የህዝብ ቁልፍ መሠረተ ልማት. ራስን በማግለል ጊዜ የምስክር ወረቀቶችን መስጠት

ይህ ሁሉ እንዴት ጀመረ

ራስን ማግለል በጀመረበት ወቅት፣ በፖስታ ደብዳቤ ደረሰኝ፡-

የመጀመሪያው ምላሽ ተፈጥሯዊ ነበር: ወደ ቶከኖች መሄድ አለብዎት, ወይም እነሱ መቅረብ አለባቸው, ግን ከሰኞ ጀምሮ ሁላችንም ቤት ውስጥ ተቀምጠናል, በእንቅስቃሴ ላይ እገዳዎች አሉ, እና ገሃነም ማን ነው? ስለዚህ መልሱ በጣም ተፈጥሯዊ ነበር፡-

እና ሁላችንም እንደምናውቀው፣ ከሰኞ፣ ኤፕሪል 1፣ ትክክለኛ ራስን የማግለል ጊዜ ተጀመረ። ሁላችንም ወደ የርቀት ስራ ቀይረናል እና ቪፒኤንም እንፈልጋለን። የእኛ ቪፒኤን በOpenVPN ላይ የተመሰረተ ነው፣ነገር ግን የተሻሻለው የሩስያ ምስጠራን ለመደገፍ እና ከPKCS#11 tokens እና PKCS#12 ኮንቴይነሮች ጋር የመስራት ችሎታ ነው። በተፈጥሮ ፣ እኛ እራሳችን በቪፒኤን ለመስራት ዝግጁ ያልሆንን ነበር-ብዙዎቹ በቀላሉ የምስክር ወረቀቶች አልነበሯቸውም ፣ እና አንዳንዶቹ ጊዜ ያለፈባቸው።

ሂደቱ እንዴት ሄደ?

እና መገልገያው ወደ ማዳን የሚመጣው እዚህ ነው cryptoarmpkcs እና ማመልከቻ CAFL63 (የማረጋገጫ ማዕከል).

የCryptoarmpkcs መገልገያ ራሳቸውን ማግለል ላይ ያሉ እና በቤታቸው ኮምፒውተሮቻቸው ላይ ቶከን ያላቸው ሰራተኞች የምስክር ወረቀት ጥያቄዎችን እንዲያቀርቡ ፈቅዷል፡-

ሰራተኞቹ የተቀመጡ ጥያቄዎችን በኢሜል ልከውልኛል። አንድ ሰው ሊጠይቅ ይችላል: - ስለ የግል መረጃስ ምን ማለት ይቻላል, ነገር ግን በቅርበት ከተመለከቱ, በጥያቄው ውስጥ አይደለም. እና ጥያቄው እራሱ በፊርማው የተጠበቀ ነው.

እንደደረሰው፣ የእውቅና ማረጋገጫው ጥያቄ ወደ CAFL63 CA የውሂብ ጎታ ይገባል፡-

ከዚያ በኋላ ጥያቄው ውድቅ ወይም ተቀባይነት ሊኖረው ይገባል. ጥያቄን ከግምት ውስጥ ለማስገባት ፣ እሱን መምረጥ ያስፈልግዎታል ፣ በቀኝ ጠቅ ያድርጉ እና ከተቆልቋይ ምናሌ ውስጥ “ውሳኔ ያድርጉ” ን ይምረጡ።

የውሳኔ አሰጣጥ ሂደቱ ራሱ ግልፅ ነው-

የምስክር ወረቀት በተመሳሳይ መንገድ ይሰጣል፣ የምናሌው ንጥል ነገር ብቻ “የምስክር ወረቀት መስጠት” ይባላል፡-

የተሰጠውን የምስክር ወረቀት ለማየት የአውድ ምናሌውን መጠቀም ወይም በተዛማጅ መስመር ላይ በቀላሉ ሁለቴ ጠቅ ማድረግ ይችላሉ፡

አሁን ይዘቱ በሁለቱም በ openssl (OpenSSL Text tab) እና አብሮ በተሰራው የCAFL63 መተግበሪያ መመልከቻ (የሰርቲፊኬት ጽሑፍ ትር) ማየት ይቻላል። በኋለኛው ጉዳይ ፣ የምስክር ወረቀቱን በጽሑፍ ፣ በመጀመሪያ ወደ ቅንጥብ ሰሌዳ ፣ እና ከዚያ ወደ ፋይል ለመቅዳት የአውድ ምናሌውን መጠቀም ይችላሉ።

