16. časť

Zdieľanie zdrojov medzi OS Windows a OS Linux

Webo­vý server Apa­che, kto­rý sme nain­šta­lo­va­li a spus­ti­li v zá­klad­nej kon­fi­gu­rá­cii, plá­nu­je­me pou­ží­vať na zdie­ľa­nie úda­jov. Vý­cho­dis­ko­vá kon­fi­gu­rá­cia však ne­pos­ky­tu­je žiad­ne za­bez­pe­če­nie dát po­čas ich tran­spor­tu, a pre­to ju bu­de­me mu­sieť pat­rič­ne up­ra­viť. Vy­uži­je­me pri tom služ­by kryp­tog­ra­fie pou­ží­va­jú­cej ve­rej­né kľú­če.

PKI (Pub­lic Key Infra­struc­tu­re)

Pod­sta­tou asy­met­ric­ké­ho šif­ro­va­nia je pou­ží­va­nie pá­ru šif­ro­va­cích kľú­čov - ve­rej­né­ho a súk­rom­né­ho. Úda­je za­šif­ro­va­né ve­rej­ným kľú­čom mož­no de­šif­ro­vať iba po­mo­cou súk­rom­né­ho kľú­ča. Oba kľú­če mu­sia tvo­riť vzá­jom­ne ko­reš­pon­du­jú­ci pár a pou­ží­va­jú sa na vý­me­nu ďal­šie­ho kľú­ča (ná­hod­né­ho čís­la), kto­rý sa nes­kôr pou­ži­je pri sym­et­ric­kom šif­ro­va­ní pre­ná­ša­ných dát.

Na ove­re­nie prís­luš­nos­ti ve­rej­né­ho kľú­ča ku kon­krét­ne­mu server­u, s kto­rým chce­me ko­mu­ni­ko­vať, pou­ží­va­me dô­ve­ry­hod­né cer­ti­fi­ká­ty. Tie­to cer­ti­fi­ká­ty sú ove­re­né cer­ti­fi­kač­nou auto­ri­tou (CA), kto­rej dô­ve­ru­je­me. Cer­ti­fi­kát ob­sa­hu­je ok­rem iné­ho aj ve­rej­ný kľúč a veľ­mi dô­le­ži­tú in­for­má­ciu o do­be plat­nos­ti cer­ti­fi­ká­tu. Cer­ti­fi­kač­né auto­ri­ty sú štruk­tú­ro­va­né vo for­me re­ťaz­ca (chain), pri­čom naj­vyš­šiu auto­ri­tu na­zý­va­me ko­re­ňo­vou (root).

Teória tý­ka­jú­ca sa PKI a kon­krét­nej im­ple­men­tá­cie for­mou pro­to­ko­lu SSL/TLS je nes­mier­ne ob­siah­la, a pre­to sa bu­de­me ve­no­vať skôr prak­tic­kým čin­nos­tiam, kto­ré mu­sí­me vy­ko­nať.

Vy­tvo­re­nie pá­ru kľú­čov

Na vy­tvo­re­nie kľú­čo­vé­ho pá­ru (1024-bi­to­vý kľúč RSA za­šif­ro­va­ný po­mo­cou 3DES, ulo­že­ný vo for­má­te PEM) a tzv. po­žia­dav­ky na pod­pis cer­ti­fi­ká­tu (CSR - Cer­ti­fi­ca­te Sig­ning Request) pre náš webo­vý server pou­ži­je­me nás­tro­je OpenSSL (www.openssl.org):

openssl genr­sa -de­s3 -out server.key 1024
- za­dá­me hes­lo pre de­šif­ro­va­nie kľú­ča

openssl req -new -key server.key -out server.csr
- za­dá­me hes­lo pre de­šif­ro­va­nie kľú­ča
- vy­pl­ní­me X.509 at­ri­bú­ty - dô­le­ži­té je správ­ne vy­pl­niť Com­mon Na­me = FQDN náš­ho server­a

Ve­rej­ný kľúč extra­hu­je­me zo súk­rom­né­ho kľú­ča po­mo­cou:

openssl rsa -in server.key -pu­bout -out pub­lic.key

OpenSSL na­mi pou­ži­té pa­ra­met­re štan­dar­dne dopĺňa o ďal­šiu sku­pi­nu pa­ra­met­rov, kto­ré sú uve­de­né v kon­fi­gu­rač­nom sú­bo­re /etc/ssl/openssl.cnf.

