Kako je sve počelo
Na samom početku perioda samoizolacije, dobio sam pismo poštom:
Prva reakcija je bila prirodna: ili morate ići po žetone, ili ih treba donijeti, ali od ponedjeljka svi sjedimo kod kuće, postoje ograničenja kretanja, a tko je to dovraga? Stoga je odgovor bio sasvim prirodan:
A kao što svi znamo, od ponedjeljka, 1. aprila, počeo je period prilično stroge samoizolacije. Također smo svi prešli na daljinski rad, a trebao nam je i VPN. Naš VPN je baziran na OpenVPN-u, ali je modificiran da podržava rusku kriptografiju i mogućnost rada sa PKCS#11 tokenima i PKCS#12 kontejnerima. Ispostavilo se, naravno, da mi sami nismo baš bili spremni za rad preko VPN-a: mnogi jednostavno nisu imali certifikate, a neki su istekli.
Kako je tekao proces?
I tu pomoć priskače u pomoć
Uslužni program cryptoarmpkcs omogućio je zaposlenima koji su u samoizolaciji i imaju tokene na kućnim računarima da generiraju zahtjeve za certifikate:
Zaposleni su mi slali sačuvane zahtjeve putem e-pošte. Neko će možda pitati: - Šta je sa ličnim podacima, ali ako dobro pogledate, toga nema u zahtjevu. I sam zahtjev je zaštićen svojim potpisom.
Po prijemu, zahtjev za certifikat se uvozi u CAFL63 CA bazu podataka:
Nakon toga zahtjev mora biti ili odbijen ili odobren. Da biste razmotrili zahtjev, potrebno ga je odabrati, kliknuti desnim tasterom miša i sa padajućeg menija odabrati "Donesi odluku":
Sama procedura odlučivanja je apsolutno transparentna:
Sertifikat se izdaje na isti način, samo se stavka menija zove “Izdati certifikat”:
Da biste vidjeli izdani certifikat, možete koristiti kontekstni izbornik ili jednostavno dvaput kliknite na odgovarajući red:
Sada se sadržaj može pregledati i kroz openssl (kartica OpenSSL Text) i kroz ugrađeni preglednik aplikacije CAFL63 (kartica Certificate Text). U drugom slučaju, možete koristiti kontekstni meni da kopirate sertifikat u tekstualnom obliku, prvo u međuspremnik, a zatim u datoteku.
Ovdje treba napomenuti šta se promijenilo u CAFL63 u odnosu na prvu verziju? Što se tiče pregleda certifikata, to smo već primijetili. Također je postalo moguće odabrati grupu objekata (certifikati, zahtjevi, CRL-ovi) i pregledati ih u načinu stranica (dugme “Prikaži odabrano...”).
Vjerojatno je najvažnije da je projekat besplatno dostupan
U odnosu na prethodnu verziju aplikacije CAFL63, nije samo promijenjen sam interfejs, već su, kao što je već napomenuto, dodane nove funkcije. Na primjer, stranica s opisom aplikacije je redizajnirana i dodani su direktni linkovi za preuzimanje distribucija:
Mnogi su pitali i još uvijek se pitaju gdje nabaviti GOST openssl. Tradicionalno dajem
Ali sada kompleti za distribuciju uključuju probnu verziju openssl-a sa ruskom kriptografijom.
Stoga, kada postavljate CA, možete odrediti ili /tmp/lirssl_static za Linux ili $::env(TEMP)/lirssl_static.exe za Windows kao openssl koji se koristi:
U ovom slučaju, morat ćete kreirati praznu datoteku lirssl.cnf i navesti putanju do ove datoteke u varijabli okruženja LIRSSL_CONF:
Kartica “Extensions” u postavkama certifikata dopunjena je poljem “Authority Info Access”, gdje možete postaviti pristupne tačke CA root certifikatu i OCSP serveru:
Često čujemo da CA-ovi ne prihvataju zahteve koje oni generišu (PKCS#10) od aplikanata ili, što je još gore, forsiraju formiranje zahteva sa generisanjem para ključeva na nosaču preko nekog CSP-a. I odbijaju da generišu zahteve za tokene sa nepovratnim ključem (na istom RuToken EDS-2.0) preko PKCS#11 interfejsa. Stoga je odlučeno da se u funkcionalnost aplikacije CAFL63 doda generiranje zahtjeva korištenjem kriptografskih mehanizama PKCS#11 tokena. Da bi se omogućili mehanizmi tokena, korišten je paket
Biblioteka potrebna za rad sa tokenom navedena je u postavkama za certifikat:
Ali odstupili smo od glavnog zadatka da zaposlenima damo sertifikate za rad u korporativnoj VPN mreži u režimu samoizolacije. Ispostavilo se da neki zaposleni nemaju tokene. Odlučeno je da im se osiguraju PKCS#12 zaštićeni kontejneri, jer aplikacija CAFL63 to dozvoljava. Prvo, za takve zaposlenike pravimo PKCS#10 zahtjeve koji ukazuju na CIPF tip “OpenSSL”, zatim izdajemo certifikat i pakujemo ga u PKCS12. Da biste to učinili, na stranici “Certifikati” odaberite željeni certifikat, kliknite desnim tasterom miša i odaberite “Izvezi u PKCS#12”:
Da bismo bili sigurni da je sve u redu sa kontejnerom, koristimo uslužni program cryptoarmpkcs:
Sada možete slati izdate potvrde zaposlenima. Nekim ljudima se jednostavno šalju fajlovi sa sertifikatima (to su vlasnici tokena, oni koji su slali zahteve) ili PKCS#12 kontejneri. U drugom slučaju, svaki zaposlenik dobija lozinku za kontejner preko telefona. Ovi zaposleni samo trebaju ispraviti VPN konfiguracijsku datoteku ispravnim navođenjem putanje do kontejnera.
Što se tiče vlasnika tokena, oni su također trebali uvesti certifikat za svoj token. Da bi to učinili, koristili su isti uslužni program cryptoarmpkcs:
Sada postoje minimalne promjene u VPN konfiguraciji (možda se promijenila oznaka certifikata na tokenu) i to je to, korporativna VPN mreža je u ispravnom stanju.
Sretan kraj
I onda mi je sinulo, zašto bi mi ljudi donosili žetone ili da pošaljem glasnika po njih. I šaljem pismo sljedećeg sadržaja:
Odgovor stiže sutradan:
Odmah šaljem link do uslužnog programa cryptoarmpkcs:
Prije kreiranja zahtjeva za certifikate, preporučio sam da obrišu tokene:
Zatim su zahtjevi za certifikate u formatu PKCS#10 poslani mejlom i ja sam izdao certifikate koje sam poslao na:
A onda je došao ugodan trenutak:
A bilo je i ovo pismo:
I nakon toga je nastao ovaj članak.
Mogu se pronaći distribucije aplikacije CAFL63 za Linux i MS Windows platforme
ovdje
Nalaze se distribucije uslužnog programa cryptoarmpkcs, uključujući Android platformu
ovdje
izvor: www.habr.com