كيف بدأ كل شيء
في بداية فترة العزلة الذاتية، تلقيت رسالة عبر البريد:
كان رد الفعل الأول طبيعيا: إما أن تذهب للحصول على الرموز، أو يجب إحضارها، ولكن منذ يوم الاثنين ونحن جميعا نجلس في المنزل، وهناك قيود على الحركة، ومن هو هذا بحق الجحيم؟ ولذلك كان الجواب طبيعيا تماما:
وكما نعلم جميعًا، بدأت فترة من العزلة الذاتية الصارمة إلى حد ما، اعتبارًا من يوم الاثنين 1 أبريل. لقد تحولنا جميعًا أيضًا إلى العمل عن بعد وكنا بحاجة أيضًا إلى VPN. يعتمد VPN الخاص بنا على OpenVPN، ولكنه تم تعديله لدعم التشفير الروسي والقدرة على العمل مع رموز PKCS#11 وحاويات PKCS#12. وبطبيعة الحال، اتضح أننا أنفسنا لم نكن مستعدين تمامًا للعمل عبر VPN: فالكثير منهم ببساطة لم يكن لديهم شهادات، وكان البعض لديهم شهادات منتهية الصلاحية.
كيف سارت العملية؟
وهنا تأتي الأداة المساعدة للإنقاذ والتطبيق (مركز التحقق).
تسمح الأداة المساعدة cryptoarmpkcs للموظفين الذين هم في عزلة ذاتية ولديهم رموز مميزة على أجهزة الكمبيوتر المنزلية الخاصة بهم بإنشاء طلبات الشهادات:
أرسل الموظفون الطلبات المحفوظة لي عبر البريد الإلكتروني. قد يسأل أحدهم: - وماذا عن البيانات الشخصية، ولكن إذا نظرت عن كثب، فهي ليست في الطلب. والطلب نفسه محمي بتوقيعه.
عند الاستلام، يتم استيراد طلب الشهادة إلى قاعدة بيانات CAFL63 CA:
وبعد ذلك يجب إما رفض الطلب أو الموافقة عليه. للنظر في طلب ما، يتعين عليك تحديده والنقر بزر الماوس الأيمن واختيار "اتخاذ القرار" من القائمة المنسدلة:
إن إجراءات اتخاذ القرار في حد ذاتها تتسم بالشفافية المطلقة:
يتم إصدار الشهادة بنفس الطريقة، فقط عنصر القائمة يسمى "إصدار الشهادة":
لعرض الشهادة الصادرة، يمكنك استخدام قائمة السياق أو ببساطة النقر نقرًا مزدوجًا على السطر المقابل:
يمكن الآن عرض المحتوى من خلال openssl (علامة التبويب OpenSSL Text) والعارض المدمج في تطبيق CAFL63 (علامة التبويب نص الشهادة). في الحالة الأخيرة، يمكنك استخدام قائمة السياق لنسخ الشهادة في شكل نصي، أولاً إلى الحافظة، ثم إلى ملف.
وهنا تجدر الإشارة إلى ما الذي تغير في CAFL63 مقارنة بالإصدار الأول؟ أما بالنسبة لعرض الشهادات فقد لاحظنا ذلك بالفعل. أصبح من الممكن أيضًا تحديد مجموعة من الكائنات (الشهادات، الطلبات، قوائم إبطال الشهادات (CRL) وعرضها في وضع الترحيل (زر "عرض المحدد ...").
ربما الشيء الأكثر أهمية هو أن المشروع متاح مجانًا على . بالإضافة إلى توزيعات Linux، تم إعداد توزيعات لنظامي التشغيل Windows وOS X. سيتم إصدار توزيع Android في وقت لاحق قليلا.
بالمقارنة مع الإصدار السابق من تطبيق CAFL63، لم تتغير الواجهة نفسها فحسب، بل تمت إضافة ميزات جديدة أيضًا، كما ذكرنا سابقًا. على سبيل المثال، تم إعادة تصميم الصفحة التي تحتوي على وصف التطبيق وتمت إضافة روابط مباشرة لتنزيل التوزيعات:
لقد سأل الكثيرون وما زالوا يتساءلون عن مكان الحصول على GOST opensl. تقليديا أعطي ، تفضلت . كيفية استخدام هذا opensl مكتوب .
ولكن الآن تتضمن مجموعات التوزيع نسخة تجريبية من opensl مع التشفير الروسي.
