II Bob. Sertifikatni tekshirish




Download 0,62 Mb.
bet5/8
Sana20.05.2024
Hajmi0,62 Mb.
#246235
1   2   3   4   5   6   7   8
Bog'liq
induvidualish2

II Bob. Sertifikatni tekshirish.


    1. Sertifikat va ma'lumotlarni yuklash, amal qilish muddatini

tekshirish
OpenSSL, xavfsizlik protokollari va algoritmlari kutubxonasi bo'lib, sertifikatni tekshirishni amalga oshirish uchun ham imkoniyatlar taqdim etadi. OpenSSL kutubxonasi yordamida sertifikatni tekshirish uchun quyidagi amallarni bajarish mumkin:

  1. Sertifikatning ma'lumotlarini ko'rish: OpenSSL orqali sertifikat faylini yoki sertifikatning ma'lumotlarini o'qish va ko'rish uchun quyidagi buyruqlardan foydalanishingiz mumkin:

openssl x509 -in sertifikat.crt -text
Bu buyruq sertifikatning umumiy ma'lumotlarini, tarkibiy tushunchalarini va boshqa asosiy ma'lumotlarini ko'rsatadi.

  1. Sertifikatning tekshirish: OpenSSL kutubxonasi quyidagi buyruqlar orqali sertifikatni tekshirish imkoniyatini beradi:

openssl verify sertifikat.crt
Ushbu buyruq sertifikatni imzosini va haqiqiyatini tekshiradi. Agar sertifikatning to'g'ri bo'ligi tasdiqlansa, "OK" yoki "certificate verified" degan xabar chiqadi. Aks holda, xato xabarlarini ko'rsatadi.

  1. Sertifikat va maxfiy kalitni solishtirish: Sertifikatning va maxfiy kalitning mos kelishuvini tekshirish uchun quyidagi buyruqlardan foydalanishingiz mumkin:

openssl x509 -in sertifikat.crt -noout -modulus openssl rsa -in maxfiy_kalit.key -noout -modulus
Ushbu buyruqlar sertifikatning va maxfiy kalitning moduluslarini chiqaradi.
Moduluslar bir xil bo'lganda, sertifikat va maxfiy kalit bir-biriga mos keladi.
OpenSSL kutubxonasi sertifikatni tekshirishning boshqalar ham ko'plab imkoniyatlarini taqdim etadi, masalan, revokatsiya holatini tekshirish, seriyasini tekshirish, Sertifikat Yetkazib Beruvchi (CA) ketma-ketligini tekshirish va hokazo. Bu buyruqlarni va ulardan foydalanishning ko'p qo'llanmalari OpenSSL dokumentatsiyasida mavjud.Sertifikatni tekshirish jarayonida OpenSSL
kutubxonasidan foydalanish, sertifikatning xavfsiz va to'liqligini tasdiqlash va sertifikat bilan bog'liq muammolarni aniqlashda yordam beradi.
Keling endi real misolda sinab ko’ramiz TLS/SSL sertifikatini yaratish.
Shaxsiy kalitdan boshlaylik, shaxsiy kalit yaratish uchun quyidagi buyruqdan foydalaning:
openssl genrsa -out my_private_key.key 2048

2.1-rasm. Yuqoridagi buyruq my_private_key.key fayl nomli kalit yaratadi.


Endi sizda shaxsiy kalit bor, u bilan umumiy kalit yarating: openssl rsa -in my_private_key.key -pubout > my_public_key.pub


2.2-rasm. Yuqoridagi buyruq my_public_key.key fayl nomli kalit yaratadi.


