Kuinka kaikki alkoi
Itseeristysjakson alussa sain postissa kirjeen:
Ensimmäinen reaktio oli luonnollinen: joko pitää mennä hakemaan rahakkeita tai ne pitää tuoda, mutta maanantaista lähtien olemme kaikki istuneet kotona, liikkumisrajoituksia on, ja kuka helvetti se on? Siksi vastaus oli varsin luonnollinen:
Ja kuten me kaikki tiedämme, maanantaista 1. huhtikuuta alkoi melko tiukan itsensä eristäytymisen aika. Vaihdoimme kaikki myös etätyöhön ja tarvitsimme myös VPN:n. VPN-verkkomme perustuu OpenVPN:ään, mutta sitä on muokattu tukemaan venäläistä kryptografiaa ja kykyä toimia PKCS#11-tunnisteiden ja PKCS#12-säilöjen kanssa. Luonnollisesti kävi ilmi, ettemme itse olleet aivan valmiita työskentelemään VPN:n kautta: monilla ei yksinkertaisesti ollut varmenteita, ja joillain oli vanhentuneita.
Miten prosessi eteni?
Ja tässä apuohjelma tulee apuun ja sovellus (vahvistuskeskus).
cryptoarmpkcs-apuohjelma antoi työntekijöille, jotka ovat eristyksissä ja joilla on tokeneja kotitietokoneissaan, luoda varmennepyyntöjä:
Työntekijät lähettivät minulle sähköpostilla tallennettuja pyyntöjä. Joku saattaa kysyä: - Entä henkilötiedot, mutta jos katsot tarkasti, niitä ei ole pyynnössä. Ja itse pyyntö on suojattu sen allekirjoituksella.
Vastaanotettuaan varmennepyyntö tuodaan CAFL63 CA -tietokantaan:
Tämän jälkeen pyyntö on joko hylättävä tai hyväksyttävä. Jos haluat harkita pyyntöä, sinun on valittava se, napsauta hiiren kakkospainikkeella ja valitse "Tee päätös" avattavasta valikosta:
Itse päätöksentekomenettely on täysin avoin:
Varmenne myönnetään samalla tavalla, vain valikkokohdan nimi on "Anna varmenne":
Nähdäksesi myönnetyn varmenteen voit käyttää kontekstivalikkoa tai yksinkertaisesti kaksoisnapsauttaa vastaavaa riviä:
Nyt sisältöä voi tarkastella sekä openssl:n (OpenSSL-tekstivälilehti) että CAFL63-sovelluksen sisäänrakennetun katseluohjelman (Certificate Text -välilehti) kautta. Jälkimmäisessä tapauksessa voit kopioida varmenteen tekstimuodossa kontekstivalikosta ensin leikepöydälle ja sitten tiedostoon.
Tässä on syytä huomata, mikä on muuttunut CAFL63:ssa verrattuna ensimmäiseen versioon? Mitä tulee todistusten katseluun, olemme jo huomanneet tämän. On myös tullut mahdolliseksi valita objektiryhmä (varmenteet, pyynnöt, CRL:t) ja tarkastella niitä sivutustilassa ("Näytä valitut..." -painike).
Ehkä tärkeintä on, että projekti on vapaasti saatavilla osoitteessa . Linux-jakelujen lisäksi on valmisteltu jakelut Windowsille ja OS X:lle. Android-jakelu julkaistaan hieman myöhemmin.
Verrattuna CAFL63-sovelluksen edelliseen versioon, itse käyttöliittymä ei ole muuttunut, vaan myös, kuten jo todettiin, uusia ominaisuuksia on lisätty. Esimerkiksi sivu, jossa on sovelluksen kuvaus, on suunniteltu uudelleen ja lisätty suorat linkit jakelujen lataamiseen:
Monet ovat kysyneet ja kysyvät edelleen, mistä saada GOST openssl. Perinteisesti annan , ystävällisesti tarjottu . Kuinka tätä openssl:ää käytetään, on kirjoitettu .
Mutta nyt jakelusarjat sisältävät openssl:n testiversion venäläisellä kryptografialla.