ولذلك، عند إعداد المرجع المصدق (CA)، يمكنك تحديد إما /tmp/lirssl_static لنظام التشغيل Linux أو $::env(TEMP)/lirssl_static.exe لنظام التشغيل Windows باعتباره opensl المستخدم:
في هذه الحالة، ستحتاج إلى إنشاء ملف lirssl.cnf فارغ وتحديد المسار إلى هذا الملف في متغير البيئة LIRSSL_CONF:
تم استكمال علامة التبويب "الامتدادات" في إعدادات الشهادة بحقل "الوصول إلى معلومات المرجع"، حيث يمكنك تعيين نقاط الوصول إلى شهادة جذر CA وإلى خادم OCSP:
كثيرًا ما نسمع أن المراجع المصدقة لا تقبل الطلبات التي تنشئها (PKCS#10) من المتقدمين أو، الأسوأ من ذلك، تفرض تكوين الطلبات من خلال إنشاء زوج مفاتيح على الناقل من خلال بعض مزودي خدمات الاتصالات. ويرفضون إنشاء طلبات على الرموز المميزة بمفتاح غير قابل للاسترداد (على نفس RuToken EDS-2.0) عبر واجهة PKCS#11. لذلك، تقرر إضافة إنشاء الطلب إلى وظيفة تطبيق CAFL63 باستخدام آليات التشفير الخاصة برموز PKCS#11. لتمكين آليات الرمز المميز، تم استخدام الحزمة . عند إنشاء طلب إلى CA (صفحة "طلبات الشهادات"، وظيفة "إنشاء طلب/CSR")، يمكنك الآن اختيار كيفية إنشاء زوج المفاتيح (باستخدام opensl أو على رمز مميز) وسيتم توقيع الطلب نفسه:
يتم تحديد المكتبة المطلوبة للعمل مع الرمز المميز في إعدادات الشهادة:
لكننا انحرفنا عن المهمة الرئيسية المتمثلة في تزويد الموظفين بشهادات للعمل في شبكة VPN خاصة بالشركة في وضع العزل الذاتي. اتضح أن بعض الموظفين ليس لديهم رموز. تقرر تزويدهم بحاويات محمية PKCS#12، حيث أن تطبيق CAFL63 يسمح بذلك. أولاً، بالنسبة لهؤلاء الموظفين، نقوم بتقديم طلبات PKCS#10 تشير إلى نوع CIPF "OpenSSL"، ثم نقوم بإصدار شهادة وتعبئتها في PKCS12. للقيام بذلك، في صفحة "الشهادات"، حدد الشهادة المطلوبة، وانقر بزر الماوس الأيمن وحدد "تصدير إلى PKCS#12":
للتأكد من أن كل شيء على ما يرام مع الحاوية، دعنا نستخدم الأداة المساعدة cryptoarmpkcs:
يمكنك الآن إرسال الشهادات الصادرة للموظفين. يُرسل لبعض الأشخاص ببساطة ملفات تحتوي على شهادات (هؤلاء هم أصحاب الرمز المميز، أو أولئك الذين أرسلوا الطلبات)، أو حاويات PKCS#12. وفي الحالة الثانية، يتم إعطاء كل موظف كلمة المرور الخاصة بالحاوية عبر الهاتف. يحتاج هؤلاء الموظفون فقط إلى تصحيح ملف تكوين VPN عن طريق تحديد المسار إلى الحاوية بشكل صحيح.
أما بالنسبة لأصحاب الرمز المميز، فهم بحاجة أيضًا إلى استيراد شهادة لرمزهم المميز. للقيام بذلك، استخدموا نفس الأداة المساعدة cryptoarmpkcs:
يوجد الآن حد أدنى من التغييرات في تكوين VPN (ربما تغيرت تسمية الشهادة الموجودة على الرمز المميز)، وهذا كل شيء، شبكة VPN الخاصة بالشركة تعمل بشكل جيد.
نهاية سعيدة
ثم خطر في ذهني لماذا يأتيني الناس بالرموز أم أرسل لهم رسولاً. وأرسل رسالة بالمحتوى التالي:
الجواب يأتي في اليوم التالي:
أقوم على الفور بإرسال رابط إلى الأداة المساعدة cryptoarmpkcs:
قبل إنشاء طلبات الشهادات، أوصيت بمسح الرموز المميزة:
ثم تم إرسال طلبات الشهادات بتنسيق PKCS#10 عبر البريد الإلكتروني وأصدرت الشهادات وأرسلتها إلى:
ثم جاءت لحظة ممتعة:
وكان هناك أيضًا هذه الرسالة:
وبعد ذلك ولد هذا المقال.
يمكن العثور على توزيعات تطبيق CAFL63 لمنصات Linux وMS Windows
هنا
توجد توزيعات للأداة المساعدة cryptoarmpkcs، بما في ذلك نظام Android الأساسي
هنا
المصدر: www.habr.com