Yaxshi, endi sizda shaxsiy va ochiq kalitlaringiz bor va siz ulardan sertifikat faylini yaratish uchun foydalanishingiz mumkin. Bu erda o'zingiz imzolagan sertifikat yaratayotganingizni oldindan bilish muhimdir. Buning sababi, sertifikatni imzolash uchun CA (sertifikat organi) dan foydalanish qo'shimcha xarajatlarni talab qiladi.Lekin tashvishlanmang. Sertifikatingiz yetarli bo'ladi, chunki siz undan faqat ko'rgazmali maqsadlarda foydalanasiz. Sertifikat yaratish uchun quyidagi buyruqdan foydalaning:
openssl req -x509 -new -key my_private_key.key -days 365 -out mycert.pem Yuqoridagi buyruq mycert.pem nomli PEM tipidagi sertifikat fayliga olib keladi .Bu erda har bir variant o'z ma'nosiga ega. 365 sertifikatning amal qilish muddatini kunlarda ko'rsatadi.Endi so'rovga turli savollar uchun ma'lumotlarni
kiriting:
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]: [Name of your state] Locality Name (eg, city) []: [Name of your city]
Organization Name (eg, company) [Internet Widgits Pty Ltd]: [Name of your organization]
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:[Enter a common name here]

2.3-rasm. ls buyrug'i bilan joriy katalogdagi barcha fayllaringizni ko’rish Siz foydalanayotgan SSL sertifikatlarining amal qilish muddati tugamagan
yoki muddati tugash arafasida ekanligiga ishonch hosil qilish juda muhim. Bu borada beparvolik ishlab chiqarish tizimlariga halokatli ta'sir ko'rsatishi mumkin.
Sertifikat fayllarida odatda . pem yoki . crt kengaytmasi. Sertifikat tafsilotlarini o'rganish uchun openssl buyruqlaridan foydalanishingiz mumkin
. Masalan, quyidagi buyruq siz yuqorida yaratgan sertifikat tafsilotlarini beradi: openssl x509 -in mycert.pem -text -noout

2.4-rasm.Terminalingizda sertifikatning turli atributlarini tavsiflovchi uzun chiqishni ko'rasiz: Versiya, Seriya raqami, Imzo algoritmi, Emitent, Yaroqlilik
holati va boshqalar.
Xuddi shunday, siz ushbu buyruqni SSL sertifikati biriktirilgan port bilan ishlatishingiz mumkin. O'ylaymanki, siz yuqoridagi natijadan bizning sertifikatimizning amal qilish oralig'ini aniqladingiz.
SSL sertifikatingizni almashtirish yoki yangilashni rejalashtirganingizda har doim ushbu buyruqdan foydalaning. Shunday qilib, siz sertifikatlarni boshqarishda xatolardan qochishingiz mumkin[6].
Sertifikatning amal qilish muddati (validity period) sertifikatning berilgan vaqtdan (notBefore) va tugash vaqti (notAfter) orqali aniqlanadi. Sertifikatning amal qilish muddati, sertifikat egasi tomonidan belgilanadi va sertifikatning xavfsizlik hisoblanadi.Sertifikatni amal qilish muddatini va tekshirishni amalga oshirish uchun OpenSSL kutubxonasini quyidagi buyruqlardan foydalanishingiz mumkin:

  1. Sertifikatning amal qilish muddatini ko'rish:

openssl x509 -in sertifikat.crt -noout -dates
Ushbu buyruq sertifikatning amal qilish muddatini chiqaradi. Natijada, "notBefore" (berilgan vaqtdan oldin) va "notAfter" (tugash vaqti) ma'lumotlari ko'rsatiladi.

  1. Sertifikatning amal qilish muddatini tekshirish:

openssl verify -purpose sslserver -CAfile ca.crt sertifikat.crt
Bu buyruq sertifikatni tekshirib, amal qilish muddatini va xavfsizlikni tasdiqlash uchun foydalanilgan CA (sertifikat beruvchi) faylini (-CAfile) ko'rsatadi. "sslserver" maqsadi bilan sertifikatni tekshirish uchun `-purpose` parameteri foydalaniladi. Sertifikat amal qilish muddati tugagan bo'lsa, "OK" degan xabar chiqadi; aks holda, xato xabarlarini ko'rsatadi.
Sertifikatning amal qilish muddatini va tekshirishni amalga oshirish uchun yuklangan sertifikat faylini (`sertifikat.crt`) va gerekli CA faylini (`ca.crt`) o'rniga o'z fayllaringizning nomlarini kiriting. Agar sizning platformangizda boshqa buyruqlar yoki parametrlar talab qilinsa, OpenSSL dokumentatsiyasiga murojaat qiling.
Sertifikatning amal qilish muddati (validity period) va tekshirish, xavfsizlik va sertifikatların düzgün bir şekilde çalışmasını sağlamak için önemlidir. İşte bu
nedenlerle sertifikatların amal qilish muddatini ve tekshirishini yapmanız gerekmektedir:

