Kuidas see kõik algas
Päris isolatsiooniperioodi alguses sain posti teel kirja:
Esimene reaktsioon oli loomulik: kas tuleb žetoonide järele minna või tuleb need tuua, aga esmaspäevast saati oleme kõik kodus istunud, liikumispiirangud on ja kes kurat see on? Seetõttu oli vastus üsna loomulik:
Ja nagu me kõik teame, algas esmaspäevast, 1. aprillist, üsna range eneseisolatsiooni periood. Samuti läksime kõik üle kaugtööle ja vajasime ka VPN-i. Meie VPN põhineb OpenVPN-il, kuid seda on muudetud nii, et see toetaks Venemaa krüptograafiat ja võimalust töötada PKCS#11 žetoonide ja PKCS#12 konteineritega. Loomulikult selgus, et me ise polnud VPN-i kaudu töötamiseks päris valmis: paljudel lihtsalt polnud sertifikaate ja mõnel olid need aegunud.
Kuidas protsess kulges?
Ja siin tuleb appi utiliit ja rakendus (kinnituskeskus).
Krüptoarmpkcs utiliit võimaldas töötajatel, kes on isolatsioonis ja kelle koduarvutis on märgid, luua sertifikaaditaotlusi:
Töötajad saatsid mulle e-posti teel salvestatud päringud. Keegi võib küsida: - Kuidas on lood isikuandmetega, kuid kui te hoolikalt vaatate, siis neid taotluses pole. Ja taotlus ise on kaitstud selle allkirjaga.
Pärast kättesaamist imporditakse sertifikaaditaotlus CAFL63 CA andmebaasi:
Pärast seda tuleb taotlus kas tagasi lükata või rahuldada. Taotluse läbivaatamiseks peate selle valima, paremklõpsama ja valima rippmenüüst „Tee otsus”.
Otsustusprotsess ise on täiesti läbipaistev:
Sertifikaat väljastatakse samamoodi, ainult menüükäsk kannab nime “Väljasta sertifikaat”:
Väljastatud sertifikaadi vaatamiseks võite kasutada kontekstimenüüd või lihtsalt topeltklõpsata vastaval real:
Nüüd saab sisu vaadata nii läbi openssl-i (OpenSSL-i teksti vahekaart) kui ka CAFL63 rakenduse sisseehitatud vaataja (vahekaart Certificate Text). Viimasel juhul saate kontekstimenüü abil kopeerida sertifikaadi teksti kujul esmalt lõikepuhvrisse ja seejärel faili.
Siinkohal tuleb märkida, mis on CAFL63-s võrreldes esimese versiooniga muutunud? Sertifikaatide vaatamise osas oleme seda juba märkinud. Samuti on saanud võimalikuks valida objektide rühma (sertifikaadid, päringud, CRL-id) ja vaadata neid saalemisrežiimis (nupp „Vaata valitud ...“).
Tõenäoliselt on kõige olulisem see, et projekt on saidil vabalt saadaval . Lisaks Linuxi distributsioonidele on ette valmistatud distributsioonid Windowsile ja OS X-le. Androidi distributsioon ilmub veidi hiljem.
Võrreldes rakenduse CAFL63 eelmise versiooniga pole muutunud mitte ainult liides ise, vaid, nagu juba märgitud, on lisatud ka uusi funktsioone. Näiteks on rakenduse kirjeldusega leht ümber kujundatud ja lisatud on otselingid distributsioonide allalaadimiseks:
Paljud on küsinud ja küsivad siiani, kust saada GOST openssl. Traditsiooniliselt annan , lahkelt . Kuidas seda openssl-i kasutada, on kirjas .
Kuid nüüd sisaldavad levikomplektid openssl-i testversiooni venekeelse krüptograafiaga.