እዚህ በ CAFL63 ውስጥ ከመጀመሪያው ስሪት ጋር ሲነጻጸር ምን እንደተለወጠ ልብ ሊባል ይገባል? የምስክር ወረቀቶችን ስለመመልከት, ይህንን አስቀድመን አስተውለናል. እንዲሁም የነገሮችን ቡድን (የምስክር ወረቀቶች፣ጥያቄዎች፣ CRLs) መምረጥ እና በገጽ ማድረጊያ ሁነታ ("የተመረጠውን አሳይ ..." የሚለውን ቁልፍ) መምረጥ ተችሏል።

ምናልባት በጣም አስፈላጊው ነገር ፕሮጀክቱ በነጻ የሚገኝ መሆኑ ነው github. ከሊኑክስ ስርጭቶች በተጨማሪ ለዊንዶውስ እና ኦኤስ ኤክስ ስርጭቶች ተዘጋጅተዋል የአንድሮይድ ስርጭቱ ትንሽ ቆይቶ ይለቀቃል።

ከቀድሞው የCAFL63 አፕሊኬሽን ሥሪት ጋር ሲነጻጸር፣ በይነገጹ ራሱ ብቻ ሳይሆን፣ ቀደም ሲል እንደተገለፀው፣ አዲስ ባህሪያት ተጨምረዋል። ለምሳሌ፣ የመተግበሪያው መግለጫ ያለው ገጽ እንደገና ተዘጋጅቷል እና ስርጭትን ለማውረድ ቀጥተኛ አገናኞች ተጨምረዋል።

ብዙዎች GOST openssl የት እንደሚያገኙ ጠይቀዋል እና አሁንም እየጠየቁ ነው። በተለምዶ እሰጣለሁ አገናኝ፣ በደግነት የቀረበ ጋሬክስ. ይህንን openssl እንዴት መጠቀም እንደሚቻል ተጽፏል እዚህ.
አሁን ግን የማከፋፈያ መሳሪያዎች የ openssl የሙከራ ስሪት ከሩሲያኛ ምስጠራ ጋር ያካትታሉ።

ስለዚህ CA ን ሲያዘጋጁ ለሊኑክስ /tmp/lirssl_static ወይም $::env(TEMP)/lirssl_static.exe ለዊንዶውስ እንደ openssl መግለጽ ይችላሉ፡-

በዚህ አጋጣሚ ባዶ lirssl.cnf ፋይል መፍጠር እና ወደዚህ ፋይል የሚወስደውን መንገድ በአከባቢው ተለዋዋጭ LIRSSL_CONF ውስጥ መግለጽ ያስፈልግዎታል።

በእውቅና ማረጋገጫው ቅንብሮች ውስጥ ያለው የ"ቅጥያዎች" ትር በ"የባለስልጣን መረጃ መዳረሻ" መስክ ተጨምሯል፣ የCA ስርወ ሰርቲፊኬት እና የOCSP አገልጋይ መዳረሻ ነጥቦችን ማዘጋጀት ይችላሉ፡

ብዙ ጊዜ CAs በእነሱ (PKCS#10) ከአመልካቾች የሚነሱ ጥያቄዎችን እንደማይቀበሉ ወይም ይባስ ብሎ በአንዳንድ ሲኤስፒ በኩል በአገልግሎት አቅራቢው ላይ ቁልፍ ጥንድ በማመንጨት ጥያቄዎችን እንዲፈጥሩ እንደሚያስገድዱ እንሰማለን። እና በPKCS # 2.0 በይነገጽ በኩል በማይመለስ ቁልፍ (በተመሳሳይ RuToken EDS-11) በቶከኖች ላይ ጥያቄዎችን ለማቅረብ ፈቃደኛ አይደሉም። ስለዚህ የPKCS#63 ቶከኖች ምስጠራ ስልቶችን በመጠቀም የ CAFL11 መተግበሪያ ተግባር ላይ የጥያቄ ማመንጨትን ለመጨመር ተወስኗል። የማስመሰያ ዘዴዎችን ለማንቃት, ጥቅሉ ጥቅም ላይ ውሏል TclPKCS11. ለCA ጥያቄ ሲፈጥሩ (ገጽ "የሰርቲፊኬቶች ጥያቄዎች"፣ ተግባር "ጥያቄ ፍጠር/CSR") አሁን የቁልፍ ጥምር እንዴት እንደሚፈጠር መምረጥ ትችላለህ ( openssl ወይም token በመጠቀም) እና ጥያቄው ራሱ ይፈርማል፡