Siksi CA:ta määrittäessäsi voit määrittää käytettäväksi openssl:ksi joko /tmp/lirssl_static (Linux) tai $::env(TEMP)/lirssl_static.exe (Windows):
Tässä tapauksessa sinun on luotava tyhjä lirssl.cnf-tiedosto ja määritettävä polku tähän tiedostoon ympäristömuuttujassa LIRSSL_CONF:
Varmenneasetusten Laajennukset-välilehteä on täydennetty "Authority Info Access" -kentällä, jossa voit asettaa pääsypisteitä CA-juurivarmenteeseen ja OCSP-palvelimeen:
Usein kuulemme, että varmentajat eivät hyväksy hakijoilta luomiaan pyyntöjä (PKCS#10) tai, mikä vielä pahempaa, pakottavat pyyntöjen muodostamisen luomalla avainparin operaattorille jonkin CSP:n kautta. Ja he kieltäytyvät luomasta pyyntöjä tokeneille, joilla on ei-palautettava avaimet (samalla RuToken EDS-2.0:lla) PKCS#11-rajapinnan kautta. Siksi CAFL63-sovelluksen toiminnallisuuteen päätettiin lisätä pyyntöjen luonti PKCS#11-tokenien salausmekanismeja käyttäen. Token-mekanismien mahdollistamiseksi käytettiin pakettia . Kun luot pyyntöä varmentajalle (sivu "Varmennepyynnöt", toiminto "Luo pyyntö/CSR"), voit nyt valita, kuinka avainpari luodaan (openssl:llä tai tokenilla) ja itse pyyntö allekirjoitetaan:
Tokenin kanssa toimimiseen vaadittava kirjasto on määritetty varmenteen asetuksissa:
Mutta olemme poikennut päätehtävästä tarjota työntekijöille varmenteita työskennelläkseen yrityksen VPN-verkossa itseeristystilassa. Kävi ilmi, että joillakin työntekijöillä ei ole tunnuksia. Heille päätettiin toimittaa PKCS#12 suojattuja säiliöitä, koska CAFL63-sovellus mahdollistaa tämän. Ensin teemme tällaisille työntekijöille PKCS#10-pyynnöt, joissa ilmoitetaan CIPF-tyyppi "OpenSSL", sitten myönnämme varmenteen ja pakkaamme sen PKCS12:een. Voit tehdä tämän valitsemalla "Sertifikaatit"-sivulla haluamasi varmenteen, napsauttamalla hiiren kakkospainikkeella ja valitsemalla "Vie PKCS#12:een":
Varmistaaksesi, että kaikki on kunnossa kontin kanssa, käytä cryptoarmpkcs-apuohjelmaa:
Nyt voit lähettää myönnettyjä todistuksia työntekijöille. Joillekin ihmisille lähetetään vain tiedostoja varmenteineen (nämä ovat tunnuksen omistajia, pyyntöjen lähettäjiä) tai PKCS#12-säilöjä. Toisessa tapauksessa jokaiselle työntekijälle annetaan kontin salasana puhelimitse. Näiden työntekijöiden on vain korjattava VPN-määritystiedosto määrittämällä polku säilöön oikein.
Mitä tulee tunnuksen omistajiin, heidän oli myös tuotava varmenne tunnukselleen. Tätä varten he käyttivät samaa kryptoarmpkcs-apuohjelmaa:
Nyt VPN-kokoonpanoon on tehty vain vähän muutoksia (tunnisteen varmennetarra on saattanut muuttua), ja siinä kaikki, yrityksen VPN-verkko on toimintakunnossa.
Hyvää loppua
Ja sitten minulle valkeni, miksi ihmiset toisivat minulle rahakkeita tai pitäisikö minun lähettää heille sanansaattaja. Ja lähetän seuraavan sisällön kirjeen:
Vastaus tulee seuraavana päivänä:
Lähetän heti linkin cryptoarmpkcs-apuohjelmaan:
Ennen varmennepyyntöjen luomista suosittelin, että ne tyhjentävät tunnukset:
Sitten lähetettiin sähköpostilla varmennepyynnöt PKCS#10-muodossa ja myönnin varmenteita, jotka lähetin osoitteeseen:
Ja sitten koitti miellyttävä hetki:
Ja siellä oli myös tämä kirje:
Ja sen jälkeen tämä artikkeli syntyi.
CAFL63-sovelluksen jakelut Linux- ja MS Windows-alustoille löytyvät
täällä
cryptoarmpkcs-apuohjelman jakelut, mukaan lukien Android-alusta, sijaitsevat
täällä
Lähde: will.com