Добрый день, вечер или ночь, все зависит от времени суток в который вам довелось прочитать мою статью.
В связи с ростом количества корпоративных клиентов, было принято решение дать доступ к учетной системе внешним пользователям. Для самостоятельного оформления заказов и отслеживания их состояний. Реализация была создан web интерфейс с необходимым функционалом и доступом. Тут же стал вопрос безопасности, кроме стандартных пользователь-пароль было решено еще усилить безопасность, для этого применили OpenVPN, но появились клиенты, для которых нельзя применять OpenVPN (политики безопасности, нежелания и.д.), тут на глаза попались статьи про доступ по ssl сертификату.
Исходные данные:
Сервер с учетной программой + web интерфейс находятся в DMZ;
WEB-server на nginx, на него проброшены порты http(80) и https(443);
На web-server настроен proxy_pass на сервер с учетной программой, доступ только по порту 8080 и только с IP web-server, большего доступа с серверу нет(обычная безопасность);
На сайт для доступа установлен сертификат от Let's Encrypt.
Переходим к самому процессу создания сертификата пользователя:
Для сертификатов будем использовать каталог "/etc/ssl/crm.example.ru"
Создаём структуру каталогов:
# mkdir /etc/ssl/crm.example.ru
# cd /etc/ssl/crm.example.ru
# mkdir db
# mkdir db/certs
# mkdir db/newcerts
# touch db/index.txt
# echo "01" > db/serial
# chmod 700 ./
[ ca ]
default_ca = CA_CITENAME # Секция по умолчанию для подписи сертификатов
[ CA_CITENAME ]
droot = /etc/ssl/crm.example.ru # Корневой каталог хранилища
dir = $droot/db # Каталог базы хранилища
certs = $dir/certs # Каталог сертификатов
new_certs_dir = $dir/newcerts # Каталог для новых сертификатов (pem)
database = $dir/index.txt # Файл базы сертификатов
serial = $dir/serial # Файл серийного номера
# Файл доверенного сертификата
certificate = $droot/ca.crt
# Закрытый ключ доверенного сертификата
private_key = $droot/ca.key
default_days = 365 # Срок действия нового сертификата (дни)
default_crl_days = 7 # Срок действия списка отозванных сертификатов
default_md = md5 # Использовать алгоритм MD5
policy = policy_citename # Политика секции
[ policy_citename ]
countryName = optional # Необязательный параметр
stateOrProvinceName = optional # .......................
localityName = optional # .......................
organizationName = optional # .......................
organizationalUnitName = optional # .......................
commonName = supplied # обязательный параметр
emailAddress = supplied # .....................
[ req_distinguished_name ]
countryName = Название страны (2-буквенный код)
countryName_default = RU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = Название области (полное название)
stateOrProvinceName_default = Tyumen region
localityName = Название местности (например, город)
localityName_default = Tyumen
0.organizationName = Название организации
0.organizationName_default = EXAMPLE
organizationalUnitName = Название организационной единицы (например, отдел)
commonName = Ваше имя
commonName_max = 64
emailAddress = Email адрес
emailAddress_max = 64
# openssl req -new -newkey rsa:2048 -nodes -keyout ca.key -x509 -days 365 -subj "/C=RU/ST=Tyumen region/L=Tyumen/O=EXAMPLE/OU=CRM/CN=crm.example.ru/emailAddress=crm@example.ru" -out ca.crt
# openssl req -new -newkey rsa:2048 -nodes -keyout ca.key -x509 -days 365 -out ca.crt
# openssl rsa -noout -text -in ca.key (для ключа)
# openssl x509 -noout -text -in ca.crt (для сертификата)
# openssl req -new -newkey rsa:2048 -nodes -keyout client01.key -subj "/C=RU/ST=Tyumen region/L=Tyumen/O=EXAMPLE/OU=CRM/CN=User example1/emailAddress=user@example1.ru" -out client01.csr
#openssl req -new -newkey rsa:2048 -nodes -keyout client01.key -out client01.csr
# openssl rsa -noout -text -in client01.key (для ключа)
# openssl req -noout -text -in client01.csr (для запроса)
# openssl ca -config ca.config -in client01.csr -out client01.crt -batch
# openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 -passout pass:123ewqasdcxz
# chmod 600 /etc/ssl/crm.example.ru/client*.crt
# chmod 600 /etc/ssl/crm.example.ru/client*.key
# mv ./client01.* db/certs/
ssl_client_certificate /etc/ssl/crm.example.ru/ca.crt;
ssl_verify_client on;
ssl_verify_depth 1;
К сожалению, не доступен сервер mySQL