🥇Giltza Publikoaren Azpiegitura. Ziurtagiriak jaulkitzea autoisolamenduan zehar

Nola hasi zen dena

Autoisolamendu aldiaren hasieran bertan, mezu elektroniko bat jaso nuen:

Hasierako erreakzioa naturala izan zen: edo tokenak hartzera joan behar dugu, edo entregatu egin behar ditugu, eta astelehenetik etxean harrapatuta gaude denok, mugimendu murrizketak, eta nork daki. Beraz, erantzuna guztiz naturala izan zen:

Eta denok dakigunez, apirilaren 1ean, astelehenean, autoisolamendu aldi zorrotz baten hasiera markatu zen. Guztiok urruneko lanera aldatu ginen, eta VPN bat ere behar genuen. Gure VPNa honetan oinarrituta dago: OpenVPN, baina errusiar kriptografia onartzeko eta PKCS#11 tokenekin eta PKCS#12 edukiontziekin lan egiteko gaitasuna izateko aldatua. Jakina, konturatu ginen gu geuk ez geundela guztiz prest VPN baten bidez lan egiteko: askok ez zuten ziurtagiririk, eta batzuek iraungitakoak zituzten.

Nola joan zen prozesua?

Eta hemen etorri zen erabilgarritasuna erreskatera. kriptoarmpkcs eta aplikazioa CAFL63 (ziurtagiri-agintaritza).

Cryptoarmpkcs utilitateak etxeko ordenagailuetan tokenak dituzten autoisolamenduan dauden langileei ziurtagiri eskaerak sortzeko aukera eman zien:

Langileek gordetako eskaerak bidali zizkidaten posta elektronikoz. Batzuek galdetuko dute: "Zer gertatzen da datu pertsonalekin?". Baina arretaz begiratuz gero, ez daude eskaeran sartuta. Eta eskaera bera bere sinadurak babesten du.

Jasotakoan, ziurtagiri eskaera CAFL63 CA datu-basera inportatzen da:

Eskaera ukatu edo onartu egin behar da. Eskaera berrikusteko, hautatu, egin klik eskuineko botoiarekin eta hautatu "Hartu erabakia" goitibeherako menuan:

Erabakiak hartzeko prozedura bera guztiz gardena da:

Ziurtagiri bat modu berean jaulkitzen da, menuko elementuari "Ziurtagiria jaulki" deitzen zaio soilik:

Jaulkitako ziurtagiria ikusteko, testuinguru-menua erabil dezakezu edo dagokion lerroan klik bikoitza egin:

Edukia orain openssl ("OpenSSL Testua" fitxa) edo barneko CAFL63 ikustailea ("Ziurtagiriaren Testua" fitxa) erabiliz ikus daiteke. Azken kasu honetan, testuinguru-menua erabil dezakezu ziurtagiria testu formatuan lehenik arbelean eta gero fitxategi batean kopiatzeko.

Hona hemen CAFL63-n lehenengo bertsioarekin alderatuta zer aldatu den. Ziurtagiriak ikusteari dagokionez, hau aipatu dugu dagoeneko. Orain objektu talde bat (ziurtagiriak, eskaerak, CRLak) hautatzea eta "Hautatutakoak ikusi..." botoia erabiliz arakatzea posible da.

Agian garrantzitsuena proiektua doan eskuragarri dagoela da githubLinuxerako banaketez gain, banaketak prestatu dira Windows eta OS X. Banaketa Android pixka bat geroago argitaratuko da.

CAFL63 aplikazioaren aurreko bertsioarekin alderatuta, interfazea ez ezik, aipatu bezala, funtzio berriak gehitu dira. Adibidez, aplikazioaren deskribapen orria berriro diseinatu da, banaketak deskargatzeko estekak gehituz:

Jende askok galdetu du eta oraindik galdetzen ari da nondik lortu GOST OpenSSL. Tradizionalki, ematen dut link, eskuzabaltasunez emana garexNola erabili openssl hau idatzita dago Hemen.
Baina orain banaketek openssl-ren proba-bertsio bat dute, errusiar kriptografiarekin.

