Nola hasi zen dena
Auto-isolamendu epearen hasieran, gutun bat jaso nuen postaz:
Lehenengo erreakzioa naturala izan zen: fitxaren bila joan behar duzu, edo ekarri behar dira, baina astelehenetik denok etxean eserita gaude, mugimendurako mugak daude, eta nor demontre da hori? Beraz, erantzuna nahiko naturala izan zen:
Eta denok dakigunez, astelehenetik, apirilaren 1etik, auto-isolamendu zorrotz samarra hasi zen. Guztiok ere urruneko lanera pasatu ginen eta VPN bat ere behar genuen. Gure VPN OpenVPN-n oinarritzen da, baina Errusiako kriptografia onartzeko eta PKCS#11 tokenekin eta PKCS#12 edukiontziekin lan egiteko gaitasunarekin aldatu da. Jakina, gu geu ez geundela nahiko prest VPN bidez lan egiteko: askok, besterik gabe, ez zuten ziurtagiririk, eta batzuk iraungita zeuden.
Nola joan da prozesua?
Eta hor dago erabilgarritasuna erreskatatzera eta aplikazioa (Egiaztapen Zentroa).
Cryptoarmpkcs utilitateak auto-isolatuta dauden eta etxeko ordenagailuetan tokenak dituzten langileei ziurtagiri eskaerak sortzeko aukera eman zien:
Langileek gordetako eskaerak bidali zizkidaten posta elektroniko bidez. Norbaitek galde dezake: - Zer gertatzen da datu pertsonalekin, baina ondo begiratuz gero, ez dago eskaeran. Eta eskaera bera bere sinaduraz babestuta dago.
Jasotakoan, ziurtagiri eskaera CAFL63 CA datu-basera inportatzen da:
Horren ondoren, eskaera baztertu edo onartu egin behar da. Eskaera bat kontuan hartzeko, hautatu behar duzu, egin klik eskuineko botoiarekin eta hautatu "Hartu erabakia" goitibeherako menuan:
Erabakiak hartzeko prozedura bera guztiz gardena da:
Ziurtagiri bat modu berean jaulkitzen da, menuko elementuak bakarrik deitzen da "Igorri ziurtagiria":
Jaulkitako ziurtagiria ikusteko, laster-menua erabil dezakezu edo, besterik gabe, egin klik bikoitza dagokion lerroan:
Orain edukia openssl (OpenSSL Testua fitxa) eta CAFL63 aplikazioaren ikustaile integratuaren bidez (Ziurtagiriaren Testua fitxa) ikus daiteke. Azken kasu honetan, testuinguru-menua erabil dezakezu ziurtagiria testu moduan kopiatzeko, lehenik arbelean eta gero fitxategi batean.
Hemen kontuan izan behar da zer aldatu den CAFL63-n lehen bertsioarekin alderatuta? Ziurtagiriak ikusteari dagokionez, dagoeneko adierazi dugu hori. Objektu talde bat hautatzea ere posible egin da (ziurtagiriak, eskaerak, CRLak) eta orrialdekatze moduan ikusteko (Β«Ikusi hautatutakoa...Β» botoia).
Garrantzitsuena, ziurrenik, proiektua doan eskuragarri egotea da . Linuxerako banaketez gain, Windows eta OS Xrako banaketak prestatu dira.Androiderako banaketa pixka bat geroago kaleratuko da.
CAFL63 aplikazioaren aurreko bertsioarekin alderatuta, interfazea bera aldatu ez ezik, esan bezala, funtzio berriak gehitu dira. Adibidez, aplikazioaren deskribapena duen orria birdiseinatu da eta banaketak deskargatzeko estek zuzenak gehitu dira:
Askok GOST openssl non lortu galdetu dute eta oraindik galdetzen dute. Tradizionalki ematen dut , atsegin handiz emandakoa . Openssl hau nola erabili idatzita dago .
Baina orain banaketa-kitek errusiar kriptografiarekin openssl-ren probako bertsioa barne hartzen dute.