De­šif­ro­va­nie súk­rom­né­ho kľú­ča

Z dô­vo­du, aby nás služ­ba Apa­che pri svo­jom štar­te ne­vy­zý­va­la na za­da­nie hes­la na de­šif­ro­va­nie súk­rom­né­ho kľú­ča, je dob­ré to­to hes­lo od­strá­niť (kľúč tr­va­lo de­šif­ro­vať). Sa­moz­rej­me, v ta­kom prí­pa­de je nes­mier­ne dô­le­ži­té sú­bor za­bez­pe­čiť pred neop­ráv­ne­ným prís­tu­pom. Hes­lo od­strá­ni­me tak­to:

cp server.key server­3d­es.key
openssl rsa -in server­3d­es.key -out server.key
- za­dá­me hes­lo pre de­šif­ro­va­nie kľú­ča

Cer­ti­fi­kát pod­pí­sa­ný sa­mým se­bou (self-sig­ned cer­ti­fi­ca­te)

Je sa­moz­rej­mé, že cer­ti­fi­kát, kto­rý si sa­mi pod­pí­še­me, bu­de auto­ma­tic­ky ne­dô­ve­ry­hod­ný. Webo­vý pre­hlia­dač nám ih­neď ozná­mi, že cer­ti­fi­kač­nej auto­ri­te, kto­rá cer­ti­fi­kát pod­pí­sa­la, ne­dô­ve­ru­je. Na otes­to­va­nie správ­nej fun­kčnos­ti šif­ro­va­nia nám tak­to pod­pí­sa­ný cer­ti­fi­kát pos­ta­ču­je. Na pod­pí­sa­nie cer­ti­fi­ká­tu po­mo­cou vlas­tné­ho súk­rom­né­ho kľú­ča pou­ži­je­me vý­raz:

openssl x509 -req -days 365 -in server.csr -sig­nkey server.key -out server.crt

Na­ko­niec mô­že­me skon­tro­lo­vať ob­sah cer­ti­fi­ká­tu:

openssl x509 -noout -text -in server.crt

Zdielanie-obr1.jpg

Obr.1 Ob­sah cer­ti­fi­ká­tu pod­pí­sa­né­ho sa­mým se­bou

Zdroj: IW 12/2013



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Up­gra­de na Win­dows 8.1
Od októbra si používatelia Windows 8 môžu zadarmo stiahnuť cez Windows Obchod aktualizáciu na Windows 8.1. Ako vývojári aplikácií môžete predpokladať, že väčšina používateľov si svoje počítače a tablety zaktualizuje. To sa, samozrejme, týka domácich, hobby a SMB (malé firmy, živnosti, slobodné povolania...) používateľov. čítať »
 
Prog­ra­mu­je­me GPU 27
V tomto článku rozoberieme niektoré detaily týkajúce sa používania geometrických shaderov (GS). Využijeme pritom kód shadera siluet, ktorý je súčasťou vzorovej aplikácie glsl v3.1. čítať »
 
DNS – úp­ra­va kon­fi­gu­rač­né­ho sú­bo­ru na­med.conf pod­ľa views
V predchádzajúcej časti sme si stanovili, že náš server rubin, na ktorom pobeží služba DNS, má dve rozhrania – jedno do vnútornej siete a druhé do vonkajšej siete. Preto sme si aj vytvorili dve zóny, každú pre jednu sieť – vnútornú zónu a vonkajšiu zónu. A pre každú zónu sme pripravili aj zónové záznamy. Teraz na základe tohto rozdelenia upravíme konfiguračný súbor named.conf. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux
Webový server Apache, ktorý sme nainštalovali a spustili v základnej konfigurácii, plánujeme používať na zdieľanie údajov. Východisková konfigurácia však neposkytuje žiadne zabezpečenie dát počas ich transportu, a preto ju budeme musieť patrične upraviť. Využijeme pri tom služby kryptografie používajúcej verejné kľúče. čítať »
 
Preh­ľad ôs­mich nás­tro­jov pre ad­mi­nis­trá­to­rov
V dnešnom svete outsourcingu sa stále väčší dôraz kladie na zefektívňovanie a automatizáciu postupov. Systémový administrátor má k dispozícii viacero nástrojov, ktoré mu môžu uľahčiť a zefektívniť jeho prácu. Zameriame sa na niektoré z nich z prostredia serverov a pracovných staníc s Windows. čítať »
 
Af­fi­lia­te mar­ke­ting v služ­bách web­mas­te­rov
Kto vlastní alebo prevádzkuje webové projekty, vie, že je ťažké efektívne vypredať mediálny priestor. Základom je nasadenie banerových pozícií cez reklamnú sieť a následné nasadenie pozícií pay-per-click. čítať »
 
Fir­my dá­ta ne­šif­ru­jú: kaž­dý dru­hý uk­rad­nu­tý no­te­book ne­bol vy­ba­ve­ný sys­té­mom na ochra­nu dát
Viac ako polovica ukradnutých notebookov sa dostáva do nepovolaných rúk bez akéhokoľvek systému na ochranu dát. Pre firmy sú oveľa cennejšie dáta ako samotné zariadenia, maximálnu škodu, ktorá môže nastať stratou dát, firmy vyčíslujú nad 50-tisíc eur. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter