🥇Υποδομή Δημόσιου Κλειδιού. Έκδοση πιστοποιητικών κατά τη διάρκεια αυτοαπομόνωσης

Πώς ξεκίνησαν όλα

Στην αρχή κιόλας της περιόδου αυτο-απομόνωσης, έλαβα μια επιστολή ταχυδρομικώς:

Η πρώτη αντίδραση ήταν φυσική: είτε πρέπει να πάτε να πάρετε τα tokens, είτε πρέπει να τα φέρετε, και από τη Δευτέρα καθόμαστε όλοι σπίτι, περιορισμοί στις μετακινήσεις, και ποιος ξέρει. Έτσι, η απάντηση ήταν αρκετά φυσική:

Και όπως όλοι γνωρίζουμε, η Δευτέρα 1η Απριλίου σηματοδότησε την έναρξη μιας μάλλον αυστηρής περιόδου αυτο-απομόνωσης. Όλοι αλλάξαμε σε τηλεργασία και χρειαζόμασταν επίσης ένα VPN. Το VPN μας βασίζεται σε OpenVPN, αλλά τροποποιήθηκε για να υποστηρίζει τη ρωσική κρυπτογραφία και τη δυνατότητα εργασίας με διακριτικά PKCS#11 και κοντέινερ PKCS#12. Φυσικά, αποδείχθηκε ότι εμείς οι ίδιοι δεν ήμασταν απόλυτα έτοιμοι να εργαστούμε μέσω VPN: πολλοί απλώς δεν είχαν πιστοποιητικά και κάποιοι είχαν ληγμένα.

Πώς πήγε η διαδικασία;

Και εδώ η υπηρεσία κοινής ωφέλειας ήρθε στη διάσωση cryptoarmpkcs και εφαρμογή CAFL63 (αρχή πιστοποίησης).

Το βοηθητικό πρόγραμμα cryptoarmpkcs επέτρεψε στους υπαλλήλους που βρίσκονται σε αυτοπεριορισμό και έχουν διακριτικά στους οικιακούς τους υπολογιστές να δημιουργούν αιτήματα για πιστοποιητικά:

Οι υπάλληλοι μου έστειλαν τα αποθηκευμένα αιτήματα μέσω email. Κάποιος μπορεί να ρωτήσει: - Τι γίνεται με τα προσωπικά δεδομένα; Αν όμως κοιτάξετε προσεκτικά, δεν υπάρχει κανένα στο αίτημα. Και το ίδιο το αίτημα προστατεύεται από την υπογραφή του.

Μετά την παραλαβή, το αίτημα πιστοποιητικού εισάγεται στη βάση δεδομένων CAFL63 CA:

Μετά από αυτό, το αίτημα πρέπει είτε να απορριφθεί είτε να εγκριθεί. Για να ελέγξετε το αίτημα, επιλέξτε το, κάντε δεξί κλικ και επιλέξτε "Λήψη απόφασης" από το αναπτυσσόμενο μενού:

Η ίδια η διαδικασία λήψης αποφάσεων είναι απολύτως διαφανής:

Ένα πιστοποιητικό εκδίδεται με παρόμοιο τρόπο, μόνο που το στοιχείο μενού ονομάζεται "Έκδοση πιστοποιητικού":

Για να δείτε το πιστοποιητικό που έχει εκδοθεί, μπορείτε να χρησιμοποιήσετε το μενού περιβάλλοντος ή απλώς να κάνετε διπλό κλικ στην αντίστοιχη γραμμή:

Τώρα, τα περιεχόμενα μπορούν να προβληθούν τόσο μέσω του openssl (καρτέλα Κείμενο OpenSSL) όσο και μέσω του ενσωματωμένου προγράμματος προβολής της εφαρμογής CAFL63 (καρτέλα Κείμενο Πιστοποιητικού). Στη δεύτερη περίπτωση, μπορείτε να χρησιμοποιήσετε το μενού περιβάλλοντος για να αντιγράψετε το πιστοποιητικό σε μορφή κειμένου πρώτα στο πρόχειρο και στη συνέχεια σε ένα αρχείο.

Εδώ είναι απαραίτητο να σημειωθεί τι έχει αλλάξει στο CAFL63 σε σύγκριση με την πρώτη έκδοση; Όσον αφορά την προβολή πιστοποιητικών, το έχουμε ήδη σημειώσει. Έχει επίσης καταστεί δυνατή η επιλογή μιας ομάδας αντικειμένων (πιστοποιητικά, αιτήματα, CRL) και η προβολή τους σε λειτουργία σελιδοποίησης (το κουμπί "Προβολή επιλεγμένων ...").

Ίσως το πιο σημαντικό είναι ότι το έργο είναι ελεύθερα διαθέσιμο στο githubΕκτός από τις διανομές για Linux, έχουν προετοιμαστεί διανομές για Windows και διανομή OS X. για Android θα αναρτηθεί λίγο αργότερα.

Σε σύγκριση με την προηγούμενη έκδοση της εφαρμογής CAFL63, όχι μόνο η ίδια η διεπαφή έχει αλλάξει, αλλά, όπως ήδη αναφέρθηκε, έχουν προστεθεί νέες λειτουργίες. Για παράδειγμα, η σελίδα περιγραφής της εφαρμογής έχει επανασχεδιαστεί και έχουν προστεθεί σε αυτήν άμεσοι σύνδεσμοι για λήψη διανομών:

Πολλοί άνθρωποι έχουν ρωτήσει και εξακολουθούν να ρωτούν από πού μπορούν να βρουν το GOST openssl. Παραδοσιακά, δίνω σύνδεσμος, ευγενική προσφορά από garexΠώς να χρησιμοποιήσετε αυτό το openssl είναι γραμμένο εδώ.
Αλλά τώρα οι διανομές περιλαμβάνουν μια δοκιμαστική έκδοση του openssl με ρωσική κρυπτογραφία.

