Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

X509 المصادقة دعم المستند

المُقدّمة

يمكنك استخدام مصادقة X.509 بجميع طرق إرسال التحديثات إلى ملف Whois قاعدة البيانات. أيًا كانت الطريقة التي تستخدمها ، ستحتاج إلى الحصول على شهادة ومفتاح خاص. إذا كان لديك بالفعل شهادة صادرة عن مرجع مصدق آخر ، يمكنك استخدام ذلك. إذا لم يكن الأمر كذلك وكنت LIR ، فيمكنك إنشاء واحد باستخدام RIPE NCC لأن AfriNIC لا تقوم بتشغيل CA حتى الآن. وإلا فسيتعين عليك إنشاء شهادة موقعة ذاتيًا لنفسك. تنفيذ AfriNIC لـ X.509 لتوقيع التحديثات إلى Whois قاعدة البيانات ليست معنية بمسار الثقة للشهادة. تُستخدم الشهادة فقط لتخزين المفتاح العام في كائن شهادة مفتاح لمطابقة مفتاحك الخاص. لا يؤخذ في الاعتبار قوائم إبطال الشهادات. هذا هو السبب في أن الشهادة الموقعة ذاتيًا ستعمل بشكل جيد لأغراض توقيع تحديثات قاعدة البيانات.

إذا كنت ترغب في إرسال تحديثاتك من عميل بريد يدعم S / MIME ، فيمكنك استيراد شهادتك إلى عميل البريد واستخدامه للتوقيع على رسائل التحديث. إذا كان عميل البريد المفضل لديك لا يدعم S / MIME ، فيمكنك توقيع الرسائل من سطر الأوامر باستخدام OpenSSL وقص الرسالة الموقعة ولصقها في نافذة إنشاء عميل البريد.

قم بإعداد عميل البريد الخاص بك

تحتاج أولاً إلى إنشاء شهادة.

بمجرد إنشاء الشهادة ، حدد خيارًا لتصدير الشهادة والمفتاح الخاص أو نسخهما احتياطيًا من متصفحك. ترد بعض المبادئ التوجيهية لهذا في ملحق وثائق RIPE NCC A1.2.

قم باستيراد الشهادة الاحتياطية والمفتاح الخاص إلى عميل البريد الإلكتروني الخاص بك.

قم بإعداد قاعدة البيانات

أنت الآن جاهز لتوقيع الرسائل من عميل البريد الخاص بك. الخطوة التالية هي إعداد نهاية قاعدة بيانات AfriNIC. لهذا تحتاج إلى إنشاء X509 جديد كائن شهادة مفتاح وقم بتعيين التفويض في كائن mntner لاستخدام X509.

إنشاء كائن شهادة مفتاح

تحتاج إلى إنشاء كائن شهادة مفتاح وفقًا للقالب التالي:

key-cert: [إلزامي] [مفرد] [مفتاح أساسي / بحث]
الأسلوب: [تم إنشاؤه] [فردي] []
مالك: [تم إنشاؤه] [متعدد] []
Fingerpr: [تم إنشاؤه] [مفرد] [مفتاح معكوس]
شهادة: [إلزامي] [متعدد] []
remarks: [optional] [multiple] [ ]
notify: [optional] [multiple] [inverse key]
admin-c: [اختياري] [متعدد] [مفتاح معكوس]
tech-c: [اختياري] [متعدد] [مفتاح معكوس]
mnt-by: [إلزامي] [متعددة] [مفتاح معكوس]
changed: [mandatory] [multiple] [ ]
source: [mandatory] [single] [ ]

ستحتاج إلى استخدام OpenSSL لتحويل الشهادة إلى تنسيق نص ascii. ملف النسخ الاحتياطي الذي تم تصديره من المستعرض الذي يحتوي على شهادتك ومفتاحك الخاص بتنسيق ثنائي ويجب أن يكون امتداد الملف .p12. استخدم OpenSSL لتحويل هذا الملف الثنائي إلى ملف ascii والذي سيكون له امتداد الملف pem.

الأمر للقيام بذلك هو:

opensl pkcs12 -clcerts ascii.pem 

افتح الآن ملف ascii.pem في محرر نصي. أزل كل شيء من الملف باستثناء الشهادة. هذا وارد في السطور:

----- شهادة بدء ----- 
......
----- شهادة النهاية -----

يجب عليك أيضًا الاحتفاظ بسطر BEGIN و END. سيشكل هذا الآن بيانات الشهادة لكائن شهادة المفتاح. أضف إلى بداية كل سطر من هذه السطور اسم السمة "certif:"

فمثلا:

الشهادة: ----- شهادة البداية -----
الشهادة: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
شهادة: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
شهادة: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
شهادة: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
شهادة: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
شهادة: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
الشهادة: PeUqjPPTZg ==
الشهادة: ----- شهادة النهاية -----

سيتم إنشاء سمات "method:" و "owner:" و "fingerpr:" تلقائيًا بواسطة برنامج تحديث قاعدة البيانات بحيث يمكن تجاهلها في هذه المرحلة. السمة الوحيدة المطلوبة قبل بيانات "certif:" هي "key-cert:". يتم إنشاء قيمة اسم هذه السمة تلقائيًا ، لذا أضف هذا السطر في بداية الملف:

مفتاح الشهادة: AUTO-1 

لا يتم استخدام هذا الاسم إلا كعلامة في سمات "auth:" للمشرف ، لذلك تقرر عدم السماح بأي اختيار في الاسم. سيكون الاسم الذي تم إنشاؤه من النوع X509-nnn حيث يكون nnn هو الرقم الصحيح التالي المتاح. لن يتم إعادة استخدام هذه الأرقام. بمجرد حذف كائن key-cert ، لا يمكن إعادة إنشاء كائن يحمل نفس الاسم.

يبدو باقي كائن key-cert بعد سمات "certif:" كما يلي:

ملاحظات: نموذج شهادة مفتاح
إعلام: you@your_domain.net
mnt بواسطة: YOUR-MNT
تغير: you@your_domain.net 20040101
المصدر: AFRINIC

هذا يعطي كائن key-cert النهائي يبدو كالتالي:

مفتاح الشهادة: AUTO-1
الشهادة: ----- شهادة البداية -----
الشهادة: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
شهادة: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
شهادة: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
شهادة: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
شهادة: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
شهادة: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
الشهادة: PeUqjPPTZg ==
الشهادة: ----- شهادة النهاية -----
ملاحظات: نموذج شهادة مفتاح
إعلام: you@your_domain.net
mnt بواسطة: YOUR-MNT
تغير: you@your_domain.net 20050101
المصدر: AFRINIC

يمكن الآن إرسال هذا إلى برنامج تحديث قاعدة البيانات بإرساله في رسالة بريد إلكتروني إلى auto-dbm@afrinic.net، أو باستخدام طرق المزامنة أو تحديثات الويب.

سيبدو الكائن النهائي الذي تم إنشاؤه في قاعدة البيانات كما يلي:

مفتاح سيرت: X509-23
الطريقة: X509
المالك: /C=NL/O=AFRINIC/OU=Members/CN=tg.dodo.adder
\ /البريد الإلكتروني=you@your_domain.net
fingerpr: AC:B5:B1:36:95:F3:46:93:B1:2D:58:EB:E1:46:DA:3F
الشهادة: ----- شهادة البداية -----
الشهادة: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
شهادة: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
شهادة: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
شهادة: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBgl
شهادة: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
شهادة: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
الشهادة: PeUqjPPTZg ==
الشهادة: ----- شهادة النهاية -----
ملاحظات: نموذج شهادة مفتاح
إعلام: you@your_domain.net
mnt بواسطة: YOUR-MNT
تغير: you@your_domain.net 20040101
المصدر: AFRINIC

تحديث المشرف

الخطوة الأخيرة لاستخدام X.509 هي تعيين تفويض كائن mntner الخاص بك لقبول X.509. يُنصح في المقام الأول بالاحتفاظ بطريقة التفويض الحالية الخاصة بالمشرف وإضافة X.509 كطريقة إضافية. بعد أن تختبر استخدامه بنجاح ، يمكنك حذف أي ملف
طرق ترخيص أقل أمانًا مثل كلمات المرور.

إذا كان كائن mntner الحالي يبدو مثل هذا:

منتنر: YOUR-MNT
descr: كائن معيل الشركة
المشرف ج: TP1-AFRINIC
محدث-إلى: you@your_domain.net
الإحالة من قبل: RIPE-DBM-MNT
mnt بواسطة: YOUR-MNT
المصادقة: CRYPT-PW dbOnSHFpKZTBU
تغير: you@your_domain.net 20050101
المصدر: AFRINIC

أضف سطر تفويض إضافي لـ X509-23 وأرسل الكائن إلى برنامج تحديث قاعدة البيانات بالطريقة المعتادة ، مع توفير التفويض الحالي المطلوب. في هذا المثال ستكون كلمة المرور crypt-pw:

منتنر: YOUR-MNT
descr: كائن معيل الشركة
المشرف ج: TP1-AFRINIC
محدث-إلى: you@your_domain.net
الإحالة من قبل: RIPE-DBM-MNT
mnt بواسطة: YOUR-MNT
المصادقة: CRYPT-PW dbOnSHFpKZTBU
المصادقة: X509-23
تغير: you@your_domain.net 20050101
المصدر: AFRINIC

باستخدام ترخيص X.509

كل شيء جاهز الآن لاستخدام ترخيص X.509. يمكنك إنشاء رسالة في عميل البريد الخاص بك تحتوي على التحديث. وقّع الرسالة بشهادتك ومفتاحك الخاص. قد تحتاج إلى مراجعة الوثائق الخاصة بعميل البريد الخاص بك لمعرفة كيفية القيام بذلك. ثم أرسل البريد الإلكتروني إلى auto-dbm@afrinic.net. بمجرد إرسال تحديث ناجح ، يمكنك ، إذا كنت ترغب في ذلك ، إزالة طريقة المصادقة الأضعف عن طريق إزالة السطر في هذا المثال:

المصادقة: CRYPT-PW dbOnSHFpKZTBU 

من كائن mntner الخاص بك. لا يمكن الآن السماح بالتحديثات إلا من خلال طريقة المصادقة الأقوى لـ X.509.