Beraz, CA konfiguratzerakoan, /tmp/lirssl_static zehaztu dezakezu Linuxerako edo $::env(TEMP)/lirssl_static.exe openssl-ek erabiltzeko. Windows:

Kasu honetan, lirssl.cnf fitxategi huts bat sortu eta fitxategi horretarako bidea zehaztu beharko duzu LIRSSL_CONF ingurune-aldagaian:

Ziurtagiriaren ezarpenetako "Luzapenak" fitxa "Agintaritzaren informaziorako sarbidea" eremuarekin osatu da, eta bertan CA erroko ziurtagirirako eta OCSP zerbitzarirako sarbide-puntuak zehaztu ditzakezu:

Askotan entzuten dugu CAek uko egiten dietela eskatzaileen auto-sortutako eskaerak (PKCS#10) onartzeari, edo, are okerrago, CSP baten bidez biltegiratze-euskarri bateko gako-pare bat erabiliz eskaerak beraiek sortzera behartzen dituztela. Gainera, uko egiten diete PKCS#11 interfazearen bidez gako ateraezina duten tokenak (RuToken EDS-2.0 bezalakoak) erabiliz eskaerak sortzeari. Hori dela eta, erabaki zen PKCS#11 token kriptografia-mekanismoak erabiliz eskaerak sortzea CAFL63 aplikazioari gehitzea. Paketea erabili zen token mekanismoak gaitzeko. TclPKCS11CA bati eskaera bat sortzerakoan (Ziurtagiri Eskaerak orria, "Eskaera/CSR sortu" funtzioa), orain aukeratu dezakezu nola sortuko den gako bikotea (OpenSSL edo token bat erabiliz) eta nola sinatuko den eskaera bera:

Tokenarekin lan egiteko behar den liburutegia ziurtagiriaren ezarpenetan zehaztuta dago:

Baina langileei autoisolamenduan zehar enpresako VPN sarean lan egiteko ziurtagiriak emateko zeregin nagusitik aldendu ginen. Konturatu ginen langile batzuek ez zutela tokenik. PKCS#12 edukiontzi seguruak ematea erabaki genuen, CAFL63 aplikazioari esker. Lehenik eta behin, PKCS#10 eskaerak sortzen ditugu langile horientzat, OpenSSL informazio kriptografikoa babesteko tresna mota zehaztuz, ondoren ziurtagiri bat jaulki eta PKCS12 gisa paketatzen dugu. Horretarako, "Ziurtagiriak" orrialdean, hautatu nahi duzun ziurtagiria, egin klik eskuineko botoiarekin eta hautatu "Esportatu PKCS#12ra":

Edukiontzia ondo dagoela ziurtatzeko, erabil dezagun cryptoarmpkcs utilitatea:

Jaulkitako ziurtagiriak langileei bidal dakizkieke orain. Batzuei ziurtagiri-fitxategi sinpleak (token-titularrak, eskaerak bidali dituztenak) edo PKCS#12 edukiontziak bidaltzen zaizkie. Azken kasu honetan, langile bakoitzari edukiontziaren pasahitza ematen zaio telefonoz. Langile hauek VPN konfigurazio-fitxategia editatu besterik ez dute egin behar edukiontzirako bidea behar bezala zehazteko.

Token jabeei dagokienez, tokenaren ziurtagiria ere inportatu behar zuten. Horretarako, cryptoarmpkcs utilitate bera erabili zuten:

Orain, VPN konfigurazioan doikuntza txiki batzuk egin ondoren (tokenaren ziurtagiriaren etiketa aldatu egin daiteke), enpresaren VPN sarea martxan dago.

Amaiera zoriontsua

Eta orduan bururatu zitzaidan: zergatik ekarriko zizkidaten jendeak tokenak, edo mezulari bat bidali beharko nuke haien bila? Beraz, mezu elektroniko hau bidali nuen:

Erantzuna hurrengo egunean etorriko da: