🥇Инфраструктура с публичен ключ. Издаване на сертификати по време на самоизолация

Как започна всичко

В самото начало на периода на самоизолация получих имейл:

Първоначалната реакция беше естествена: или трябва да отидем да вземем жетоните, или трябва да бъдат доставени, а от понеделник всички сме си вкъщи, ограничения за движение и кой знае. Така че отговорът беше напълно естествен:

И както всички знаем, понеделник, 1 април, бележи началото на доста строг период на самоизолация. Всички преминахме на дистанционна работа и освен това ни трябваше VPN. Нашата VPN е изградена на... OpenVPN, но модифициран, за да поддържа руска криптография и възможността за работа с PKCS#11 токени и PKCS#12 контейнери. Естествено, оказа се, че самите ние не бяхме съвсем готови да работим чрез VPN: много просто нямаха сертификати, а някои имаха изтекли.

Как протече процесът?

И тук на помощ дойде комуналната компания. cryptoarmpkcs и приложение CAFL63 (сертифициращ орган).

Помощната програма cryptoarmpkcs позволи на служителите в самоизолация, които имат токени на домашните си компютри, да генерират заявки за сертификати:

Служителите ми изпратиха запазени заявки по имейл. Някои може да попитат: „Ами личните данни?“ Но ако се вгледате внимателно, те не са включени в заявката. А самата заявка е защитена от своя подпис.

След получаване, заявката за сертификат се импортира в базата данни на CAFL63 CA:

След това заявката трябва да бъде или отхвърлена, или одобрена. За да прегледате заявката, изберете я, щракнете с десния бутон върху нея и изберете „Вземете решение“ от падащото меню:

Самата процедура за вземане на решения е напълно прозрачна:

Сертификат се издава по подобен начин, само че елементът от менюто се нарича „Издаване на сертификат“:

За да видите издадения сертификат, можете да използвате контекстното меню или просто да щракнете двукратно върху съответния ред:

Съдържанието вече може да се преглежда с помощта на openssl (раздел „OpenSSL Text“) или вградения CAFL63 viewer (раздел „Certificate Text“). В последния случай можете да използвате контекстното меню, за да копирате сертификата в текстов формат първо в клипборда, а след това във файл.

Ето какво се е променило в CAFL63 в сравнение с първата версия. Относно прегледа на сертификати, вече го отбелязахме. Вече е възможно да изберете група обекти (сертификати, заявки, CRL) и да ги прегледате, като използвате бутона „Преглед на избраните...“.

Може би най-важното е, че проектът е свободно достъпен на githabeВ допълнение към дистрибуциите за Linux, са подготвени и дистрибуции за Windows и OS X. Дистрибуция за Android ще бъде публикувано малко по-късно.

В сравнение с предишната версия на приложението CAFL63, не само интерфейсът е променен, но, както вече беше отбелязано, са добавени нови функции. Например, страницата с описание на приложението е преработена, като са добавени директни връзки към дистрибуции за изтегляне:

Много хора са питали и все още питат откъде да се сдобият с GOST OpenSSL. Традиционно, аз давам връзкалюбезно предоставено гарексКак да използвате този OpenSSL е написано тук.
Но сега дистрибуциите включват тестова версия на openssl с руска криптография.

Следователно, когато конфигурирате CA, можете да укажете или /tmp/lirssl_static за Linux, или $::env(TEMP)/lirssl_static.exe за openssl, който да се използва. Windows:

В този случай ще трябва да създадете празен файл lirssl.cnf и да посочите пътя до този файл в променливата на средата LIRSSL_CONF:

Разделът „Разширения“ в настройките на сертификата е допълнен с полето „Достъп до информация за авторитета“, където можете да укажете точки за достъп до главния сертификат на CA и до OCSP сървъра:

Често чуваме, че CA отказват да приемат самостоятелно генерирани заявки (PKCS#10) от кандидати или, още по-лошо, ги принуждават сами да генерират заявки, използвайки двойка ключове на носител чрез някой CSP. Те също така отказват да генерират заявки, използващи токени с неизвличаем ключ (като RuToken EDS-2.0) чрез интерфейса PKCS#11. Поради това беше решено към приложението CAFL63 да се добави генериране на заявки, използвайки криптографски механизми за токени PKCS#11. Пакетът беше използван за активиране на механизмите за токени. TclPKCS11Когато създавате заявка към CA (страница „Заявки за сертификати“, функция „Създаване на заявка/CSR“), вече можете да изберете как ще се генерира двойката ключове (с помощта на OpenSSL или токен) и как ще се подписва самата заявка:

Библиотеката, необходима за работа с токена, е посочена в настройките на сертификата:

Но се отклонихме от основната задача да предоставим на служителите сертификати за работа в корпоративната VPN мрежа по време на самоизолация. Оказа се, че някои служители нямат токени. Решихме да им предоставим сигурни PKCS#12 контейнери, благодарение на приложението CAFL63. Първо, създаваме PKCS#10 заявки за тези служители, като посочваме типа на инструмента за криптографска защита на информацията OpenSSL, след което издаваме сертификат и го пакетираме като PKCS12. За да направите това, на страницата „Сертификати“ изберете желания сертификат, щракнете с десния бутон върху него и изберете „Експортиране в PKCS#12“:

За да се уверим, че контейнерът е наред, нека използваме помощната програма cryptoarmpkcs:

Издадените сертификати вече могат да се изпращат на служителите. На някои се изпращат или прости файлове със сертификати (притежатели на токени, тези, които са подали заявки), или контейнери PKCS#12. В последния случай на всеки служител се предоставя паролата за контейнера по телефона. Тези служители просто трябва да редактират конфигурационния файл на VPN, за да посочат правилно пътя до контейнера.

Що се отнася до собствениците на токени, те също трябваше да импортират сертификата за своя токен. За да направят това, те използваха същата помощна програма cryptoarmpkcs:

Сега, с някои малки корекции в VPN конфигурацията (етикетът на сертификата на токена може да се е променил), корпоративната VPN мрежа е стартирана и работи.