Bütün necə başladı
Özünütəcrid dövrünün əvvəlində poçtla bir məktub aldım:
İlk reaksiya təbii idi: ya tokenlərə getməlisən, ya da gətirməlisən, amma bazar ertəsindən bəri hamımız evdə oturmuşuq, hərəkətə məhdudiyyətlər var və bu cəhənnəm kimdir? Ona görə də cavab olduqca təbii idi:
Və hamımızın bildiyi kimi, 1 aprel bazar ertəsindən etibarən kifayət qədər ciddi özünütəcrid dövrü başladı. Biz də hamımız uzaqdan işə keçdik və bizə VPN də lazım idi. VPN-imiz OpenVPN-ə əsaslanır, lakin rus kriptoqrafiyasını və PKCS#11 nişanları və PKCS#12 konteynerləri ilə işləmək qabiliyyətini dəstəkləmək üçün dəyişdirilib. Təbii ki, məlum oldu ki, biz özümüz VPN vasitəsilə işləməyə tam hazır deyilik: çoxlarının sadəcə sertifikatları yox idi, bəzilərinin isə müddəti bitmiş sertifikatlar var.
Proses necə keçdi?
Və burada kommunal xilasetmə üçün gəlir
cryptoarmpkcs yardım proqramı özünü təcrid edən və ev kompüterlərində tokenləri olan işçilərə sertifikat sorğuları yaratmağa icazə verdi:
İşçilər mənə e-poçt vasitəsilə saxlanmış sorğular göndərdilər. Kimsə soruşa bilər: - Bəs şəxsi məlumatlar, amma diqqətlə baxsanız, sorğuda yoxdur. Və sorğunun özü imzası ilə qorunur.
Qəbul edildikdən sonra sertifikat sorğusu CAFL63 CA verilənlər bazasına idxal olunur:
Bundan sonra sorğu ya rədd edilməli, ya da təsdiqlənməlidir. Sorğunu nəzərdən keçirmək üçün onu seçməlisiniz, sağ klikləyin və açılan menyudan “Qərar verin” seçin:
Qərar vermə prosesinin özü tamamilə şəffafdır:
Sertifikat eyni şəkildə verilir, yalnız menyu elementi "Sertifikatın verilməsi" adlanır:
Verilmiş sertifikata baxmaq üçün kontekst menyusundan istifadə edə bilərsiniz və ya sadəcə müvafiq sətirə iki dəfə klikləyin:
İndi məzmuna həm openssl (OpenSSL Mətn nişanı), həm də CAFL63 tətbiqinin daxili görüntüləyicisi (Sertifikat Mətni nişanı) vasitəsilə baxmaq olar. Sonuncu halda, kontekst menyusundan istifadə edərək sertifikatı mətn şəklində, əvvəlcə mübadilə buferinə, sonra isə fayla köçürə bilərsiniz.
Burada qeyd etmək lazımdır ki, ilk versiya ilə müqayisədə CAFL63-də nə dəyişib? Sertifikatlara baxmağa gəldikdə, biz bunu artıq qeyd etmişik. Obyektlər qrupunu (sertifikatlar, sorğular, CRL) seçmək və onlara səhifələmə rejimində baxmaq da mümkün olmuşdur (“Seçilmişlərə bax...” düyməsi).
Yəqin ki, ən vacibi layihənin sərbəst şəkildə təqdim olunmasıdır
CAFL63 tətbiqinin əvvəlki versiyası ilə müqayisədə nəinki interfeysin özü dəyişdi, həm də artıq qeyd edildiyi kimi, yeni funksiyalar əlavə edildi. Məsələn, tətbiqin təsviri olan səhifə yenidən işlənib və paylamaları yükləmək üçün birbaşa keçidlər əlavə edilib:
Bir çoxları GOST openssl-i haradan əldə etməyi soruşdular və hələ də soruşurlar. Ənənəvi olaraq verirəm
Ancaq indi paylama dəstlərinə rus kriptoqrafiyası ilə openssl-in sınaq versiyası daxildir.