Επομένως, κατά τη ρύθμιση παραμέτρων της αρχής έκδοσης πιστοποιητικών (CA), μπορείτε να καθορίσετε είτε /tmp/lirssl_static για Linux είτε $::env(TEMP)/lirssl_static.exe για το openssl που θα χρησιμοποιηθεί. Windows:

Σε αυτήν την περίπτωση, θα χρειαστεί να δημιουργήσετε ένα κενό αρχείο lirssl.cnf και να καθορίσετε τη διαδρομή προς αυτό το αρχείο στη μεταβλητή περιβάλλοντος LIRSSL_CONF:

Η καρτέλα "Επεκτάσεις" στις ρυθμίσεις πιστοποιητικού έχει συμπληρωθεί με το πεδίο "Πρόσβαση σε πληροφορίες αρχής", όπου μπορείτε να ορίσετε σημεία πρόσβασης στο πιστοποιητικό ρίζας CA και στον διακομιστή OCSP:

Συχνά ακούγεται ότι οι CA δεν δέχονται αιτήματα που δημιουργούνται από αιτούντες (PKCS#10) ή, ακόμη χειρότερα, επιβάλλουν τη δημιουργία αιτημάτων με τη δημιουργία ενός ζεύγους κλειδιών στον φορέα μέσω κάποιου CSP. Και αρνούνται να δημιουργήσουν αιτήματα σε tokens με μη εξαγώγιμο κλειδί (στο ίδιο RuToken EDS-2.0) μέσω της διεπαφής PKCS#11. Ως εκ τούτου, αποφασίστηκε να προστεθεί η δημιουργία αιτημάτων χρησιμοποιώντας τους κρυπτογραφικούς μηχανισμούς των tokens PKCS#63 στη λειτουργικότητα της εφαρμογής CAFL11. Για τη σύνδεση των μηχανισμών token, χρησιμοποιήθηκε το πακέτο TclPKCS11Όταν δημιουργείτε ένα αίτημα σε μια Αρχή Πιστοποίησης (σελίδα "Αιτήματα Πιστοποιητικού", λειτουργία "Δημιουργία Αιτήματος/CSR"), μπορείτε τώρα να επιλέξετε τον τρόπο δημιουργίας του ζεύγους κλειδιών (χρησιμοποιώντας openssl ή σε ένα διακριτικό) και το ίδιο το αίτημα θα υπογραφεί:

Η βιβλιοθήκη που απαιτείται για τη λειτουργία με το διακριτικό καθορίζεται στις ρυθμίσεις του πιστοποιητικού:

Ωστόσο, έχουμε παρεκκλίνει από το κύριο έργο που σχετίζεται με την παροχή πιστοποιητικών στους υπαλλήλους για εργασία στο εταιρικό δίκτυο VPN σε λειτουργία αυτοαπομόνωσης. Αποδείχθηκε ότι ορισμένοι υπάλληλοι δεν έχουν διακριτικά. Αποφασίστηκε να τους παρασχεθούν προστατευμένα κοντέινερ PKCS#12, ευτυχώς η εφαρμογή CAFL63 το επιτρέπει αυτό. Αρχικά, για αυτούς τους υπαλλήλους, υποβάλλουμε αιτήματα PKCS#10 που υποδεικνύουν τον τύπο του εργαλείου προστασίας κρυπτογραφικών πληροφοριών "OpenSSL", στη συνέχεια εκδίδουμε ένα πιστοποιητικό και το συσκευάζουμε στο PKCS12. Για να το κάνετε αυτό, στη σελίδα "Πιστοποιητικά", επιλέξτε το απαιτούμενο πιστοποιητικό, κάντε δεξί κλικ και επιλέξτε "Εξαγωγή σε PKCS#12":

Για να βεβαιωθούμε ότι όλα είναι εντάξει με το κοντέινερ, θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα cryptoarmpkcs:

Τώρα μπορείτε να στέλνετε εκδοθέντα πιστοποιητικά στους υπαλλήλους. Σε ορισμένα αποστέλλονται μόνο αρχεία με πιστοποιητικά (αυτά είναι οι κάτοχοι διακριτικών, όσοι έστειλαν αιτήματα) ή κοντέινερ PKCS#12. Στη δεύτερη περίπτωση, σε κάθε υπάλληλο γνωστοποιείται ο κωδικός πρόσβασης για το κοντέινερ μέσω τηλεφώνου. Αυτοί οι υπάλληλοι χρειάζεται μόνο να διορθώσουν το αρχείο διαμόρφωσης VPN, καθορίζοντας σωστά τη διαδρομή προς το κοντέινερ.

Όσο για τους κατόχους διακριτικών, έπρεπε επίσης να εισαγάγουν το πιστοποιητικό για το διακριτικό τους. Για να το κάνουν αυτό, χρησιμοποίησαν το ίδιο βοηθητικό πρόγραμμα cryptoarmpkcs:

Τώρα, έγιναν ελάχιστες αλλαγές στη διαμόρφωση VPN (η ετικέτα πιστοποιητικού στο διακριτικό μπορεί να έχει αλλάξει) και αυτό είναι όλο, το εταιρικό δίκτυο VPN λειτουργεί κανονικά.

Ευτυχισμένο τέλος

Και τότε μου ήρθε η ιδέα, γιατί να μου φέρνουν οι άνθρωποι μάρκες ή να στείλω έναν αγγελιοφόρο να τις πάρει. Και έστειλα μια επιστολή με το ακόλουθο περιεχόμενο:

Η απάντηση έρχεται την επόμενη μέρα: