Como todo comezou
Ao comezo do período de autoillamento, recibín unha carta por correo:
A primeira reacción foi natural: ou hai que buscar fichas, ou hai que traelas, pero dende o luns todos estamos sentados na casa, hai restricións de movemento, e quen carallo é ese? Polo tanto, a resposta foi bastante natural:
E como todos sabemos, a partir do luns 1 de abril comezou un período de autoillamento bastante estrito. Tamén todos cambiamos ao traballo remoto e tamén necesitabamos unha VPN. A nosa VPN baséase en OpenVPN, pero modificouse para admitir a criptografía rusa e a capacidade de traballar con tokens PKCS#11 e contedores PKCS#12. Por suposto, resultou que nós mesmos non estabamos preparados para traballar mediante VPN: moitos simplemente non tiñan certificados e algúns tiñan caducados.
Como foi o proceso?
E aquí é onde a utilidade vén ao rescate
A utilidade cryptoarmpkcs permitiu aos empregados que están illados e teñen tokens nos seus ordenadores domésticos xerar solicitudes de certificados:
Os empregados enviáronme solicitudes gardadas por correo electrónico. Alguén pode preguntar: - Que pasa cos datos persoais, pero se te fixas ben, non está na solicitude. E a propia solicitude está protexida pola súa sinatura.
Tras a súa recepción, a solicitude de certificado impórtase á base de datos CAFL63 CA:
Despois diso, a solicitude debe ser rexeitada ou aprobada. Para considerar unha solicitude, cómpre seleccionala, facer clic co botón dereito e seleccionar "Tomar decisión" no menú despregable:
O propio procedemento de toma de decisións é absolutamente transparente:
Un certificado emítese do mesmo xeito, só o elemento do menú chámase "Emitir certificado":
Para ver o certificado emitido, pode utilizar o menú contextual ou simplemente facer dobre clic na liña correspondente:
Agora o contido pódese ver tanto a través de openssl (pestana Texto de OpenSSL) como do visor incorporado da aplicación CAFL63 (pestana Texto de certificado). Neste último caso, pode usar o menú contextual para copiar o certificado en forma de texto, primeiro no portapapeis e despois nun ficheiro.
Aquí hai que ter en conta que cambiou en CAFL63 en comparación coa primeira versión? En canto aos certificados de visualización, xa o notamos. Tamén se fixo posible seleccionar un grupo de obxectos (certificados, solicitudes, CRL) e visualizalos en modo de paginación (botón "Ver seleccionado...").
Probablemente o máis importante é que o proxecto estea dispoñible gratuitamente
En comparación coa versión anterior da aplicación CAFL63, non só cambiou a interface en si, senón que, como xa se indicou, engadíronse novas funcións. Por exemplo, redeseñouse a páxina coa descrición da aplicación e engadíronse ligazóns directas para descargar distribucións:
Moitos preguntaron e seguen preguntando onde conseguir GOST openssl. Tradicionalmente dou
Pero agora os kits de distribución inclúen unha versión de proba de openssl con criptografía rusa.
Polo tanto, ao configurar a CA, pode especificar /tmp/lirssl_static para Linux ou $::env(TEMP)/lirssl_static.exe para Windows como o openssl utilizado:
Neste caso, terá que crear un ficheiro lirssl.cnf baleiro e especificar o camiño a este ficheiro na variable de ambiente LIRSSL_CONF:
A pestana "Extensións" na configuración do certificado complementouse co campo "Acceso á información da autoridade", onde pode establecer puntos de acceso ao certificado raíz da CA e ao servidor OCSP:
A miúdo escoitamos que as CA non aceptan solicitudes xeradas por elas (PKCS#10) dos solicitantes ou, peor aínda, forzan a formación de solicitudes coa xeración dun par de claves no operador a través dalgún CSP. E néganse a xerar solicitudes en tokens cunha clave non recuperable (no mesmo RuToken EDS-2.0) a través da interface PKCS#11. Polo tanto, decidiuse engadir a xeración de solicitudes á funcionalidade da aplicación CAFL63 mediante os mecanismos criptográficos dos tokens PKCS#11. Para activar os mecanismos de token, utilizouse o paquete
A biblioteca necesaria para traballar co token especifícase na configuración do certificado:
Pero desviámonos da tarefa principal de proporcionar aos empregados certificados para traballar nunha rede VPN corporativa en modo de autoillamento. Descubriuse que algúns empregados non teñen fichas. Decidiuse dotarlles de envases protexidos PKCS#12, xa que o permite a aplicación CAFL63. En primeiro lugar, para estes empregados realizamos solicitudes PKCS#10 indicando o tipo de CIPF "OpenSSL", despois emitimos un certificado e empaquetámolo en PKCS12. Para iso, na páxina "Certificados", seleccione o certificado desexado, prema co botón dereito e seleccione "Exportar a PKCS#12":
Para asegurarnos de que todo está en orde co contedor, usemos a utilidade cryptoarmpkcs:
Agora podes enviar certificados emitidos aos empregados. A algunhas persoas simplemente envían ficheiros con certificados (estes son os propietarios de tokens, os que enviaron solicitudes) ou contedores PKCS#12. No segundo caso, cada empregado recibe o contrasinal do contedor por teléfono. Estes empregados só precisan corrixir o ficheiro de configuración VPN especificando correctamente o camiño ao contedor.
En canto aos propietarios do token, tamén necesitaban importar un certificado para o seu token. Para iso, utilizaron a mesma utilidade cryptoarmpkcs:
Agora hai cambios mínimos na configuración da VPN (pode que a etiqueta do certificado no token cambiase) e iso é todo, a rede VPN corporativa está funcionando.
Un final feliz
E entón entendín por que a xente me traería fichas ou debería enviar un mensaxeiro por eles. E mando unha carta co seguinte contido:
A resposta chega ao día seguinte:
Inmediatamente envio unha ligazón á utilidade cryptoarmpkcs:
Antes de crear solicitudes de certificado, recomendámoslles que limpasen os tokens:
Despois, as solicitudes de certificados en formato PKCS#10 enviáronse por correo electrónico e eu emitín certificados, que enviei a:
E entón chegou un momento agradable:
E tamén estaba esta carta:
E despois naceu este artigo.
Pódense atopar distribucións da aplicación CAFL63 para plataformas Linux e MS Windows
aquí
Localízanse distribucións da utilidade cryptoarmpkcs, incluída a plataforma Android
aquí
Fonte: www.habr.com