В данной статье описан алгоритм настройки SSH-клиента Putty для ОС Windows для работы с JaCarta PKI. ДжаКарта PKI — токены, выпускаемые компанией «Аладдин Р.
Д.
» для строгой двухфакторной аутентификации пользователей при доступе к защищенным информационным ресурсам предприятия, безопасного хранения ключей и ключевых контейнеров программного обеспечения СКЗИ.
Общая информация
SSH
SSH — это сетевой протокол уровня приложения, который позволяет удаленно управлять операционной системой и туннелировать TCP-соединения.Шифрует весь трафик, включая передаваемые пароли.
SSH позволяет выбирать различные алгоритмы шифрования.
Клиенты SSH и серверы SSH доступны для большинства сетевых операционных систем.
SSH поддерживает аутентификацию по ключу RSA, что обеспечивает максимальный уровень безопасности канала передачи данных, а также двухфакторную аутентификацию удаленных пользователей.
Аутентификация сертификата
Чтобы настроить SSH с использованием сертификатов RSA, вам необходимо настроить SSH-сервер, а также SSH-клиент на клиентском компьютере.В этом документе описан алгоритм настройки SSH с использованием смарт-карты или токена JaCarta PKI для целей аутентификации и шифрования установленного канала.
Настройка смарт-карт для SSH-клиента
Как настроить серверную часть на примере Ubuntu
Генерация пары ключей с помощью утилиты ssh-keygen
- Перейдите в каталог /home/user/.
ssh.
- ssh-keygen -t rsa
- Задайте имя ключа, например, key
- Установите пароль ключа (для шифрования закрытого ключа), например, 12345678.
- На выходе получается два файла, например, key и key.pub.
Формирование запроса на сертификат с ключами из шага 1
- openssl req -new -out user.req -key ключ
Выдача сертификата в CA openssl
- Настройка центра сертификации OpenSSL
- компакт-диск /etc/ssl
- судо -я
- эхо «01» > серийный номер
- cp /dev/null index.txt
- Отредактируйте файл /etc/ssl/openssl.cnf nano openssl.cnf.
- реж = .
/
- сертификаты = $каталог/сертификаты
- crl_dir = $каталог/crl
- база данных = $dir/index.txt
- new_certs_dir = $каталог/сертификаты
- сертификат = $dir/ca.crt
- серийный номер = $каталог/серийный
- crl = $dir/crl.pem
- Private_key = $dir/ca.key
- реж = .
- openssl req -new -x509 -keyout ca.key -out ca.crt -days 3650
- mkdir crl
- Скачать
- Запуск makehashlink
- chmod +x make_hash_link.sh
- .
/make_hash_link.sh /etc/ssl
- .
/make_hash_link.sh /etc/ssl/crl
- Подписание сертификата пользователя (проблема)
- судо -я
- компакт-диск /home/user/.
ssh
- openssl ca -out user.crt -infiles user.req
Импорт открытого ключа в Authorized_keys
- Каталог /home/user/.
ssh должен содержать файл открытого ключа, содержащий ssh-rsa {KEY}.
В примере мы создали файл с именем key.pub.
- Импортируйте этот ключ в файлauthorized_keys.
- echo key.pub > авторизованные_ключи
Дополнительная настройка серверной части
- chmod 700 авторизованных_ключей
- настройки опенсш.
В /etc/ssh/sshd.conf редактируем конфигурацию аутентификации
- RSAA-аутентификация да
- PubkeyAuthentication да
- PasswordAuthentication no - отказ от аутентификации по паролю (необязательно)
Запись сертификата на смарт-карту
Вам необходимо перенести сертификат на смарт-карту.Для передачи нужно собрать все необходимые объекты в зашифрованный контейнер и записать его на смарт-карту.
- openssl pkcs12 -export -in user.crt -inkey key -certfile ca.crt -name "user" -out user.pfx
- Перенос файла user.pfx в систему Windows с установленным Программное обеспечение «Единый клиент JaCarta» или JC-клиент
- Ввод PIN-кода пользователя
- Импортировать сертификат в токен
- Выберите файл user.pfx и нажмите «Импортировать».
Проверка работоспособности сертификата
ssh -I /usr/lib/x86-athena/libASEP11.so 127.0.0.1Настройка SSH-клиента Putty в Windows
Запуск утилит из дистрибутива putty-cac\executables
- Pageant.exe
- putty.exe
Выбор сертификата в конкурсе
Как правило, сертификат появляется в хранилище сертификатов автоматически, но в некоторых случаях вам может потребоваться добавить его вручную.
Запуск и настройка Putty
Вкладка «Соединение/SSH/CAPI»
Вход в сеанс SSH с использованием сертификата
После ввода PIN-кода пользователя будет установлен сеанс SSH. Теги: #OpenSSH Putty #JaCarta #USB-токен #смарт-карта #смарт-карта #аутентификация #шифрование #linux #ssh #открытый исходный код #информационная безопасность #криптография #открытый исходный код #Системное программирование-
Что Такое Наши Счастливые Сайты
19 Oct, 24 -
Гадамер, Ханс Джордж
19 Oct, 24 -
Что Ты Видишь?
19 Oct, 24 -
Bookbook – Необычный Чехол Для Ноутбуков
19 Oct, 24 -
Интернет-Магазин. Начало Работы
19 Oct, 24
