¿Cómo empezó todo
Al comienzo del período de autoaislamiento, recibí una carta por correo:
La primera reacción fue natural: o hay que ir a buscar fichas o hay que traerlas, pero desde el lunes estamos todos sentados en casa, hay restricciones de movimiento, ¿y quién diablos es ese? Por tanto, la respuesta fue bastante natural:
Y como todos sabemos, a partir del lunes 1 de abril comenzó un período de autoaislamiento bastante estricto. También todos cambiamos al trabajo remoto y también necesitábamos una VPN. Nuestra VPN se basa en OpenVPN, pero modificada para admitir la criptografía rusa y la capacidad de trabajar con tokens PKCS#11 y contenedores PKCS#12. Naturalmente, resultó que nosotros mismos no estábamos preparados para trabajar a través de VPN: muchos simplemente no tenían certificados y algunos los tenían caducados.
¿Cómo fue el proceso?
Y aquí es donde la utilidad viene al rescate. y aplicación (Centro de verificación).
La utilidad cryptoarmpkcs permitió a los empleados que están en aislamiento y tienen tokens en las computadoras de sus hogares generar solicitudes de certificados:
Los empleados me enviaron solicitudes guardadas por correo electrónico. Alguien puede preguntar: - ¿Qué pasa con los datos personales, pero si miras bien, no está en la solicitud? Y la solicitud en sí está protegida por su firma.
Una vez recibida, la solicitud de certificado se importa a la base de datos CAFL63 CA:
Después de lo cual la solicitud debe ser rechazada o aprobada. Para considerar una solicitud, debe seleccionarla, hacer clic derecho y seleccionar "Tomar decisión" en el menú desplegable:
El procedimiento de toma de decisiones en sí es absolutamente transparente:
Un certificado se emite de la misma forma, solo que el elemento del menú se llama "Emitir certificado":
Para ver el certificado emitido, puede utilizar el menú contextual o simplemente hacer doble clic en la línea correspondiente:
Ahora el contenido se puede ver tanto a través de openssl (pestaña Texto de OpenSSL) como del visor integrado de la aplicación CAFL63 (pestaña Texto del certificado). En este último caso, puede utilizar el menú contextual para copiar el certificado en formato de texto, primero al portapapeles y luego a un archivo.
Aquí cabe señalar ¿qué ha cambiado en CAFL63 en comparación con la primera versión? En cuanto a la visualización de certificados, ya lo hemos señalado. También es posible seleccionar un grupo de objetos (certificados, solicitudes, CRL) y verlos en modo paginación (el botón "Ver seleccionados ...").
Probablemente lo más importante es que el proyecto está disponible gratuitamente en . Además de las distribuciones para Linux, se han preparado distribuciones para Windows y OS X. La distribución para Android se lanzará un poco más tarde.
En comparación con la versión anterior de la aplicación CAFL63, no solo ha cambiado la interfaz en sí, sino que también, como ya se señaló, se han agregado nuevas funciones. Por ejemplo, se ha rediseñado la página con la descripción de la aplicación y se han añadido enlaces directos para descargar distribuciones:
Muchos han preguntado y siguen preguntando dónde conseguir GOST openssl. Tradicionalmente doy , amablemente proporcionado . Cómo utilizar este openssl está escrito .
Pero ahora los kits de distribución incluyen una versión de prueba de openssl con criptografía rusa.
Por lo tanto, al configurar la CA, puede especificar /tmp/lirssl_static para Linux o $::env(TEMP)/lirssl_static.exe para Windows como el openssl utilizado:
En este caso, deberá crear un archivo lirssl.cnf vacío y especificar la ruta a este archivo en la variable de entorno LIRSSL_CONF:
La pestaña "Extensiones" en la configuración del certificado se ha complementado con el campo "Acceso a la información de autoridad", donde puede configurar puntos de acceso al certificado raíz de CA y al servidor OCSP:
A menudo escuchamos que las CA no aceptan solicitudes generadas por ellas (PKCS#10) de los solicitantes o, peor aún, fuerzan la formación de solicitudes con la generación de un par de claves en el operador a través de algún CSP. Y se niegan a generar solicitudes sobre tokens con una clave no recuperable (en el mismo RuToken EDS-2.0) a través de la interfaz PKCS#11. Por lo tanto, se decidió agregar la generación de solicitudes a la funcionalidad de la aplicación CAFL63 utilizando los mecanismos criptográficos de los tokens PKCS#11. Para habilitar los mecanismos de token, se utilizó el paquete. . Al crear una solicitud a una CA (página “Solicitudes de certificados”, función “Crear solicitud/CSR”), ahora puede elegir cómo se generará el par de claves (usando openssl o en un token) y cómo se firmará la solicitud en sí:
La biblioteca necesaria para trabajar con el token se especifica en la configuración del certificado:
Pero nos hemos desviado de la tarea principal de proporcionar a los empleados certificados para trabajar en una red VPN corporativa en modo de autoaislamiento. Resultó que algunos empleados no tienen fichas. Se decidió dotarlos de contenedores protegidos PKCS#12, ya que la aplicación CAFL63 lo permite. Primero, para dichos empleados realizamos solicitudes PKCS#10 indicando el tipo CIPF "OpenSSL", luego emitimos un certificado y lo empaquetamos en PKCS12. Para hacer esto, en la página "Certificados", seleccione el certificado deseado, haga clic derecho y seleccione "Exportar a PKCS#12":
Para asegurarnos de que todo esté en orden con el contenedor, usemos la utilidad cryptoarmpkcs:
Ahora puede enviar certificados emitidos a los empleados. A algunas personas simplemente se les envían archivos con certificados (estos son los propietarios de tokens, aquellos que enviaron solicitudes) o contenedores PKCS#12. En el segundo caso, cada empleado recibe por teléfono la contraseña del contenedor. Estos empleados solo necesitan corregir el archivo de configuración de VPN especificando correctamente la ruta al contenedor.
En cuanto a los propietarios de tokens, también necesitaban importar un certificado para su token. Para ello, utilizaron la misma utilidad cryptoarmpkcs:
Ahora hay cambios mínimos en la configuración de VPN (la etiqueta del certificado en el token puede haber cambiado) y eso es todo, la red VPN corporativa está funcionando correctamente.
Final feliz
Y entonces me di cuenta de por qué la gente me traería fichas o debería enviarles un mensajero. Y envío una carta con el siguiente contenido:
La respuesta llega al día siguiente:
Inmediatamente envío un enlace a la utilidad cryptoarmpkcs:
Antes de crear solicitudes de certificado, les recomendé que borraran los tokens:
Luego las solicitudes de certificados en formato PKCS#10 se enviaron por correo electrónico y emití los certificados, que envié a:
Y luego llegó un momento agradable:
Y también estaba esta carta:
Y después de eso nació este artículo.
Se pueden encontrar distribuciones de la aplicación CAFL63 para plataformas Linux y MS Windows
aquí
Se encuentran las distribuciones de la utilidad cryptoarmpkcs, incluida la plataforma Android.
aquí
Fuente: habr.com