  1. Amal qilish muddatini bilish: Sertifikatların amal qilish muddati, sertifikatın geçerli olduğu başlangıç ve bitiş tarihlerini belirtir. Bu bilgi, sertifikatın güvenilirliğini ve kullanılabilirliğini doğrulamaya yardımcı olur. Sertifikatın geçerlilik süresi, sertifika sahibi tarafından belirlenir ve genellikle sertifika yetkilisi (CA) tarafından onaylanır.

  2. Tekshirish: Sertifikatların amal qilish muddatini doğrulamak için OpenSSL kutubxonasını kullanabilirsiniz. Bu, sertifikatın geçerli olup olmadığını ve süresi içinde olup olmadığını kontrol etmenize olanak sağlar. Aşağıdaki komutu kullanarak sertifikatı tekshir edebilirsiniz:

openssl verify -CAfile ca.crt sertifikat.crt
Ushbu buyruq -CAfilesertifikatlashtirish organi (CA) sertifikatiga o'z parametri bilan yo'lni belgilaydi. ca.crtBuning o'rniga, siz o'zingizning CA sertifikatingizning fayl yo'lini belgilashingiz kerak. Sertifikatning amal qilish muddati va amal qilish muddati ichida ekanligini tekshiradi. Agar to'g'ri bo'lsa, "OK" xabari ko'rsatiladi; aks holda xato xabarlari paydo bo'lishi mumkin.
Ushbu harakatlar sertifikatning xavfsiz va to'g'ri ishlashini ta'minlashga yordam beradi. Sertifikatning amal qilish muddati va toʻgʻriligini muntazam tekshirib turish muhim, chunki muddati oʻtgan yoki yaroqsiz sertifikatlar xavfsizlikning zaiflashishiga va xizmat koʻrsatishda uzilishlarga olib kelishi mumkin.
Sertifikatni imzolashni va imzo to'g'riligini tekshirish uchun OpenSSL kutubxonasini quyidagi buyruqlardan foydalanishingiz mumkin:

  1. Sertifikatni imzolashni tekshirish:

openssl verify sertifikat.crt
Ushbu buyruq sertifikatni imzosini va haqiqiyatini tekshiradi. Agar sertifikatning imzosini to'g'ri hisoblasa, "OK" yoki "certificate verified" degan xabar chiqadi. Aks holda, xato xabarlarini ko'rsatadi.

