همه اینا چطور شروع شد
در همان ابتدای دوره خود انزوا، نامه ای از طریق پست دریافت کردم:
اولین واکنش طبیعی بود: یا باید به دنبال ژتون ها بروید، یا باید آنها را بیاورید، اما از روز دوشنبه همه ما در خانه نشسته ایم، محدودیت هایی برای حرکت وجود دارد، و این کیست؟ بنابراین، پاسخ کاملاً طبیعی بود:
و همانطور که همه می دانیم، از دوشنبه، 1 آوریل، یک دوره خود انزوا نسبتاً شدید آغاز شد. همچنین همه ما به کار از راه دور رفتیم و همچنین به VPN نیاز داشتیم. VPN ما مبتنی بر OpenVPN است، اما برای پشتیبانی از رمزنگاری روسی و توانایی کار با توکنهای PKCS#11 و کانتینرهای PKCS#12 اصلاح شده است. طبیعتاً معلوم شد که ما خودمان کاملاً آماده کار از طریق VPN نبودیم: بسیاری به سادگی گواهینامه نداشتند و برخی منقضی شده بودند.
روند چگونه پیش رفت؟
و اینجاست که ابزار به کمک می آید و کاربرد (مرکز تأیید).
ابزار cryptoarmpkcs به کارمندانی که در انزوا هستند و توکنهایی در رایانههای خانگی خود دارند اجازه میدهد درخواستهای گواهی را ایجاد کنند:
کارمندان درخواست های ذخیره شده را از طریق ایمیل برای من ارسال کردند. ممکن است کسی بپرسد: - در مورد داده های شخصی چطور، اما اگر دقت کنید، در درخواست نیست. و خود درخواست با امضای آن محافظت می شود.
پس از دریافت، درخواست گواهی به پایگاه داده CAFL63 CA وارد می شود:
پس از آن درخواست یا باید رد یا تایید شود. برای در نظر گرفتن یک درخواست، باید آن را انتخاب کنید، کلیک راست کرده و از منوی کشویی گزینه " تصمیم گیری" را انتخاب کنید:
روش تصمیم گیری خود کاملاً شفاف است:
یک گواهی به همین ترتیب صادر می شود، فقط آیتم منو "صدور گواهی" نامیده می شود:
برای مشاهده گواهی صادر شده، می توانید از منوی زمینه استفاده کنید یا به سادگی روی خط مربوطه دوبار کلیک کنید:
اکنون محتوا را می توان هم از طریق openssl (برگه OpenSSL Text) و هم از طریق نمایشگر داخلی برنامه CAFL63 (برگه متن گواهی) مشاهده کرد. در مورد دوم، می توانید از منوی زمینه برای کپی کردن گواهی به صورت متنی، ابتدا در کلیپ بورد و سپس در یک فایل استفاده کنید.
در اینجا لازم به ذکر است که چه تغییراتی در CAFL63 نسبت به نسخه اول داشته است؟ در مورد مشاهده گواهی ها، ما قبلاً به این اشاره کرده ایم. همچنین انتخاب گروهی از اشیاء (گواهینامه ها، درخواست ها، CRLها) و مشاهده آنها در حالت صفحه بندی (دکمه "مشاهده انتخاب شده ...") امکان پذیر شده است.
احتمالاً مهمترین چیز این است که پروژه به صورت رایگان در دسترس است . علاوه بر توزیع برای لینوکس، توزیع هایی برای ویندوز و OS X نیز آماده شده است. توزیع برای اندروید کمی بعد منتشر می شود.
در مقایسه با نسخه قبلی برنامه CAFL63، نه تنها خود رابط تغییر کرده است، بلکه همانطور که قبلاً اشاره شد ویژگی های جدیدی نیز اضافه شده است. به عنوان مثال، صفحه با توضیحات برنامه بازطراحی شده و لینک های مستقیم به دانلود توزیع ها اضافه شده است:
بسیاری پرسیده اند و هنوز هم می پرسند که GOST openssl را از کجا تهیه کنند. به طور سنتی من می دهم ، با مهربانی ارائه شده است . نحوه استفاده از این openssl نوشته شده است .
اما اکنون کیت های توزیع شامل نسخه آزمایشی openssl با رمزنگاری روسی است.
