Com va començar tot
Al principi del període d'autoaïllament, vaig rebre una carta per correu:
La primera reacció va ser natural: o has d'anar a buscar fitxes, o s'han de portar, però des de dilluns estem tots asseguts a casa, hi ha restriccions de moviment, i qui dimonis és? Per tant, la resposta va ser força natural:
I com tots sabem, a partir del dilluns 1 d'abril va començar un període d'autoaïllament força estricte. També vam canviar tots al treball remot i també necessitàvem una VPN. La nostra VPN es basa en OpenVPN, però s'ha modificat per admetre la criptografia russa i la capacitat de treballar amb fitxes PKCS#11 i contenidors PKCS#12. Naturalment, va resultar que nosaltres mateixos no estàvem del tot preparats per treballar mitjançant VPN: molts simplement no tenien certificats i alguns n'havien caducat.
Com va anar el procés?
I aquí és on la utilitat ve al rescat i aplicació (Centre de verificació).
La utilitat cryptoarmpkcs va permetre als empleats que es troben aïllats i tenen fitxes als seus ordinadors domèstics per generar sol·licituds de certificats:
Els empleats em van enviar sol·licituds desades per correu electrònic. Algú pot preguntar: - Què passa amb les dades personals, però si us fixeu amb atenció, no està a la sol·licitud. I la pròpia sol·licitud està protegida per la seva signatura.
Un cop rebuda, la sol·licitud de certificat s'importa a la base de dades CAFL63 CA:
Després d'això, la sol·licitud ha de ser rebutjada o aprovada. Per considerar una sol·licitud, cal seleccionar-la, fer clic amb el botó dret i seleccionar "Prendre una decisió" al menú desplegable:
El propi procediment de presa de decisions és absolutament transparent:
Un certificat s'emet de la mateixa manera, només l'element del menú s'anomena "Emet certificat":
Per visualitzar el certificat emès, podeu utilitzar el menú contextual o simplement fer doble clic a la línia corresponent:
Ara el contingut es pot veure tant a través d'openssl (pestanya Text d'OpenSSL) com del visualitzador integrat de l'aplicació CAFL63 (pestanya Text del certificat). En aquest últim cas, podeu utilitzar el menú contextual per copiar el certificat en forma de text, primer al porta-retalls i després a un fitxer.
Aquí cal assenyalar què ha canviat en CAFL63 en comparació amb la primera versió? Pel que fa a la visualització dels certificats, ja ho hem assenyalat. També s'ha fet possible seleccionar un grup d'objectes (certificats, sol·licituds, CRL) i visualitzar-los en mode de paginació (botó "Veure seleccionat...").
Probablement el més important és que el projecte estigui disponible gratuïtament . A més de les distribucions per a Linux, s'han preparat distribucions per a Windows i OS X. La distribució per a Android es publicarà una mica més tard.
En comparació amb la versió anterior de l'aplicació CAFL63, no només ha canviat la interfície en si, sinó que també, com ja s'ha assenyalat, s'han afegit noves funcions. Per exemple, s'ha redissenyat la pàgina amb la descripció de l'aplicació i s'han afegit enllaços directes per baixar distribucions:
Molts han preguntat i encara estan preguntant on aconseguir GOST openssl. Tradicionalment dono , amablement proporcionat . Com utilitzar aquest openssl està escrit .
Però ara els kits de distribució inclouen una versió de prova d'openssl amb criptografia russa.
Per tant, quan configureu la CA, podeu especificar /tmp/lirssl_static per a Linux o $::env(TEMP)/lirssl_static.exe per a Windows com a openssl utilitzat:
En aquest cas, haureu de crear un fitxer lirssl.cnf buit i especificar el camí a aquest fitxer a la variable d'entorn LIRSSL_CONF:
La pestanya "Extensions" de la configuració del certificat s'ha completat amb el camp "Accés a la informació de l'autoritat", on podeu establir punts d'accés al certificat arrel de la CA i al servidor OCSP:
Sovint escoltem que les CA no accepten sol·licituds generades per elles (PKCS#10) dels sol·licitants o, pitjor encara, obliguen a formar-ne sol·licituds amb la generació d'un parell de claus a l'operador a través d'algun CSP. I es neguen a generar sol·licituds en fitxes amb una clau no recuperable (al mateix RuToken EDS-2.0) mitjançant la interfície PKCS#11. Per tant, es va decidir afegir la generació de sol·licituds a la funcionalitat de l'aplicació CAFL63 mitjançant els mecanismes criptogràfics dels fitxes PKCS#11. Per habilitar els mecanismes de testimoni, es va utilitzar el paquet . Quan creeu una sol·licitud a una CA (pàgina "Sol·licituds de certificats", funció "Crear sol·licitud/CSR") ara podeu triar com es generarà el parell de claus (mitjançant openssl o en un testimoni) i la sol·licitud en si es signarà:
La biblioteca necessària per treballar amb el testimoni s'especifica a la configuració del certificat:
Però ens hem desviat de la tasca principal de proporcionar als empleats certificats per treballar en una xarxa VPN corporativa en mode d'autoaïllament. Va resultar que alguns empleats no tenen fitxes. Es va decidir dotar-los d'envasos protegits PKCS#12, ja que l'aplicació CAFL63 ho permet. En primer lloc, per a aquests empleats fem sol·licituds PKCS#10 indicant el tipus de CIPF "OpenSSL", després emetem un certificat i l'empaquetem en PKCS12. Per fer-ho, a la pàgina "Certificats", seleccioneu el certificat desitjat, feu clic amb el botó dret i seleccioneu "Exporta a PKCS#12":
Per assegurar-nos que tot està en ordre amb el contenidor, utilitzem la utilitat cryptoarmpkcs:
Ara podeu enviar certificats emesos als empleats. Algunes persones simplement reben fitxers amb certificats (són els propietaris de testimonis, els que han enviat sol·licituds) o contenidors PKCS#12. En el segon cas, a cada empleat se li dóna la contrasenya del contenidor per telèfon. Aquests empleats només han de corregir el fitxer de configuració VPN especificant correctament el camí al contenidor.
Pel que fa als propietaris del testimoni, també havien d'importar un certificat per al seu testimoni. Per fer-ho, van utilitzar la mateixa utilitat cryptoarmpkcs:
Ara hi ha canvis mínims a la configuració de VPN (l'etiqueta del certificat del testimoni pot haver canviat) i això és tot, la xarxa VPN corporativa està funcionant.
Un final feliç
I llavors em vaig adonar per què la gent em portaria fitxes o hauria d'enviar un missatger per ells. I envio una carta amb el següent contingut:
La resposta arriba l'endemà:
De seguida envio un enllaç a la utilitat cryptoarmpkcs:
Abans de crear sol·licituds de certificat, vaig recomanar que esborrin els testimonis:
A continuació, les sol·licituds de certificats en format PKCS#10 es van enviar per correu electrònic i vaig emetre certificats, que vaig enviar a:
I després va venir un moment agradable:
I també hi havia aquesta carta:
I després d'això va néixer aquest article.
Es poden trobar distribucions de l'aplicació CAFL63 per a plataformes Linux i MS Windows
aquí
Es localitzen distribucions de la utilitat cryptoarmpkcs, inclosa la plataforma Android
aquí
Font: www.habr.com