Hvordan det hele begyndte
Allerede i begyndelsen af selvisolationsperioden modtog jeg et brev med posten:
Den første reaktion var naturlig: enten skal man gå efter poletter, eller også skal de medbringes, men siden i mandags har vi alle siddet derhjemme, er der restriktioner for bevægelse, og hvem fanden er det? Derfor var svaret ganske naturligt:
Og som vi alle ved, begyndte en periode med ret streng selvisolation fra mandag den 1. april. Vi skiftede også alle til fjernarbejde, og vi havde også brug for en VPN. Vores VPN er baseret på OpenVPN, men modificeret til at understøtte russisk kryptografi og evnen til at arbejde med PKCS#11-tokens og PKCS#12-containere. Det viste sig naturligvis, at vi ikke selv var helt klar til at arbejde via VPN: Mange havde simpelthen ikke certifikater, og nogle var udløbne.
Hvordan gik processen?
Og det er her brugen kommer til undsætning og ansøgning (verifikationscenter).
cryptoarmpkcs-værktøjet tillod medarbejdere, der er i selvisolation og har tokens på deres hjemmecomputere, at generere certifikatanmodninger:
Medarbejderne sendte gemte anmodninger via e-mail til mig. Nogen kan spørge: - Hvad med persondata, men hvis man ser godt efter, står det ikke i anmodningen. Og selve anmodningen er beskyttet af sin underskrift.
Efter modtagelsen importeres certifikatanmodningen til CAFL63 CA-databasen:
Hvorefter anmodningen enten skal afvises eller godkendes. For at overveje en anmodning skal du vælge den, højreklikke og vælge "Tag beslutning" fra rullemenuen:
Selve beslutningsproceduren er absolut gennemsigtig:
Et certifikat udstedes på samme måde, kun menupunktet hedder "Udsted certifikat":
For at se det udstedte certifikat kan du bruge kontekstmenuen eller blot dobbeltklikke på den tilsvarende linje:
Nu kan indholdet ses både gennem openssl (OpenSSL Text-fanen) og den indbyggede fremviser af CAFL63-applikationen (Certificate Text-fanen). I sidstnævnte tilfælde kan du bruge kontekstmenuen til at kopiere certifikatet i tekstform, først til udklipsholderen og derefter til en fil.
Her skal det bemærkes, hvad der er ændret i CAFL63 i forhold til den første version? Hvad angår visning af certifikater, har vi allerede bemærket dette. Det er også blevet muligt at vælge en gruppe af objekter (certifikater, anmodninger, CRL'er) og se dem i personsøgningstilstand (knappen "Se valgte ...").
Det vigtigste er nok, at projektet er frit tilgængeligt på . Udover distributioner til Linux er der udarbejdet distributioner til Windows og OS X. Distributionen til Android udkommer lidt senere.
Sammenlignet med den tidligere version af CAFL63-applikationen er ikke kun selve grænsefladen ændret, men også, som allerede nævnt, er der tilføjet nye funktioner. For eksempel er siden med applikationsbeskrivelsen blevet redesignet, og der er tilføjet direkte links til download af distributioner:
Mange har spurgt og spørger stadig, hvor man kan få GOST openssl. Traditionelt giver jeg , venligst stillet til rådighed . Hvordan man bruger denne openssl er skrevet .
Men nu inkluderer distributionssættene en testversion af openssl med russisk kryptografi.
Derfor kan du, når du opsætter CA'en, angive enten /tmp/lirssl_static for Linux eller $::env(TEMP)/lirssl_static.exe til Windows som den anvendte openssl:
I dette tilfælde skal du oprette en tom lirssl.cnf-fil og angive stien til denne fil i miljøvariablen LIRSSL_CONF:
Fanen "Udvidelser" i certifikatindstillingerne er blevet suppleret med feltet "Authority Info Access", hvor du kan indstille adgangspunkter til CA-rodcertifikatet og til OCSP-serveren:
Vi hører ofte, at CA'er ikke accepterer anmodninger genereret af dem (PKCS#10) fra ansøgere eller, endnu værre, tvinger dannelsen af anmodninger med generering af et nøglepar på transportøren gennem nogle CSP. Og de nægter at generere anmodninger på tokens med en ikke-hentbar nøgle (på samme RuToken EDS-2.0) via PKCS#11-grænsefladen. Derfor blev det besluttet at tilføje anmodningsgenerering til funktionaliteten af CAFL63-applikationen ved hjælp af de kryptografiske mekanismer i PKCS#11-tokens. For at aktivere token-mekanismerne blev pakken brugt . Når du opretter en anmodning til en CA (side "Anmodninger om certifikater", funktionen "Opret anmodning/CSR") kan du nu vælge, hvordan nøgleparret skal genereres (ved hjælp af openssl eller på et token), og selve anmodningen vil blive underskrevet:
Det bibliotek, der kræves for at arbejde med tokenet, er angivet i indstillingerne for certifikatet:
Men vi har afveget fra hovedopgaven med at give medarbejderne certifikater til at arbejde i et virksomheds VPN-netværk i selvisoleringstilstand. Det viste sig, at nogle medarbejdere ikke har tokens. Det blev besluttet at forsyne dem med PKCS#12-beskyttede containere, da CAFL63-applikationen tillader dette. Først for sådanne medarbejdere laver vi PKCS#10-anmodninger, der angiver CIPF-typen "OpenSSL", derefter udsteder vi et certifikat og pakker det i PKCS12. For at gøre dette skal du på siden "Certifikater" vælge det ønskede certifikat, højreklikke og vælge "Eksporter til PKCS#12":
For at sikre, at alt er i orden med containeren, lad os bruge cryptoarmpkcs-værktøjet:
Du kan nu sende udstedte certifikater til medarbejdere. Nogle mennesker får simpelthen sendt filer med certifikater (disse er token-ejere, dem, der sendte anmodninger) eller PKCS#12-containere. I det andet tilfælde får hver medarbejder adgangskoden til containeren over telefonen. Disse medarbejdere skal blot rette VPN-konfigurationsfilen ved korrekt at angive stien til containeren.
Hvad angår token-ejerne, skulle de også importere et certifikat for deres token. For at gøre dette brugte de det samme cryptoarmpkcs-værktøj:
Nu er der minimale ændringer til VPN-konfigurationen (certifikatetiketten på tokenet kan have ændret sig), og det er det, virksomhedens VPN-netværk fungerer.
En lykkelig slutning
Og så gik det op for mig, hvorfor ville folk bringe tokens til mig, eller skulle jeg sende en budbringer efter dem. Og jeg sender et brev med følgende indhold:
Svaret kommer dagen efter:
Jeg sender straks et link til cryptoarmpkcs-værktøjet:
Før du opretter certifikatanmodninger, anbefalede jeg, at de ryddede tokens:
Derefter blev anmodninger om certifikater i PKCS#10-format sendt via e-mail, og jeg udstedte certifikater, som jeg sendte til:
Og så kom et behageligt øjeblik:
Og der var også dette brev:
Og efter det blev denne artikel født.
Distributioner af CAFL63-applikationen til Linux- og MS Windows-platforme kan findes
her
Distribution af cryptoarmpkcs-værktøjet, inklusive Android-platformen, er placeret
her
Kilde: www.habr.com