Hori dela eta, CA konfiguratzean, /tmp/lirssl_static Linux-erako edo $::env(TEMP)/lirssl_static.exe Windows-erako zehaztu dezakezu openssl gisa:
Kasu honetan, lirssl.cnf fitxategi huts bat sortu beharko duzu eta fitxategi honen bidea zehaztu LIRSSL_CONF ingurune-aldagaian:
Ziurtagiriaren ezarpenetan "Hedapenak" fitxa "Autority Info Access" eremuarekin osatu da, non CA erroko ziurtagirirako eta OCSP zerbitzarirako sarbide-puntuak ezar ditzakezu:
Askotan entzuten dugu CA-ek ez dituztela onartzen eskatzaileengandik sortutako eskaerak (PKCS#10) edo, are okerrago, CSP batzuen bidez garraiolariaren gako-pare bat sortzearekin eskaerak sortzera behartzen dituztela. Eta PKCS#2.0 interfazearen bidez (RuToken EDS-11 berean) gako berreskuragarria duten tokenetan eskaerak sortzeari uko egiten diote. Hori dela eta, CAFL63 aplikazioaren funtzionalitateari eskaera sortzea gehitzea erabaki zen PKCS#11 tokenen mekanismo kriptografikoak erabiliz. Token mekanismoak gaitzeko, paketea erabili da . CA bati eskaera bat sortzean (orria βZiurtagirien eskaerakβ, βSortu eskaera/CSRβ funtzioa) orain aukera dezakezu nola sortuko den gako bikotea (openssl erabiliz edo token batean) eta eskaera bera sinatuko da:
Tokenarekin lan egiteko behar den liburutegia ziurtagiriaren ezarpenetan zehazten da:
Baina langileei auto-isolamendu moduan lan egiteko VPN sare korporatibo batean lan egiteko ziurtagiriak ematearen zeregin nagusitik aldendu gara. Agertu zen langile batzuek ez dutela tokenrik. PKCS#12 babestutako edukiontziak ematea erabaki zen, CAFL63 aplikazioak hori ahalbidetzen duelako. Lehenik eta behin, horrelako langileentzat PKCS#10 eskaerak egiten ditugu CIPF mota "OpenSSL" adieraziz, gero ziurtagiri bat ematen dugu eta PKCS12-n paketatzen dugu. Horretarako, "Ziurtagiriak" orrian, hautatu nahi duzun ziurtagiria, egin klik eskuineko botoiarekin eta hautatu "Esportatu PKCS#12ra":
Edukiontziarekin dena ondo dagoela ziurtatzeko, erabil dezagun cryptoarmpkcs utilitatea:
Jaulkitako ziurtagiriak bidali diezaiekezu orain langileei. Pertsona batzuei ziurtagiriekin fitxategiak bidaltzen zaizkie (token jabeak dira, eskaerak bidali dituztenak) edo PKCS#12 edukiontziak. Bigarren kasuan, langile bakoitzari telefonoz ematen zaio edukiontziaren pasahitza. Langile hauek VPN konfigurazio fitxategia zuzendu besterik ez dute behar edukiontzirako bidea behar bezala zehaztuz.
Token jabeei dagokienez, beren tokenaren ziurtagiria ere inportatu behar zuten. Horretarako, cryptoarmpkcs utilitate bera erabili zuten:
Orain gutxieneko aldaketak daude VPN konfigurazioan (baliteke tokeneko ziurtagiriaren etiketa aldatu izana) eta kito, VPN sare korporatiboa ondo dago.
Amaiera zoriontsua
Eta orduan bururatu zitzaidan, zergatik ekarriko zizkidan jendeak tokenak edo mezulari bat bidali behar nuen haientzat. Eta gutun bat bidaltzen dut honako edukiarekin:
Erantzuna hurrengo egunean dator:
Berehala esteka bat bidaltzen dut cryptoarmpkcs utilitaterako:
Ziurtagiri-eskaerak sortu aurretik, tokenak garbitzea gomendatu nuen:
Ondoren, PKCS#10 formatuan ziurtagirien eskaerak posta elektronikoz bidali ziren eta ziurtagiriak eman nituen, hona bidali nituen:
Eta gero momentu atsegin bat etorri zen:
Eta gutun hau ere bazegoen:
Eta horren ondoren artikulu hau jaio zen.
Linux eta MS Windows plataformetarako CAFL63 aplikazioaren banaketak aurki daitezke
Hemen
cryptoarmpkcs utilitatearen banaketak daude, Android plataforma barne
Hemen
Iturria: www.habr.com