ከቶከን ጋር ለመስራት የሚያስፈልገው ቤተ-መጽሐፍት ለእውቅና ማረጋገጫው ቅንብሮች ውስጥ ተገልጿል፡-

ነገር ግን ሰራተኞቻችን እራሳቸውን በማግለል በድርጅት የቪፒኤን ኔትወርክ ውስጥ እንዲሰሩ የምስክር ወረቀት ከመስጠት ዋና ስራው ወጥተናል። አንዳንድ ሰራተኞች ቶከን የሌላቸው መሆኑ ታወቀ። CAFL12 መተግበሪያ ይህንን ስለሚፈቅድ PKCS # 63 የተጠበቁ ኮንቴይነሮች እንዲሰጣቸው ተወስኗል። በመጀመሪያ ለእንደዚህ አይነት ሰራተኞች የ CIPF አይነት "OpenSSL" የሚያመለክቱ PKCS # 10 ጥያቄዎችን እናቀርባለን, ከዚያም የምስክር ወረቀት አውጥተን በ PKCS12 ውስጥ እናሽገዋለን. ይህንን ለማድረግ በ “የምስክር ወረቀቶች” ገጽ ላይ የሚፈልጉትን የምስክር ወረቀት ይምረጡ ፣ በቀኝ ጠቅ ያድርጉ እና “ወደ PKCS #12 ላክ” ን ይምረጡ።

ከመያዣው ጋር ሁሉም ነገር በሥርዓት መሆኑን ለማረጋገጥ የ cryptoarmpkcs አገልግሎትን እንጠቀም፡-

አሁን የተሰጡ የምስክር ወረቀቶችን ለሰራተኞች መላክ ይችላሉ. አንዳንድ ሰዎች በቀላሉ የምስክር ወረቀቶች ያላቸው ፋይሎች ይላካሉ (እነዚህ የማስመሰያ ባለቤቶች፣ ጥያቄ የላኩ) ወይም PKCS#12 ኮንቴይነሮች ናቸው። በሁለተኛው ጉዳይ ላይ እያንዳንዱ ሰራተኛ ወደ መያዣው የይለፍ ቃል በስልክ ይሰጠዋል. እነዚህ ሰራተኞች ወደ መያዣው የሚወስደውን መንገድ በትክክል በመግለጽ የ VPN ውቅር ፋይልን ማረም ብቻ ያስፈልጋቸዋል።

የማስመሰያ ባለቤቶቹን በተመለከተ፣ ለቶከናቸው የምስክር ወረቀት ማስመጣት አስፈልጓቸዋል። ይህንን ለማድረግ፣ ተመሳሳይ የ cryptoarmpkcs መገልገያ ተጠቅመዋል፡-

አሁን በ VPN ውቅር ላይ አነስተኛ ለውጦች አሉ (በምልክቱ ላይ ያለው የምስክር ወረቀት መለያው ተለውጦ ሊሆን ይችላል) እና ያ ነው ፣ የኮርፖሬት ቪፒኤን አውታረመረብ እየሰራ ነው።

መልካም መጨረሻ

ከዚያም ሰዎች ለምን ታምራቶችን ያመጡልኛል ወይስ መልእክተኛን ልልክላቸው ብዬ ታወቀኝ። እና የሚከተለውን ይዘት የያዘ ደብዳቤ እልካለሁ፡-

መልሱ በሚቀጥለው ቀን ይመጣል፡-

ወዲያውኑ ወደ cryptoarmpkcs መገልገያ አገናኝ እልካለሁ፡-

የምስክር ወረቀት ጥያቄዎችን ከመፍጠሬ በፊት ቶከኖቹን እንዲያጸዱ እመክራለሁ፡-

ከዚያ በPKCS#10 ቅርጸት ያሉ የምስክር ወረቀቶች ጥያቄዎች በኢሜል ተልከዋል እና የምስክር ወረቀቶችን ሰጥቻለሁ፣ ወደዚህ የላክሁት፡-

እና ከዚያ አስደሳች ጊዜ መጣ-

እና ይህ ደብዳቤ እንዲሁ ነበር-

እና ከዚያ በኋላ ይህ ጽሑፍ ተወለደ.

የCAFL63 መተግበሪያ ለሊኑክስ እና ኤምኤስ ዊንዶውስ መድረኮች ስርጭቶች ሊገኙ ይችላሉ።

እዚህ

• ሊኑክስ 32
• ሊኑክስ 64
• WIN32 እ.ኤ.አ.
• WIN64 እ.ኤ.አ.
• የ OS X

የአንድሮይድ መድረክን ጨምሮ የcryptarmpkcs መገልገያ ስርጭቶች ይገኛሉ

እዚህ

• ሊኑክስ 32
• ሊኑክስ 64
• WIN32 እ.ኤ.አ.
• WIN64 እ.ኤ.አ.
• የ OS X
• የ Android

ምንጭ: hab.com