بنابراین، هنگام راهاندازی CA، میتوانید /tmp/lirssl_static برای لینوکس یا $::env(TEMP)/lirssl_static.exe را برای ویندوز بهعنوان openssl مورد استفاده تعیین کنید:
در این حالت، باید یک فایل lirssl.cnf خالی ایجاد کنید و مسیر این فایل را در متغیر محیطی LIRSSL_CONF مشخص کنید:
برگه «برنامههای افزودنی» در تنظیمات گواهی با فیلد «دسترسی به اطلاعات مرجع» تکمیل شده است، جایی که میتوانید نقاط دسترسی را به گواهی ریشه CA و سرور OCSP تنظیم کنید:
ما اغلب می شنویم که CA درخواست های ایجاد شده توسط آنها (PKCS#10) از متقاضیان را نمی پذیرد یا، حتی بدتر از آن، با ایجاد یک جفت کلید در حامل از طریق برخی از CSP، تشکیل درخواست ها را مجبور می کند. و آنها از ایجاد درخواست روی نشانهها با یک کلید غیرقابل بازیابی (در همان RuToken EDS-2.0) از طریق رابط PKCS#11 خودداری میکنند. بنابراین، تصمیم گرفته شد تا با استفاده از مکانیسمهای رمزنگاری توکنهای PKCS#63، تولید درخواست به عملکرد برنامه CAFL11 اضافه شود. برای فعال کردن مکانیسم های توکن، از بسته استفاده شد . هنگام ایجاد درخواست برای یک CA (صفحه «درخواستهای گواهی»، تابع «ایجاد درخواست/CSR») اکنون میتوانید نحوه تولید جفت کلید (با استفاده از openssl یا روی یک توکن) را انتخاب کنید و خود درخواست امضا شود:
کتابخانه مورد نیاز برای کار با توکن در تنظیمات گواهی مشخص شده است:
اما ما از وظیفه اصلی ارائه گواهینامه برای کارمندان برای کار در شبکه VPN شرکتی در حالت ایزوله شدن منحرف شده ایم. معلوم شد که برخی از کارمندان توکن ندارند. تصمیم گرفته شد که ظروف محافظت شده PKCS#12 در اختیار آنها قرار گیرد، زیرا برنامه CAFL63 این اجازه را می دهد. ابتدا برای چنین کارمندانی درخواستهای PKCS#10 را میدهیم که نوع CIPF "OpenSSL" را نشان میدهد، سپس گواهی صادر میکنیم و آن را در PKCS12 بستهبندی میکنیم. برای انجام این کار، در صفحه "گواهی ها"، گواهی مورد نظر را انتخاب کنید، کلیک راست کرده و "Export to PKCS#12" را انتخاب کنید:
برای اطمینان از اینکه همه چیز با ظرف درست است، از ابزار cryptoarmpkcs استفاده کنید:
اکنون می توانید گواهی های صادر شده را برای کارمندان ارسال کنید. برای برخی از افراد به سادگی فایلهایی با گواهینامهها ارسال میشود (اینها صاحبان رمز، کسانی هستند که درخواست ارسال کردهاند)، یا کانتینرهای PKCS#12. در حالت دوم، رمز عبور کانتینر به هر کارمند از طریق تلفن داده می شود. این کارمندان فقط باید فایل پیکربندی VPN را با مشخص کردن صحیح مسیر کانتینر تصحیح کنند.
در مورد صاحبان توکن، آنها نیز باید گواهی برای توکن خود وارد کنند. برای انجام این کار، آنها از همان ابزار cryptoarmpkcs استفاده کردند:
اکنون حداقل تغییرات در پیکربندی VPN وجود دارد (برچسب گواهی روی توکن ممکن است تغییر کرده باشد) و تمام، شبکه VPN شرکتی در حال کار است.
یک پایان خوش
و بعد متوجه شدم که چرا مردم برای من ژتون بیاورند یا من برای آنها رسولی بفرستم. و نامه ای با این مضمون می فرستم:
پاسخ روز بعد می آید:
من بلافاصله یک پیوند به ابزار cryptoarmpkcs ارسال می کنم:
قبل از ایجاد درخواستهای گواهی، توصیه میکنم که نشانهها را پاک کنند:
سپس درخواستهایی برای گواهینامهها در قالب PKCS#10 از طریق ایمیل ارسال شد و من گواهیهایی را صادر کردم که به آدرس زیر ارسال کردم:
و سپس یک لحظه خوش آمد:
و همچنین این نامه وجود داشت:
و پس از آن این مقاله متولد شد.
توزیع های برنامه CAFL63 برای پلتفرم های لینوکس و MS Windows را می توان یافت
اینجا
توزیع های ابزار cryptoarmpkcs، از جمله پلت فرم اندروید، قرار دارند
اینجا
منبع: www.habr.com