Kiel ĉio komencis
Je la komenco mem de la mem-izolita periodo, mi ricevis leteron en la poŝto:
La unua reago estis natura: oni aŭ devas iri por ĵetonoj, aŭ oni devas alporti ilin, sed ekde lundo ni ĉiuj sidas hejme, estas limigoj de movo, kaj kiu diable estas tio? Tial, la respondo estis sufiĉe natura:
Kaj kiel ni ĉiuj scias, de lundo la 1-an de aprilo komenciĝis periodo de sufiĉe strikta memizolado. Ni ankaŭ ĉiuj ŝanĝis al fora laboro kaj ni ankaŭ bezonis VPN. Nia VPN baziĝas sur OpenVPN, sed modifita por subteni rusan kriptografion kaj la kapablon labori kun PKCS#11-ĵetonoj kaj PKCS#12-ujoj. Kompreneble, montriĝis, ke ni mem ne estas tute pretaj labori per VPN: multaj simple ne havis atestojn, kaj iuj eksvalidiĝis.
Kiel iris la procezo?
Kaj ĉi tie la utileco venas al la rekupero
La cryptoarmpkcs-utilo permesis al dungitoj, kiuj estas en mem-izolado kaj havas ĵetonojn en siaj hejmaj komputiloj, generi atestilpetojn:
La dungitoj sendis konservitajn petojn retpoŝte al mi. Iu povas demandi: - Kio pri personaj datumoj, sed se vi atente rigardas, ĝi ne estas en la peto. Kaj la peto mem estas protektita per sia subskribo.
Post ricevo, la atestilpeto estas importita en la CAFL63 CA-datumbazon:
Post tio la peto devas esti aŭ malakceptita aŭ aprobita. Por konsideri peton, vi devas elekti ĝin, dekstre alklaku kaj elektu "Faru decidon" el la falmenuo:
La decida proceduro mem estas absolute travidebla:
Atestilo estas elsendita en la sama maniero, nur la menuero nomiĝas "Eldoni atestilon":
Por vidi la eldonitan atestilon, vi povas uzi la kuntekstan menuon aŭ simple duoble alklaki la respondan linion:
Nun la enhavo povas esti vidita ambaŭ per openssl (OpenSSL Teksto-langeto) kaj la enkonstruita spektilo de la CAFL63-aplikaĵo (Atestila Teksto-langeto). En ĉi-lasta kazo, vi povas uzi la kuntekstan menuon por kopii la atestilon en tekstformo, unue al la tondujo, kaj poste al dosiero.
Ĉi tie oni devas rimarki, kio ŝanĝiĝis en CAFL63 kompare kun la unua versio? Koncerne vidi atestojn, ni jam notis tion. Ankaŭ fariĝis eble elekti grupon da objektoj (atestoj, petoj, CRL-oj) kaj vidi ilin en paĝiga reĝimo (la butono "Vidi elektitajn ...").
Verŝajne la plej grava afero estas, ke la projekto estas libere disponebla
Kompare kun la antaŭa versio de la CAFL63-apliko, ne nur la interfaco mem ŝanĝiĝis, sed ankaŭ, kiel jam rimarkite, novaj funkcioj estis aldonitaj. Ekzemple, la paĝo kun la aplika priskribo estis restrukturita kaj rektaj ligiloj al elŝutado de distribuaĵoj estis aldonitaj:
Multaj demandis kaj ankoraŭ demandas kie akiri GOST openssl. Tradicie mi donas
Sed nun la distribuaj kompletoj inkluzivas testan version de openssl kun rusa kripto.
Tial, kiam vi agordas la CA, vi povas specifi aŭ /tmp/lirssl_static por Linukso aŭ $::env(TEMP)/lirssl_static.exe por Vindozo kiel la openssl uzata:
En ĉi tiu kazo, vi devos krei malplenan lirssl.cnf-dosieron kaj specifi la vojon al ĉi tiu dosiero en la mediovariablo LIRSSL_CONF:
La langeto "Etendoj" en la atestilaj agordoj estis kompletigita per la kampo "Aŭtorita Info Aliro", kie vi povas agordi alirpunktojn al la CA radika atestilo kaj al la OCSP-servilo:
Ni ofte aŭdas, ke CAs ne akceptas petojn generitajn de ili (PKCS#10) de kandidatoj aŭ, eĉ pli malbone, devigas la formadon de petoj kun la generacio de ŝlosila paro sur la portanto per iu CSP. Kaj ili rifuzas generi petojn sur ĵetonoj kun ne-retrovebla ŝlosilo (sur la sama RuToken EDS-2.0) per la PKCS#11-interfaco. Tial, estis decidite aldoni petan generacion al la funkcieco de la CAFL63-apliko uzante la kriptajn mekanismojn de PKCS#11-ĵetonoj. Por ebligi la ĵetonajn mekanismojn, la pakaĵo estis uzata
La biblioteko necesa por labori kun la ĵetono estas specifita en la agordoj por la atestilo:
Sed ni deviis de la ĉefa tasko provizi dungitojn per atestiloj por labori en kompania VPN-reto en mem-izolita reĝimo. Montriĝis, ke iuj dungitoj ne havas ĵetonojn. Estis decidite provizi ilin per PKCS#12 protektitaj ujoj, ĉar la CAFL63-aplikaĵo permesas tion. Unue, por tiaj dungitoj ni faras PKCS#10-petojn indikante la CIPF-tipo "OpenSSL", poste ni eldonas atestilon kaj pakas ĝin en PKCS12. Por fari tion, sur la paĝo "Atestiloj", elektu la deziratan atestilon, dekstre alklaku kaj elektu "Eksporti al PKCS#12":
Por certigi, ke ĉio estas en ordo kun la ujo, ni uzu la ilon cryptoarmpkcs:
Vi nun povas sendi eldonitajn atestojn al dungitoj. Kelkaj homoj estas simple sendataj dosieroj kun atestiloj (ĉi tiuj estas ĵetonposedantoj, tiuj kiuj sendis petojn), aŭ PKCS#12 ujoj. En la dua kazo, ĉiu dungito ricevas la pasvorton al la ujo per telefono. Ĉi tiuj dungitoj nur bezonas korekti la VPN-agordan dosieron ĝuste specifante la vojon al la ujo.
Koncerne la ĵetonposedantojn, ili ankaŭ bezonis importi atestilon por sia ĵetono. Por fari tion, ili uzis la saman cryptoarmpkcs-servaĵon:
Nun estas minimumaj ŝanĝoj al la VPN-agordo (la atestiletikedo sur la ĵetono eble ŝanĝiĝis) kaj jen, la kompania VPN-reto funkcias.
Feliĉa fino
Kaj tiam ekkomprenis al mi, kial homoj alportus ĵetonojn al mi aŭ ĉu mi sendu senditon por ili. Kaj mi sendas leteron kun jena enhavo:
La respondo venas la sekvan tagon:
Mi tuj sendas ligilon al la ilo cryptoarmpkcs:
Antaŭ krei atestilpetojn, mi rekomendis, ke ili purigu la ĵetonojn:
Tiam petoj por atestiloj en formato PKCS#10 estis senditaj retpoŝte kaj mi elsendis atestojn, kiujn mi sendis al:
Kaj tiam venis agrabla momento:
Kaj estis ankaŭ ĉi tiu letero:
Kaj post tio ĉi tiu artikolo naskiĝis.
Distribuoj de la CAFL63-aplikaĵo por platformoj Linukso kaj MS Windows troveblas
tie
Distribuoj de la utileco cryptoarmpkcs, inkluzive de la Android-platformo, troviĝas
tie
fonto: www.habr.com