Jak to všechno začalo
Na samém začátku období sebeizolace jsem dostal poštou dopis:
První reakce byla přirozená: buď si musíte pro žetony zajít, nebo je musíte přinést, ale od pondělí všichni sedíme doma, omezení pohybu a kdo to sakra je? Proto byla odpověď zcela přirozená:
A jak všichni víme, od pondělí 1. dubna začalo období dost přísné sebeizolace. Také jsme všichni přešli na vzdálenou práci a potřebovali jsme i VPN. Naše VPN je založena na OpenVPN, ale upravena tak, aby podporovala ruskou kryptografii a schopnost pracovat s tokeny PKCS#11 a kontejnery PKCS#12. Přirozeně se ukázalo, že my sami jsme nebyli zcela připraveni pracovat přes VPN: mnozí prostě neměli certifikáty a někteří měli prošlou platnost.
Jak proces probíhal?
A tady přichází na pomoc utilita
Obslužný program cryptoarmpkcs umožnil zaměstnancům, kteří jsou v vlastní izolaci a mají tokeny na svých domácích počítačích, generovat žádosti o certifikát:
Zaměstnanci mi poslali uložené požadavky e-mailem. Někdo se může zeptat: - A co osobní údaje, ale když se podíváte pozorně, v žádosti to není. A samotná žádost je chráněna svým podpisem.
Po přijetí je žádost o certifikát importována do databáze CAFL63:
Poté musí být žádost zamítnuta nebo schválena. Chcete-li žádost zvážit, musíte ji vybrat, kliknout pravým tlačítkem myši a z rozbalovací nabídky vybrat možnost „Rozhodnout“:
Samotný proces rozhodování je naprosto transparentní:
Certifikát se vydává stejným způsobem, pouze položka menu se nazývá „Vystavit certifikát“:
Pro zobrazení vydaného certifikátu můžete použít kontextové menu nebo jednoduše dvakrát kliknout na odpovídající řádek:
Nyní lze obsah prohlížet jak prostřednictvím openssl (karta OpenSSL Text), tak vestavěného prohlížeče aplikace CAFL63 (karta Text certifikátu). V druhém případě můžete pomocí kontextové nabídky zkopírovat certifikát v textové podobě nejprve do schránky a poté do souboru.
Zde je třeba poznamenat, co se změnilo v CAFL63 oproti první verzi? Pokud jde o prohlížení certifikátů, to jsme již zaznamenali. Bylo také možné vybrat skupinu objektů (certifikáty, požadavky, CRL) a prohlížet je v režimu stránkování (tlačítko „Zobrazit vybrané...“).
Asi nejdůležitější je, že projekt je volně dostupný na
Oproti předchozí verzi aplikace CAFL63 se změnilo nejen samotné rozhraní, ale jak již bylo řečeno, přibyly nové funkce. Například byla přepracována stránka s popisem aplikace a byly přidány přímé odkazy na stahování distribucí:
Mnozí se ptali a stále ptají, kde získat GOST openssl. Tradičně dávám
Nyní ale distribuční sady obsahují testovací verzi openssl s ruskou kryptografií.
Proto můžete při nastavování CA zadat buď /tmp/lirssl_static pro Linux nebo $::env(TEMP)/lirssl_static.exe pro Windows jako použitý openssl:
V tomto případě budete muset vytvořit prázdný soubor lirssl.cnf a zadat cestu k tomuto souboru v proměnné prostředí LIRSSL_CONF:
Záložka „Rozšíření“ v nastavení certifikátu byla doplněna o pole „Přístup k informacím o autoritě“, kde lze nastavit přístupové body ke kořenovému certifikátu CA a k OCSP serveru:
Často slýcháme, že CA neakceptují požadavky jimi generované (PKCS#10) od žadatelů nebo, co je ještě horší, si vynucují vytváření požadavků s vygenerováním páru klíčů na nosiči prostřednictvím nějakého CSP. A odmítají generovat požadavky na tokeny s nezjistitelným klíčem (na stejném RuToken EDS-2.0) přes rozhraní PKCS#11. Proto bylo rozhodnuto přidat do funkčnosti aplikace CAFL63 generování požadavků pomocí kryptografických mechanismů tokenů PKCS#11. K aktivaci mechanismů tokenů byl použit balíček
Knihovna potřebná pro práci s tokenem je určena v nastavení certifikátu:
Odchýlili jsme se ale od hlavního úkolu poskytnout zaměstnancům certifikáty pro práci v podnikové síti VPN v režimu vlastní izolace. Ukázalo se, že někteří zaměstnanci nemají tokeny. Bylo rozhodnuto poskytnout jim chráněné kontejnery PKCS#12, protože aplikace CAFL63 to umožňuje. Nejprve pro takové zaměstnance vypracujeme požadavky PKCS#10 s označením typu CIPF „OpenSSL“, poté vystavíme certifikát a zabalíme jej do PKCS12. Chcete-li to provést, na stránce „Certifikáty“ vyberte požadovaný certifikát, klikněte pravým tlačítkem a vyberte „Exportovat do PKCS#12“:
Abyste se ujistili, že je vše v pořádku s kontejnerem, použijte nástroj cryptoarmpkcs:
Nyní můžete zaměstnancům zasílat vydané certifikáty. Některým lidem jsou jednoduše zasílány soubory s certifikáty (to jsou vlastníci tokenů, ti, kteří odeslali požadavky), nebo kontejnery PKCS#12. V druhém případě dostane každý zaměstnanec heslo ke kontejneru po telefonu. Tito zaměstnanci potřebují pouze opravit konfigurační soubor VPN správným zadáním cesty ke kontejneru.
Pokud jde o vlastníky tokenu, museli také importovat certifikát pro svůj token. K tomu použili stejný nástroj cryptoarmpkcs:
Nyní došlo k minimálním změnám v konfiguraci VPN (štítek certifikátu na tokenu se mohl změnit) a je to, podniková síť VPN je v provozuschopném stavu.
Šťastný konec
A pak mi došlo, proč by mi lidé nosili žetony nebo pro ně mám poslat posla. A posílám dopis s následujícím obsahem:
Odpověď přichází druhý den:
Okamžitě posílám odkaz na utilitu cryptoarmpkcs:
Před vytvořením žádostí o certifikát jsem jim doporučil vymazat tokeny:
Následně byly emailem zaslány žádosti o certifikáty ve formátu PKCS#10 a já vydal certifikáty, které jsem odeslal na:
A pak přišla příjemná chvíle:
A byl tam i tento dopis:
A poté se zrodil tento článek.
Distribuce aplikace CAFL63 pro platformy Linux a MS Windows naleznete
zde
Distribuce nástroje cryptoarmpkcs, včetně platformy Android, jsou umístěny
zde
Zdroj: www.habr.com