Buna görə də, CA-nı qurarkən, istifadə olunan openssl kimi Linux üçün /tmp/lirssl_static və ya Windows üçün $::env(TEMP)/lirssl_static.exe təyin edə bilərsiniz:
Bu halda, siz boş lirssl.cnf faylı yaratmalı və bu fayla gedən yolu LIRSSL_CONF mühit dəyişənində göstərməlisiniz:
Sertifikat parametrlərindəki "Genişləndirmələr" nişanı "Səlahiyyət məlumatlarına giriş" sahəsi ilə tamamlandı, burada CA kök sertifikatına və OCSP serverinə giriş nöqtələrini təyin edə bilərsiniz:
Biz tez-tez eşidirik ki, CA-lar ərizəçilər tərəfindən yaradılan sorğuları (PKCS#10) qəbul etmir və ya daha da pisi, bəzi CSP vasitəsilə daşıyıcıda açar cütünün yaradılması ilə sorğuların formalaşmasına məcbur edir. Və onlar PKCS#2.0 interfeysi vasitəsilə geri qaytarıla bilməyən açarla (eyni RuToken EDS-11-da) tokenlər üzrə sorğu yaratmaqdan imtina edirlər. Buna görə də, PKCS#63 tokenlərinin kriptoqrafik mexanizmlərindən istifadə edərək CAFL11 tətbiqinin funksionallığına sorğunun yaradılmasını əlavə etmək qərara alındı. Token mexanizmlərini işə salmaq üçün paketdən istifadə edilmişdir
Tokenlə işləmək üçün tələb olunan kitabxana sertifikatın parametrlərində göstərilmişdir:
Lakin biz işçilərə korporativ VPN şəbəkəsində özünütəcrid rejimində işləmək üçün sertifikatlar vermək əsas vəzifəsindən yayındıq. Məlum olub ki, bəzi əməkdaşların tokenləri yoxdur. CAFL12 tətbiqi buna imkan verdiyi üçün onları PKCS#63 qorunan konteynerlərlə təmin etmək qərara alındı. Birincisi, belə işçilər üçün biz “OpenSSL” CIPF növünü göstərən PKCS#10 sorğuları veririk, sonra sertifikat veririk və onu PKCS12-də paketləyirik. Bunu etmək üçün "Sertifikatlar" səhifəsində istədiyiniz sertifikatı seçin, sağ klikləyin və "PKCS#12-ə ixrac et" seçin:
Konteynerdə hər şeyin qaydasında olduğundan əmin olmaq üçün cryptoarmpkcs yardım proqramını istifadə edək:
İndi verilmiş sertifikatları işçilərə göndərə bilərsiniz. Bəzi insanlara sadəcə sertifikatlar (bunlar token sahibləri, sorğu göndərənlər) və ya PKCS#12 konteynerləri olan fayllar göndərilir. İkinci halda, hər bir işçiyə telefonla konteynerin parolu verilir. Bu işçilər sadəcə konteynerə gedən yolu düzgün göstərərək VPN konfiqurasiya faylını düzəltməlidirlər.
Token sahiblərinə gəldikdə, onlar da tokenləri üçün sertifikat idxal etməli idilər. Bunun üçün onlar eyni cryptoarmpkcs yardım proqramından istifadə etdilər:
İndi VPN konfiqurasiyasında minimal dəyişikliklər var (tokendəki sertifikat etiketi dəyişmiş ola bilər) və budur, korporativ VPN şəbəkəsi işlək vəziyyətdədir.
Xoşbəxt sonluq
Sonra ağlıma gəldi ki, insanlar niyə mənə nişanlar gətirsinlər, yoxsa mən onlara elçi göndərim? Və mən aşağıdakı məzmunlu məktub göndərirəm:
Cavab ertəsi gün gəlir:
Dərhal kriptoarmpkcs yardım proqramına bir keçid göndərirəm:
Sertifikat sorğuları yaratmazdan əvvəl onlara işarələri təmizləməyi tövsiyə etdim:
Sonra PKCS#10 formatında sertifikatlar üçün sorğular e-poçt vasitəsilə göndərildi və mən sertifikatlar verdim, onları göndərdim:
Və sonra xoş bir an gəldi:
Və bu məktub da var idi:
Və bundan sonra bu məqalə doğuldu.
Linux və MS Windows platformaları üçün CAFL63 tətbiqinin paylamalarını tapmaq olar
burada
Android platforması da daxil olmaqla cryptoarmpkcs yardım proqramının paylamaları yerləşir
burada
Mənbə: www.habr.com