Seetõttu saate CA seadistamisel määrata kasutatava openssl-ina kas /tmp/lirssl_static Linuxi jaoks või $::env(TEMP)/lirssl_static.exe Windowsi jaoks:
Sel juhul peate looma tühja faili lirssl.cnf ja määrama keskkonnamuutujas LIRSSL_CONF selle faili tee:
Serdi seadete vahekaarti “Laiendused” on täiendatud väljaga “Authority Info Access”, kus saab määrata CA juursertifikaadi ja OCSP serveri pääsupunkte:
Tihti kuuleme, et CA-d ei aktsepteeri taotlejatelt nende genereeritud päringuid (PKCS#10) või, mis veelgi hullem, sunnivad päringuid moodustama võtmepaari genereerimisega vedajal mõne CSP kaudu. Ja nad keelduvad genereerimast PKCS#2.0 liidese kaudu taotlusi žetoonide kohta, millel on mittetaastav võti (samal RuToken EDS-11). Seetõttu otsustati CAFL63 rakenduse funktsionaalsusesse lisada päringu genereerimine, kasutades PKCS#11 žetoonide krüptograafilisi mehhanisme. Tokenmehhanismide lubamiseks kasutati paketti . CA-le päringu loomisel (lehekülg „Sertide taotlused“, funktsioon „Loo päring/CSR“) saate nüüd valida, kuidas võtmepaar genereeritakse (kasutades openssl-i või tokenil) ja päring ise allkirjastatakse:
Tokeniga töötamiseks vajalik teek on määratud sertifikaadi sätetes:
Kuid oleme kõrvale kaldunud peamisest ülesandest anda töötajatele sertifikaadid töötamiseks ettevõtte VPN-võrgus isolatsioonirežiimis. Selgus, et osadel töötajatel pole žetoone. Otsustati anda neile PKCS#12 kaitstud konteinerid, kuna CAFL63 rakendus seda võimaldab. Esmalt teeme sellistele töötajatele PKCS#10 päringud, mis näitavad CIPF tüüpi “OpenSSL”, seejärel väljastame sertifikaadi ja pakendame selle PKCS12-sse. Selleks valige lehel „Sertifikaadid“ soovitud sertifikaat, paremklõpsake ja valige „Ekspordi PKCS#12-sse“:
Veendumaks, et konteineriga on kõik korras, kasutame utiliiti cryptoarmpkcs:
Nüüd saate töötajatele saata väljastatud tõendeid. Mõnele inimesele saadetakse failid lihtsalt sertifikaatidega (need on loa omanikud, päringute saatjad) või PKCS#12 konteinerid. Teisel juhul antakse igale töötajale telefoni teel konteineri parool. Need töötajad peavad lihtsalt VPN-i konfiguratsioonifaili parandama, määrates õigesti konteineri tee.
Mis puutub märgi omanikesse, siis pidid nad ka oma märgi jaoks sertifikaadi importima. Selleks kasutasid nad sama krüptoarmpkcs utiliiti:
Nüüd on VPN-i konfiguratsioonis tehtud minimaalseid muudatusi (tõenäoliselt võib sertifikaadi silt olla muutunud) ja kõik, ettevõtte VPN-võrk on töökorras.
Õnnelik lõpp
Ja siis jõudis mulle kohale, miks peaksid inimesed mulle žetoone tooma või peaksin saatma neile sõnumitooja. Ja saadan järgmise sisuga kirja:
Vastus tuleb järgmisel päeval:
Saadan kohe lingi krüptoarmpkcs utiliidile:
Enne sertifikaaditaotluste loomist soovitasin neil märgid kustutada:
Seejärel saadeti meili teel PKCS#10 formaadis sertifikaatide taotlused ja väljastasin sertifikaadid, mille saatsin:
Ja siis saabus meeldiv hetk:
Ja seal oli ka selline kiri:
Ja pärast seda see artikkel sündis.
CAFL63 rakenduse distributsioonid Linuxi ja MS Windowsi platvormidele leiate
siin
Krüptoarmpkcs utiliidi levitused, sealhulgas Androidi platvorm, asuvad
siin
Allikas: www.habr.com