...
Info |
---|
За основу настройки сервера и клиента была взята эта статья. Для настройки клиента с аутентфикацией по ГОСТу можно можно воспользоваться данной статьей |
Настройка сервера
Произведем Выполним первичную настройку на сервересервера:
Code Block | ||||
---|---|---|---|---|
| ||||
# Настраиваем firewall для приема соединений на 443 порту sudo ufw allow 443/tcp sudo ufw allow 22/tcp sudo ufw enable # СтавимУстанавливаем необходимые пакеты sudo apt-get update sudo apt-get upgrade sudo apt-get install stunnel4 openssl opensc libengine-pkcs11-openssl1.1 # В нашем случае дополнительно нужно будет поставить сервис ssh sudo apt-get install ssh # И запустить его (предварительно перед этим можете настроить его нужнымлюбым для Вас способом) sudo systemctl start ssh # Установим библиотеку pkcs11 wget https://download.rutoken.ru/Rutoken/PKCS11Lib/Current/Linux/x64/librtpkcs11ecp_2.0.5.1-1_amd64.deb sudo dpkg -i librtpkcs11ecp_2.0.5.1-1_amd64.deb # Создадим папку для хранения сертификатов sudo mkdir /var/lib/stunnel4/certs |
Создадим файл с файл /etc/stunnel/stunnel.conf с конфигурацией stunnel
Code Block | ||||
---|---|---|---|---|
| ||||
; ************************************************************************** ; * Global options * ; ************************************************************************** ; Установим уровень отладочных сообщений debug = 7 ; Лог-файл output = /var/lib/stunnel4/stunnel.log ; Не использовать syslog syslog = no ; ************************************************************************** ; * Service defaults may also be specified in individual service sections * ; ************************************************************************** ; Сертификат/ключ сервера cert = /etc/stunnel/servercert.pem key = /etc/stunnel/serverkey.pem ; Проверка сертификата. 0 - не проверять, 1 - проверять при наличии, 2 - проверять всегда, ... verify = 2 ; Каталог для разрешенных сертификатов. ; Находится в окружении. Для каждого сертификата должна быть хэшхеш-ссылка CApath = /var/lib/stunnel4/certs ; Не использватьиспользовать SSLv2 options = NO_SSLv2 ; ************************************************************************** ; * Service definitions (remove all services for inetd mode) * ; ************************************************************************** [ssh] ; Принимать соединения на интерфейс:порт или просто порт. Например accept = 192.168.0.1:443 accept = 443 ; Отдавать приложению на интерфейс:порт или просто порт. Например connect = 127.0.0.1:22 connect = 22 |
...
Создадим необходимый набор ключевых пар и сертификатов для УЦ, сервера и клиента.
Info | ||
---|---|---|
| ||
Для упрощенного упрощения процесса создания ключей и заявок на сертификат на токене, а также их импорт на токен него можно воспользоваться утилитой по работе с токеном. |
Code Block | ||||
---|---|---|---|---|
| ||||
# Генерация сертификата и ключа УЦ sudo openssl req -nodes -new -days 365 -newkey rsa:2048 -x509 -keyout cakey.pem -out cacert.pem # Генерация ключевой пары сервера sudo openssl genrsa -out serverkey.pem 2048 # Генерация заявки на сертификат сервера sudo openssl req -new -out server.req -key serverkey.pem # Создание сертификата сервера sudo openssl x509 -req -in server.req -CAkey cakey.pem -CA cacert.pem -out servercert.pem -CAcreateserial # Генерация ключевой пары клиента pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 454647 # Генерация заявки на сертификат клиента openssl OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so ... OpenSSL> req -engine pkcs11 -new -key "pkcs11:id=%45%46%47" -keyform engine -out client.req -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com" # Создание сертификата клиента sudo openssl x509 -req -in client.req -CAkey cakey.pem -CA cacert.pem -out clientcert.pem -CAcreateserial # Импорт сертификата на токен pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./clientcert.pem --id 454647 sudo mv serverkey.pem /etc/stunnel/ sudo mv servercert.pem /etc/stunnel/ sudo mv clientcert.pem /var/lib/stunnel4/certs sudo mv cacert.pem /var/lib/stunnel4/certs cd /var/lib/stunnel4/certs # функция получения хеша содержимому файла function get_hash() { local file=$1 openssl x509 -noout -hash -in "$file" } # создадим ссылки на сертификаты в нужном формате sudo ln -s cacert.pem "`get_hash cacert.pem`.0" sudo ln -s clientcert.pem "`get_hash clientcert.pem`.0" # запустим сервер stunnel sudo systemctl restart stunnel4 |
...
В данный конфигурационный файл /path/to/openssl.cnf добавим следующие строчки
...