  1. Sertifikat imzosini to'g'riligini tekshirish:

openssl x509 -noout -modulus -in sertifikat.crt | openssl sha256
Ushbu buyruq sertifikatning modulusini (public keyning xususiy parametri) hisoblaydi va uni SHA-256 algoritmi orqali hashlaydi. Hash natijasi sertifikatning imzo to'g'riligini tasdiqlayadi. Sertifikatni o'zingizning imzosini (privat kalit orqali olingan) olish uchun maxfiy kalitni ham berishingiz kerak.
Bu buyruqlarni sertifikat faylining nomi bilan o'rniga o'zgartiring. Sertifikatning imzosini va imzo to'g'riligini tekshirishda OpenSSL kutubxonasidan foydalanishingiz kerak. Bu bilan sertifikatning xavfsizlik darajasini va to'g'riligini tekshirishingiz mumkin.
Sertifikatni taqdim etuvchisini va taqdim etuvchi sertifikatlarini tekshirish uchun OpenSSL kutubxonasidagi quyidagi buyruqlardan foydalanishingiz mumkin:
Sertifikatni taqdim etuvchisini aniqlash:
openssl x509 -in sertifikat.crt -noout -issuer
Ushbu buyruq sertifikatning taqdim etuvchisini chiqaradi. Natijada, taqdim etuvchi sertifikatning ma'lumotlari ko'rsatiladi, shuningdek, taqdim etuvchining nomi, tashqi tashkilot nomi, tashkilotning manzili, shaxsning ma'lumotlari va hokazo.Taqdim etuvchi sertifikatlarini tekshirish:
openssl verify -CAfile ca.crt sertifikat.cr
Bu buyruq sertifikatni tekshirib, taqdim etuvchi sertifikatlari orqali tasdiqlashni amalga oshiradi. `-CAfile` parameteri orqali CA (sertifikat beruvchi) sertifikatlarning joylashgan faylni belgilashingiz kerak. Bu faylda taqdim etuvchi sertifikatlari bo'lishi kerak. Sertifikatning tasdiqlanganligi va taqdim etuvchisining sertifikatini qo'llab-quvvatlayan CA sertifikatlari mavjud bo'lsa, "OK" degan xabar chiqadi. Aks holda, xato xabarlarini ko'rsatadi.
Sertifikatning taqdim etuvchisini va taqdim etuvchi sertifikatlarini tekshirish uchun yuklangan sertifikat faylini (`sertifikat.crt`) va kerakli CA faylini (`ca.crt`) o'rniga o'z fayllaringizning nomlarini kiriting. OpenSSL kutubxonasidan foydalanish orqali sertifikatning taqdim etuvchisini va taqdim etuvchi sertifikatlarini tekshirishingiz mumkin.Windows muhitida sertifikatlar haqiqiyligini ta'minlash[6].
Autentifikatsiya bilan bog'liq muammolar raqamli sertifikatlar yordamida foydalanuvchilar, tizimlar va xavfsiz tarmoq ulanishlarini aniqlash jarayonida muhim o'rin tutadi. Sertifikatning haqiqiyligini tekshirish uchun ochiq kalitlar infratuzilmasi (PKI) mexanizmlaridan foydalanadigan Windows dasturi sertifikatga va tegishli ochiq kalitga ishonishi mumkinligini aniqlashi kerak.
Sertifikatni autentifikatsiya qilish uchun PKI dasturi tegishli mantiqqa asoslanib, sertifikatning turli qismlari uchun bir qator taqqoslash protseduralari bajarilishi kerak. Ushbu maqolada biz ushbu protseduralarni, shuningdek sertifikatlarni autentifikatsiya qilish jarayonining boshqa jihatlarini ko'rib chiqamiz. Ushbu jarayonni sinchkovlik bilan o'rganish, agar mavjud bo'lsa, sertifikatni tekshirish masalalarini aniqlash va hal qilishga yordam beradi.
Sertifikatlarni autentifikatsiya qilish jarayonida quyidagi mezonlar bo'yicha taqqoslash protseduralari amalga oshiriladi: raqamli imzo, ishonch parametrlari, vaqt parametrlari, bekor qilish to'g'risidagi ma'lumotlar va formatlash parametrlari. Agar sertifikat ushbu mezonlardan kamida bittasining talablariga javob bermasa, u haqiqiy emas deb hisoblanadi. Raqamli imzo to'planganida, autentifikator ishonchli ochiq kalitdan foydalangan holda sertifikat beruvchi organ tomonidan sertifikatga qo'shilgan raqamli imzoning haqiqiyligini tekshiradi. Kalit kalit sifatida CA beruvchi organning yoki sertifikat zanjiriga kiritilgan boshqa tashkilotning ochiq kaliti kalit sifatida ishlatiladi.
Imzoning haqiqiyligini tekshirish uchun ochiq kalitning o'zi etarli emas, u ishonchli bo'lishi kerak. Windows Server 2003 va Windows 2000 Server PKI infratuzilmalarida, CA sertifikati va ochiq kalit ishonchli langarlar deb nomlanadi va Windows PKI mijoz sertifikatlari do'konidagi Trusted Root Certification Authorities konteyneri orqali olinadi. Ishonch munosabatlari parametrlarini taqqoslash jarayonida ishonchli CA sertifikatlari autentifikatsiya qilingan - bu protsedura sertifikatlar zanjirining haqiqiyligini tekshirish deb ham ataladi. Ushbu protsedura zanjirdagi har bir sertifikat uchun autentifikatsiya qilishning turli tsikllarini qo'zg'atishi mumkin. Sertifikatlar zanjirining haqiqiyligini tekshirish tartibi quyida batafsilroq muhokama qilinadi[5,6].

    1. Download 0,62 Mb.
1   2   3   4   5   6   7   8




Download 0,62 Mb.