RosMinzdrav के प्रमाणन केंद्र और इस कुंजी के प्रमाण पत्र द्वारा बनाई गई एक निजी कुंजी के साथ एक फ्लैश ड्राइव था।
लिनक्स दुनिया में GOST एन्क्रिप्शन एल्गोरिदम के उपयोग के संबंध में स्थिति का विश्लेषण करने के बाद, यह पता चला कि हाल के वर्षों में आगे एक अच्छा आंदोलन हुआ है, लेकिन अभी भी सब ठीक नहीं है। इसलिए, PHP- साबुन एक्सटेंशन को पारदर्शी रूप से GOST एल्गोरिदम को समझने के लिए, साथ ही RosMinzdrav द्वारा जारी किए गए प्रमाणपत्र और कुंजियों का उपयोग करने के लिए, आपको निम्न कार्य करने की आवश्यकता है:

1. वितरण पैकेज में OpenSSL लाइब्रेरी को अपडेट करें, जो कि 1.0.1 से कम नहीं है और GOST के लिए समर्थन कॉन्फ़िगर करें।
2. जारी की गई कुंजी और प्रमाण पत्र को एक ऐसे प्रारूप में परिवर्तित करें जिसे ओपनएसएसएल समझता है। ओपनएसएसएल के संचालन की जांच करें।
3. PHP में OpenSSL एक्सटेंशन को ठीक करें और PHP को फिर से खोलें। PHP में SOAP का परीक्षण करें।

तो चलिए शुरू करते हैं। वितरण किट का डेटा php और ओपनस् लाइब्रेरी द्वारा स्थापित किया गया है:

# lsb_release -a LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch Distributor ID: CentOS Description: CentOS release 6.4 (Final) Release: 6.4 Codename: Final # yum list installed | grep php php.x86_64 5.3.3-22.el6 @base php-cli.x86_64 5.3.3-22.el6 @base php-common.x86_64 5.3.3-22.el6 @base php-dba.x86_64 5.3.3-22.el6 @base php-devel.x86_64 5.3.3-22.el6 @base php-imap.x86_64 5.3.3-22.el6 @base php-ldap.x86_64 5.3.3-22.el6 @base php-lessphp.noarch 0.3.9-1.el6 @epel php-mbstring.x86_64 5.3.3-22.el6 @base php-mcrypt.x86_64 5.3.3-1.el6 @epel php-odbc.x86_64 5.3.3-22.el6 @base php-pdo.x86_64 5.3.3-22.el6 @base php-pear.noarch 1:1.9.4-4.el6 @base php-pgsql.x86_64 5.3.3-22.el6 @base php-process.x86_64 5.3.3-22.el6 @base php-shout.x86_64 0.9.2-6.el6 @epel php-soap.x86_64 5.3.3-22.el6 @base php-xml.x86_64 5.3.3-22.el6 @base php-xmlrpc.x86_64 5.3.3-22.el6 @base # yum list installed | grep openssl openssl.x86_64 1.0.0-27.el6_4.2 @updates openssl-devel.x86_64 1.0.0-27.el6_4.2 @updates 

ओपनएसएसएल लाइब्रेरी अपडेट

"स्रोत से संकलन" और सिस्टम को रोकना हमारी पद्धति नहीं है। इसलिए, समाप्त पैकेज खोजने के लिए सबसे अच्छा विकल्प है, और मैंने इसे अक्षीय भंडार में पाया:

 # rpm -ivh --nosignature http://rpm.axivo.com/redhat/axivo-release-6-1.noarch.rpm # yum --enablerepo=axivo update openssl 

ओपनएसएसएल के स्थापित संस्करण की जाँच:

 # openssl version OpenSSL 1.0.1e 11 Feb 2013 

इसके बाद, आपको GOST एल्गोरिदम का उपयोग करने के लिए पुस्तकालय को कॉन्फ़िगर करने की आवश्यकता है, इसके लिए हम सेटिंग्स फ़ाइल को संपादित करते हैं जो /etc/pki/tls/openssl.cnf पर स्थित है, जो फ़ाइल के बहुत शुरुआत में लाइन जोड़ रहा है:

 openssl_conf = openssl_def 

और फ़ाइल के अंत में:

 [openssl_def] engines=engine_section [engine_section] gost=gost_section [gost_section] engine_id=gost #!!     dynamic_path=/usr/lib64/openssl/engines/libgost.so default_algorithms=ALL CRYPT_PARAMS=id-Gost28147-89-CryptoPro-A-ParamSet 

परिवर्तन किए जाने के बाद, हम जाँचते हैं कि OpenSSL GOST एल्गोरिदम देखता है:

 #openssl ciphers | tr ":" "\n" | grep GOST GOST2001-GOST89-GOST89 GOST94-GOST89-GOST89 

जारी की गई कुंजी और प्रमाणपत्र को उस प्रारूप में रूपांतरित करें जिसे OpenSSL समझता है

ऐसा करने के लिए, हमें CryptoPRO CSP 3.6 स्थापित के साथ एक विंडोज मशीन की आवश्यकता है। मैंने इसे डेवलपर की साइट से लीक किया (यह 3 महीने के लिए डेमो मोड देता है)।
पहली चीज जो हम करते हैं वह क्रिप्टोप्रो का उपयोग करके महत्वपूर्ण कंटेनर को रजिस्ट्री में निर्यात करता है। ऐसा करने के लिए, विंडोज कंट्रोल पैनल से क्रिप्टोकरेंसी खोलें। हम कंप्यूटर में अपना मुख्य माध्यम डालते हैं। एक नियमित फ्लैश ड्राइव के लिए, हम सुनिश्चित करते हैं कि "हार्डवेयर" टैब पर पाठकों के बीच हमारे पास "सभी हटाने योग्य ड्राइव" और "रजिस्ट्री" हों। यदि आपके पास एक नियमित फ्लैश ड्राइव नहीं है, लेकिन RuToken या Etoken या अन्य मीडिया जैसी कोई चीज है, तो आपको CryptoPro में उपयोग के लिए इसके ड्राइवर और लाइब्रेरी होनी चाहिए (यह उसी टैब पर "कॉन्फ़िगर रीडर" अनुभाग में दिखाई देनी चाहिए)।

अगला, "सेवा" टैब पर जाएं और "कॉपी करें" पर क्लिक करें, "ब्राउज़ करें" पर क्लिक करें और सूची से अपना मुख्य कंटेनर चुनें। यदि हम अचानक उसे वहां नहीं पाते हैं, तो हम पिछले पैराग्राफ पर लौटते हैं और सब कुछ जांचते हैं। अगला, नए कुंजी कंटेनर का सार्थक नाम दर्ज करें, "समाप्त करें" पर क्लिक करें और दिखाई देने वाली विंडो में माध्यम के रूप में "रजिस्ट्री" चुनें। हम कंटेनर पर एक नया पासवर्ड सेट नहीं करते हैं।
अब हमें एक नए कंटेनर में प्रमाण पत्र स्थापित करने की आवश्यकता है। CryptoPro में "सेवा" टैब पर, "व्यक्तिगत प्रमाण पत्र स्थापित करें" बटन पर क्लिक करें, हमारे प्रमाण पत्र के साथ फ़ाइल को इंगित करें, "अगला" पर क्लिक करें, हमारे द्वारा बनाए गए कंटेनर का चयन करें और "कंटेनर में प्रमाण पत्र स्थापित करें" चेकबॉक्स न भूलें।
निजी कुंजी के साथ PKSC # 12 प्रारूप में इस प्रमाण पत्र को निर्यात करने के लिए, हमें एक तृतीय-पक्ष उपयोगिता की आवश्यकता है। जिसे आप या तो यहाँ खरीद सकते हैं या p12fromgostcsp के नाम से इंटरनेट पर पा सकते हैं। हम इस उपयोगिता को शुरू करते हैं, हमारे प्रमाण पत्र का चयन करते हैं, पासवर्ड को खाली छोड़ देते हैं और इसे mycert.p12 फ़ाइल में सहेजते हैं।
प्राप्त प्रमाण पत्र को linux मशीन पर कॉपी करें। हम सत्यापित करते हैं कि प्रमाण पत्र में हमारे पास दोनों कुंजी हैं - निजी और सार्वजनिक:

 # openssl pkcs12 -in mycert.p12 -nodes 

जब पासवर्ड के लिए कहा जाए, तो Enter दबाएं। और BEGIN CERTIFICATE और BEGIN PRIVATE KEY स्ट्रिंग्स की उपस्थिति देखें। यदि लाइनें हैं, तो सब कुछ क्रम में है। प्राप्त प्रमाण पत्र को पीईएम प्रारूप में परिवर्तित करें:

 # openssl pkcs12 -in mycert.p12 -out mycert.pem -nodes -clcerts 

यदि आपको न केवल एक क्लाइंट प्रमाण पत्र द्वारा प्राधिकरण की आवश्यकता है, बल्कि सर्वर की वैधता की भी जांच है, तो आपको प्रमाणीकरण प्राधिकारी के मूल प्रमाण पत्र की आवश्यकता होगी। इसे केवल विंडोज के माध्यम से खोला जा सकता है और X.509 एन्कोडिंग में डीईआर प्रारूप में सहेजा जा सकता है (प्रमाण पत्र देखते समय "रचना" टैब से), क्योंकि इसमें एक निजी कुंजी नहीं है। फिर इसे ओपनएसएसएल के माध्यम से पीईएम प्रारूप में परिवर्तित करें।

 # openssl x509 -inform DER -in cacert.cer -outform PEM -out cacert.pem 

जहाँ cacert.cer रूट प्रमाणपत्र के साथ स्रोत फ़ाइल का नाम है। आप OpenSSL कमांड के माध्यम से प्रमाणपत्र का उपयोग कर सर्वर से कनेक्शन की जांच कर सकते हैं:

 # openssl s_client -connect service.rosminzdrav.ru:443 -CAfile cacert.pem -cert mycert.pem 

नतीजतन, अगर सब कुछ सही ढंग से किया जाता है, तो आपको यह आउटपुट अंत में मिलना चाहिए:

 New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89 Server public key is 256 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : GOST2001-GOST89-GOST89 Session-ID: *** Session-ID-ctx: Master-Key: *** Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1375875984 Timeout : 300 (sec) Verify return code: 0 (ok) 

PHP का संपादन और पुन: संपादन

मुख्य समस्या यह है कि OpenSSL के लिए डिफ़ॉल्ट कॉन्फ़िगरेशन फ़ाइल का उपयोग करने के लिए (यह वह जगह है जहां हम GOST एल्गोरिदम के लिए सेटिंग्स हैं), आपको उपयोग करने से पहले OPENSSL_config (NULL) फ़ंक्शन को कॉल करना होगा। यह PHP OpenSSL एक्सटेंशन में नहीं किया गया है, इसलिए SSL कनेक्शन का उपयोग करते समय PHP-SOAP मॉड्यूल GOST एल्गोरिदम नहीं देखता है। वैसे, अन्य पुस्तकालयों पर भी लागू होता है, उदाहरण के लिए कर्ल। यदि आप इसके साथ काम करने जा रहे हैं तो इसे भी पैच करना होगा।
तो चलिए शुरू करते हैं। ओपनएसएसएल को सही करने के लिए हमें सभी PHP को फिर से स्थापित करना आवश्यक है, क्योंकि CentOS में ओपनएसएसएल विस्तार एक मॉड्यूल द्वारा नहीं किया गया था।
हम पैकेज बनाने के लिए पर्यावरण तैयार करते हैं:

