Jak to všechno začalo
Na samém začátku období sebeizolace jsem dostal poštou dopis:
První reakce byla přirozená: buď si musíte pro žetony zajít, nebo je musíte přinést, ale od pondělí všichni sedíme doma, omezení pohybu a kdo to sakra je? Proto byla odpověď zcela přirozená:
A jak všichni víme, od pondělí 1. dubna začalo období dost přísné sebeizolace. Také jsme všichni přešli na vzdálenou práci a potřebovali jsme i VPN. Naše VPN je založena na OpenVPN, ale upravena tak, aby podporovala ruskou kryptografii a schopnost pracovat s tokeny PKCS#11 a kontejnery PKCS#12. Přirozeně se ukázalo, že my sami jsme nebyli zcela připraveni pracovat přes VPN: mnozí prostě neměli certifikáty a někteří měli prošlou platnost.
Jak proces probíhal?
A tady přichází na pomoc utilita a aplikace (ověřovací centrum).
Obslužný program cryptoarmpkcs umožnil zaměstnancům, kteří jsou v vlastní izolaci a mají tokeny na svých domácích počítačích, generovat žádosti o certifikát:
Zaměstnanci mi poslali uložené požadavky e-mailem. Někdo se může zeptat: - A co osobní údaje, ale když se podíváte pozorně, v žádosti to není. A samotná žádost je chráněna svým podpisem.
Po přijetí je žádost o certifikát importována do databáze CAFL63:
Poté musí být žádost zamítnuta nebo schválena. Chcete-li žádost zvážit, musíte ji vybrat, kliknout pravým tlačítkem myši a z rozbalovací nabídky vybrat možnost „Rozhodnout“:
Samotný proces rozhodování je naprosto transparentní:
Certifikát se vydává stejným způsobem, pouze položka menu se nazývá „Vystavit certifikát“:
Pro zobrazení vydaného certifikátu můžete použít kontextové menu nebo jednoduše dvakrát kliknout na odpovídající řádek:
Nyní lze obsah prohlížet jak prostřednictvím openssl (karta OpenSSL Text), tak vestavěného prohlížeče aplikace CAFL63 (karta Text certifikátu). V druhém případě můžete pomocí kontextové nabídky zkopírovat certifikát v textové podobě nejprve do schránky a poté do souboru.
Zde je třeba poznamenat, co se změnilo v CAFL63 oproti první verzi? Pokud jde o prohlížení certifikátů, to jsme již zaznamenali. Bylo také možné vybrat skupinu objektů (certifikáty, požadavky, CRL) a prohlížet je v režimu stránkování (tlačítko „Zobrazit vybrané...“).
Asi nejdůležitější je, že projekt je volně dostupný na . Kromě distribucí pro Linux jsou připraveny i distribuce pro Windows a OS X. Distribuce pro Android vyjde o něco později.
Oproti předchozí verzi aplikace CAFL63 se změnilo nejen samotné rozhraní, ale jak již bylo řečeno, přibyly nové funkce. Například byla přepracována stránka s popisem aplikace a byly přidány přímé odkazy na stahování distribucí:
Mnozí se ptali a stále ptají, kde získat GOST openssl. Tradičně dávám , laskavě poskytnuto . Jak používat tento openssl je napsáno .
Nyní ale distribuční sady obsahují testovací verzi openssl s ruskou kryptografií.
Proto můžete při nastavování CA zadat buď /tmp/lirssl_static pro Linux nebo $::env(TEMP)/lirssl_static.exe pro Windows jako použitý openssl:
V tomto případě budete muset vytvořit prázdný soubor lirssl.cnf a zadat cestu k tomuto souboru v proměnné prostředí LIRSSL_CONF:
Záložka „Rozšíření“ v nastavení certifikátu byla doplněna o pole „Přístup k informacím o autoritě“, kde lze nastavit přístupové body ke kořenovému certifikátu CA a k OCSP serveru:
Často slýcháme, že CA neakceptují požadavky jimi generované (PKCS#10) od žadatelů nebo, co je ještě horší, si vynucují vytváření požadavků s vygenerováním páru klíčů na nosiči prostřednictvím nějakého CSP. A odmítají generovat požadavky na tokeny s nezjistitelným klíčem (na stejném RuToken EDS-2.0) přes rozhraní PKCS#11. Proto bylo rozhodnuto přidat do funkčnosti aplikace CAFL63 generování požadavků pomocí kryptografických mechanismů tokenů PKCS#11. K aktivaci mechanismů tokenů byl použit balíček . Při vytváření požadavku na CA (stránka „Žádosti o certifikáty“, funkce „Vytvořit požadavek/CSR“) si nyní můžete vybrat, jak bude pár klíčů generován (pomocí openssl nebo na tokenu) a samotný požadavek bude podepsán:
Knihovna potřebná pro práci s tokenem je určena v nastavení certifikátu:
Odchýlili jsme se ale od hlavního úkolu poskytnout zaměstnancům certifikáty pro práci v podnikové síti VPN v režimu vlastní izolace. Ukázalo se, že někteří zaměstnanci nemají tokeny. Bylo rozhodnuto poskytnout jim chráněné kontejnery PKCS#12, protože aplikace CAFL63 to umožňuje. Nejprve pro takové zaměstnance vypracujeme požadavky PKCS#10 s označením typu CIPF „OpenSSL“, poté vystavíme certifikát a zabalíme jej do PKCS12. Chcete-li to provést, na stránce „Certifikáty“ vyberte požadovaný certifikát, klikněte pravým tlačítkem a vyberte „Exportovat do PKCS#12“:
Abyste se ujistili, že je vše v pořádku s kontejnerem, použijte nástroj cryptoarmpkcs:
Nyní můžete zaměstnancům zasílat vydané certifikáty. Některým lidem jsou jednoduše zasílány soubory s certifikáty (to jsou vlastníci tokenů, ti, kteří odeslali požadavky), nebo kontejnery PKCS#12. V druhém případě dostane každý zaměstnanec heslo ke kontejneru po telefonu. Tito zaměstnanci potřebují pouze opravit konfigurační soubor VPN správným zadáním cesty ke kontejneru.
Pokud jde o vlastníky tokenu, museli také importovat certifikát pro svůj token. K tomu použili stejný nástroj cryptoarmpkcs:
Nyní došlo k minimálním změnám v konfiguraci VPN (štítek certifikátu na tokenu se mohl změnit) a je to, podniková síť VPN je v provozuschopném stavu.
Šťastný konec
A pak mi došlo, proč by mi lidé nosili žetony nebo pro ně mám poslat posla. A posílám dopis s následujícím obsahem:
Odpověď přichází druhý den:
Okamžitě posílám odkaz na utilitu cryptoarmpkcs:
Před vytvořením žádostí o certifikát jsem jim doporučil vymazat tokeny:
Následně byly emailem zaslány žádosti o certifikáty ve formátu PKCS#10 a já vydal certifikáty, které jsem odeslal na:
A pak přišla příjemná chvíle:
A byl tam i tento dopis:
A poté se zrodil tento článek.
Distribuce aplikace CAFL63 pro platformy Linux a MS Windows naleznete
zde
Distribuce nástroje cryptoarmpkcs, včetně platformy Android, jsou umístěny
zde
Zdroj: www.habr.com