 # yum install rpm-build redhat-rpm-config # mkdir /root/rpmbuild # cd /root/rpmbuild # mkdir BUILD RPMS SOURCES SPECS SRPMS # mkdir RPMS/{i386,i486,i586,i686,noarch,athlon} 

PHP स्रोतों को डाउनलोड करें और उन्हें स्थापित करें:

 # wget http://vault.centos.org/6.4/os/Source/SPackages/php-5.3.3-22.el6.src.rpm # rpm -ivh php-5.3.3-22.el6.src.rpm 

स्रोत फ़ोल्डर पर जाएं और php निकालें, सूत्रों के साथ फ़ोल्डर की एक प्रतिलिपि बनाएँ:

 # cd SOURCES # tar xvjf php-5.3.3.tar.bz2 # cp php-5.3.3 php-5.3.3p -R 

php-5.3.3p/ext/openssl/openssl.c संपादित करें:
स्ट्रिंग का पता लगाएं SSL_library_init(); (मेरे पास यह पंक्ति संख्या 985 है) और इसके सामने लिखें
OPENSSL_config(NULL); ।
स्रोत फ़ोल्डर पर जाएँ और एक पैच बनाएँ:

 # diff -uNr php-5.3.3/ php-5.3.3p/ > php-5.3.3-gostfix.patch 

परिणाम निम्नलिखित सामग्री के साथ एक फ़ाइल है:

 diff -uNr php-5.3.3/ext/openssl/openssl.c php-5.3.3p/ext/openssl/openssl.c --- php-5.3.3/ext/openssl/openssl.c 2010-06-26 20:03:39.000000000 +0400 +++ php-5.3.3p/ext/openssl/openssl.c 2013-08-07 11:32:41.944581280 +0400 @@ -981,7 +981,7 @@ le_key = zend_register_list_destructors_ex(php_pkey_free, NULL, "OpenSSL key", module_number); le_x509 = zend_register_list_destructors_ex(php_x509_free, NULL, "OpenSSL X.509", module_number); le_csr = zend_register_list_destructors_ex(php_csr_free, NULL, "OpenSSL X.509 CSR", module_number); - + OPENSSL_config(NULL); SSL_library_init(); OpenSSL_add_all_ciphers(); OpenSSL_add_all_digests(); 

अब हमें अपने पैच का उपयोग करने के लिए कलेक्टर को मजबूर करने की आवश्यकता है। असेंबली नियमों को विशेष / php.spec फ़ाइल में वर्णित किया गया है। हम इसे खोलते हैं और पैच विवरण लाइन के बाद (मेरे पास पैच 230 से शुरू होने वाली यह रेखा है), नए पैच के विवरण के साथ लाइन डालें:

 Patch231: php-5.3.3-gostfix.patch 

हम असेंबली से पहले इस पैच के कॉल को भी लिखते हैं, इसके लिए हम% पैच से शुरू होने वाली लाइनों की तलाश करते हैं और उनके अंत में हम लिखते हैं

 %patch231 -p1 

फ़ाइल सहेजें। पैकेज को इकट्ठा करने से पहले, हम विधानसभा के लिए सभी निर्भरताएं डालते हैं:

 # yum install bzip2-devel db4-devel gmp-devel httpd-devel pam-devel sqlite-devel pcre-devel libedit-devel libtool-ltdl-devel libc-client-devel cyrus-sasl-devel openldap-devel mysql-devel postgresql-devel libxml2-devel net-snmp-devel libxslt-devel libxml2-devel libXpm-devel libpng-devel freetype-devel libtidy-devel aspell-devel recode-devel libicu-devel enchant-devel net-snmp 

अगला, rpmbuld फ़ोल्डर से असेंबली के लिए आगे बढ़ें, कमांड चलाएँ:

 rpmbuild -ba SPECS/php.spec 

असेंबली को एक लंबा समय लगता है, और यदि सब कुछ ठीक रहा, तो तैयार आरपीएम_पैकेज आरपीएमएस / {Your_altecture} फ़ोल्डर में दिखाई देंगे।
X86_64 वास्तुकला के लिए:

 # ls RPMS/x86_64/ php-5.3.3-22.el6.x86_64.rpm php-devel-5.3.3-22.el6.x86_64.rpm php-intl-5.3.3-22.el6.x86_64.rpm php-pgsql-5.3.3-22.el6.x86_64.rpm php-tidy-5.3.3-22.el6.x86_64.rpm php-bcmath-5.3.3-22.el6.x86_64.rpm php-embedded-5.3.3-22.el6.x86_64.rpm php-ldap-5.3.3-22.el6.x86_64.rpm php-process-5.3.3-22.el6.x86_64.rpm php-xml-5.3.3-22.el6.x86_64.rpm php-cli-5.3.3-22.el6.x86_64.rpm php-enchant-5.3.3-22.el6.x86_64.rpm php-mbstring-5.3.3-22.el6.x86_64.rpm php-pspell-5.3.3-22.el6.x86_64.rpm p hp-xmlrpc-5.3.3-22.el6.x86_64.rpm php-common-5.3.3-22.el6.x86_64.rpm php-fpm-5.3.3-22.el6.x86_64.rpm php-mysql-5.3.3-22.el6.x86_64.rpm php-recode-5.3.3-22.el6.x86_64.rpm php-zts-5.3.3-22.el6.x86_64.rpm php-dba-5.3.3-22.el6.x86_64.rpm php-gd-5.3.3-22.el6.x86_64.rpm php-odbc-5.3.3-22.el6.x86_64.rpm php-snmp-5.3.3-22.el6.x86_64.rpm php-debuginfo-5.3.3-22.el6.x86_64.rpm php-imap-5.3.3-22.el6.x86_64.rpm php-pdo-5.3.3-22.el6.x86_64.rpm php-soap-5.3.3-22.el6.x86_64.rpm 

अब हम एक प्रतिस्थापन के साथ पहले से स्थापित php के शीर्ष पर यह सब "अच्छा" स्थापित कर सकते हैं:

 rpm -Uvh --replacepkgs --replacefiles RPMS/x86_64/* 

अगला, php- साबुन के संचालन की जाँच करें। उदाहरण के लिए, आप निम्नलिखित कोड का उपयोग कर सकते हैं (उदाहरण के लिए "स्वास्थ्य रजिस्टर के संघीय रजिस्टर"):

 <?php class GetEmployees { public $ogrn; } $cert="/mycert.pem"; // $wsdl="https://service.rosminzdrav.ru/MedStaffIntegration/MedStaff.svc?wsdl"; // wdsl  $loc = "https://service.rosminzdrav.ru/MedStaffIntegration/medstaff.svc/basic"; //   $sp = new SoapClient($wsdl,array( 'local_cert' => $cert, 'trace' => 1, 'exceptions' => 1, 'soap_version' => SOAP_1_1, 'location' =>$loc, )); $emp = new GetEmployees; $emp->ogrn = '1022303554570'; try{ $data = $sp->GetEmployees($emp); print_r($data); } catch (SoapFault $e) { echo "<h2>Exception Error!</h2>"; echo $sp->__getLastRequest(); echo get_class($e); echo $e->getMessage(); } 

यदि सब कुछ ठीक रहा, तो कोई त्रुटि नहीं होगी और PHP-SOAP समस्याओं के बिना काम करेगा।
इसके अलावा, यदि आवश्यक हो, तो आप कर्ल लाइब्रेरी को भी बदल सकते हैं, सर्वर प्रमाणपत्र की जांच कर सकते हैं और सामान्य तौर पर, वे सभी ऑपरेशन जो एसएसएल कनेक्शन के लिए मान्य हैं, जो आपके वेब सर्वर को GOST एल्गोरिदम के साथ प्रमाणपत्र द्वारा प्राधिकरण के साथ बढ़ाते हैं।