જાહેર કી ઈન્ફ્રાસ્ટ્રક્ચર. સ્વ-અલગતા દરમિયાન પ્રમાણપત્રો આપવા

તે બધા કેવી રીતે શરૂ કર્યું

સ્વ-અલગતા સમયગાળાની શરૂઆતમાં, મને મેલમાં એક પત્ર મળ્યો:

પ્રથમ પ્રતિક્રિયા સ્વાભાવિક હતી: તમારે કાં તો ટોકન લેવા જવું પડશે, અથવા તે લાવવા પડશે, પરંતુ સોમવારથી આપણે બધા ઘરે બેઠા છીએ, ત્યાં હિલચાલ પર પ્રતિબંધ છે, અને તે કોણ છે? તેથી, જવાબ તદ્દન સ્વાભાવિક હતો:

અને જેમ આપણે બધા જાણીએ છીએ, સોમવાર, 1 એપ્રિલથી, એકદમ કડક સ્વ-અલગતાનો સમયગાળો શરૂ થયો. અમે બધા રિમોટ વર્ક પર પણ સ્વિચ કર્યા અને અમને VPN ની પણ જરૂર હતી. અમારું VPN OpenVPN પર આધારિત છે, પરંતુ રશિયન ક્રિપ્ટોગ્રાફી અને PKCS#11 ટોકન્સ અને PKCS#12 કન્ટેનર સાથે કામ કરવાની ક્ષમતાને સમર્થન આપવા માટે સંશોધિત કરવામાં આવ્યું છે. સ્વાભાવિક રીતે, તે બહાર આવ્યું છે કે અમે પોતે VPN દ્વારા કામ કરવા માટે તૈયાર નહોતા: ઘણાની પાસે પ્રમાણપત્રો નહોતા, અને કેટલાકની સમયસીમા સમાપ્ત થઈ ગઈ હતી.

પ્રક્રિયા કેવી રીતે ચાલી?

અને આ તે છે જ્યાં ઉપયોગિતા બચાવમાં આવે છે cryptoarmpkcs અને એપ્લિકેશન CAFL63 (ચકાસણી કેન્દ્ર).

Cryptoarmpkcs યુટિલિટી એવા કર્મચારીઓને મંજૂરી આપે છે કે જેઓ સ્વ-અલગતામાં હોય અને તેમના ઘરના કમ્પ્યુટર્સ પર ટોકન્સ હોય તેઓ પ્રમાણપત્ર વિનંતીઓ જનરેટ કરી શકે:

કર્મચારીઓએ મને ઇમેઇલ દ્વારા સાચવેલી વિનંતીઓ મોકલી. કોઈ પૂછી શકે છે: - વ્યક્તિગત ડેટા વિશે શું, પરંતુ જો તમે નજીકથી જોશો, તો તે વિનંતીમાં નથી. અને વિનંતી પોતે તેના હસ્તાક્ષર દ્વારા સુરક્ષિત છે.

પ્રાપ્તિ પછી, પ્રમાણપત્ર વિનંતીને CAFL63 CA ડેટાબેઝમાં આયાત કરવામાં આવે છે:

જે પછી વિનંતીને નકારી અથવા મંજૂર કરવી આવશ્યક છે. વિનંતીને ધ્યાનમાં લેવા માટે, તમારે તેને પસંદ કરવાની જરૂર છે, જમણું-ક્લિક કરો અને ડ્રોપ-ડાઉન મેનૂમાંથી "નિર્ણય લો" પસંદ કરો:

નિર્ણય લેવાની પ્રક્રિયા પોતે જ એકદમ પારદર્શક છે:

પ્રમાણપત્ર એ જ રીતે જારી કરવામાં આવે છે, ફક્ત મેનૂ આઇટમને "ઇસ્યુ પ્રમાણપત્ર" કહેવામાં આવે છે:

જારી કરાયેલ પ્રમાણપત્ર જોવા માટે, તમે સંદર્ભ મેનૂનો ઉપયોગ કરી શકો છો અથવા ફક્ત અનુરૂપ લાઇન પર ડબલ-ક્લિક કરી શકો છો:

હવે સામગ્રીને openssl (OpenSSL ટેક્સ્ટ ટેબ) અને CAFL63 એપ્લિકેશન (પ્રમાણપત્ર ટેક્સ્ટ ટેબ) ના બિલ્ટ-ઇન વ્યૂઅર બંને દ્વારા જોઈ શકાય છે. પછીના કિસ્સામાં, તમે પ્રમાણપત્રને ટેક્સ્ટ સ્વરૂપમાં, પહેલા ક્લિપબોર્ડ પર અને પછી ફાઇલમાં કૉપિ કરવા માટે સંદર્ભ મેનૂનો ઉપયોગ કરી શકો છો.

અહીં એ નોંધવું જોઈએ કે પહેલા વર્ઝનની સરખામણીમાં CAFL63માં શું બદલાવ આવ્યો છે? પ્રમાણપત્રો જોવા માટે, અમે આ પહેલેથી જ નોંધ્યું છે. ઑબ્જેક્ટ્સનું જૂથ (પ્રમાણપત્રો, વિનંતીઓ, CRLs) પસંદ કરવાનું અને તેમને પેજિંગ મોડમાં જોવાનું પણ શક્ય બન્યું છે ("પસંદ કરેલ જુઓ ..." બટન).

કદાચ સૌથી મહત્વની બાબત એ છે કે પ્રોજેક્ટ પર મુક્તપણે ઉપલબ્ધ છે ગીથબ. Linux માટે વિતરણો ઉપરાંત, Windows અને OS X માટે વિતરણો તૈયાર કરવામાં આવ્યા છે. Android માટેનું વિતરણ થોડા સમય પછી બહાર પાડવામાં આવશે.

CAFL63 એપ્લિકેશનના પાછલા સંસ્કરણની તુલનામાં, ફક્ત ઇન્ટરફેસ જ બદલાયો નથી, પણ, પહેલેથી જ નોંધ્યું છે તેમ, નવી સુવિધાઓ ઉમેરવામાં આવી છે. ઉદાહરણ તરીકે, એપ્લિકેશન વર્ણન સાથેનું પૃષ્ઠ ફરીથી ડિઝાઇન કરવામાં આવ્યું છે અને વિતરણો ડાઉનલોડ કરવા માટેની સીધી લિંક્સ ઉમેરવામાં આવી છે:

ઘણાએ પૂછ્યું છે અને હજુ પણ પૂછે છે કે GOST openssl ક્યાંથી મેળવવું. પરંપરાગત રીતે હું આપું છું કડી, કૃપા કરીને પૂરી પાડવામાં આવેલ છે ગેરેક્સ. આ openssl નો ઉપયોગ કેવી રીતે કરવો તે લખ્યું છે અહીં.
પરંતુ હવે વિતરણ કિટમાં રશિયન ક્રિપ્ટોગ્રાફી સાથે ઓપનએસએલનું પરીક્ષણ સંસ્કરણ શામેલ છે.

તેથી, જ્યારે CA સુયોજિત કરો છો, ત્યારે તમે Linux માટે /tmp/lirssl_static અથવા Windows માટે $::env(TEMP)/lirssl_static.exe નો ઉપયોગ openssl તરીકે કરી શકો છો:

આ કિસ્સામાં, તમારે ખાલી lirssl.cnf ફાઇલ બનાવવાની જરૂર પડશે અને પર્યાવરણ વેરીએબલ LIRSSL_CONFમાં આ ફાઇલનો પાથ સ્પષ્ટ કરવો પડશે:

પ્રમાણપત્ર સેટિંગ્સમાં "એક્સ્ટેન્શન્સ" ટેબને "ઓથોરિટી ઇન્ફો એક્સેસ" ફીલ્ડ સાથે પૂરક બનાવવામાં આવ્યું છે, જ્યાં તમે CA રૂટ પ્રમાણપત્ર અને OCSP સર્વર પર એક્સેસ પોઈન્ટ સેટ કરી શકો છો:

અમે વારંવાર સાંભળીએ છીએ કે CA અરજદારો તરફથી તેમના દ્વારા જનરેટ કરવામાં આવેલી વિનંતીઓ (PKCS#10) સ્વીકારતા નથી અથવા, તેનાથી પણ ખરાબ, કેટલાક CSP દ્વારા વાહક પર કી જોડીની રચના સાથે વિનંતીઓની રચના માટે દબાણ કરે છે. અને તેઓ PKCS#2.0 ઈન્ટરફેસ દ્વારા બિન-પુનઃપ્રાપ્ત કી (તે જ RuToken EDS-11 પર) સાથે ટોકન્સ પર વિનંતીઓ જનરેટ કરવાનો ઇનકાર કરે છે. તેથી, PKCS#63 ટોકન્સની ક્રિપ્ટોગ્રાફિક મિકેનિઝમનો ઉપયોગ કરીને CAFL11 એપ્લિકેશનની કાર્યક્ષમતામાં વિનંતી જનરેશન ઉમેરવાનું નક્કી કરવામાં આવ્યું હતું. ટોકન મિકેનિઝમ્સને સક્ષમ કરવા માટે, પેકેજનો ઉપયોગ કરવામાં આવ્યો હતો TclPKCS11. CA (પૃષ્ઠ “પ્રમાણપત્રો માટેની વિનંતીઓ”, ફંક્શન “ક્રિએટ રિક્વેસ્ટ/CSR”) ને વિનંતી બનાવતી વખતે તમે હવે પસંદ કરી શકો છો કે કી જોડી કેવી રીતે જનરેટ કરવામાં આવશે (ઓપનએસએલનો ઉપયોગ કરીને અથવા ટોકન પર) અને વિનંતી પોતે જ સહી કરવામાં આવશે:

ટોકન સાથે કામ કરવા માટે જરૂરી લાઇબ્રેરી પ્રમાણપત્રની સેટિંગ્સમાં ઉલ્લેખિત છે:

પરંતુ અમે કર્મચારીઓને કોર્પોરેટ VPN નેટવર્કમાં સેલ્ફ-આઇસોલેશન મોડમાં કામ કરવા માટે પ્રમાણપત્રો આપવાના મુખ્ય કાર્યમાંથી વિચલિત થયા છીએ. તે બહાર આવ્યું છે કે કેટલાક કર્મચારીઓ પાસે ટોકન નથી. તેમને PKCS#12 સંરક્ષિત કન્ટેનર આપવાનું નક્કી કરવામાં આવ્યું હતું, કારણ કે CAFL63 એપ્લિકેશન આને મંજૂરી આપે છે. પ્રથમ, આવા કર્મચારીઓ માટે અમે CIPF પ્રકાર “OpenSSL” દર્શાવતી PKCS#10 વિનંતીઓ કરીએ છીએ, પછી અમે પ્રમાણપત્ર આપીએ છીએ અને તેને PKCS12 માં પેકેજ કરીએ છીએ. આ કરવા માટે, "પ્રમાણપત્રો" પૃષ્ઠ પર, ઇચ્છિત પ્રમાણપત્ર પસંદ કરો, જમણું-ક્લિક કરો અને "PKCS#12 પર નિકાસ કરો" પસંદ કરો:

કન્ટેનર સાથે બધું જ ક્રમમાં છે તેની ખાતરી કરવા માટે, ચાલો ક્રિપ્ટોઆરમ્પકેસીએસ યુટિલિટીનો ઉપયોગ કરીએ:

હવે તમે કર્મચારીઓને જારી કરેલ પ્રમાણપત્રો મોકલી શકો છો. કેટલાક લોકોને ફક્ત પ્રમાણપત્રો સાથે ફાઇલો મોકલવામાં આવે છે (આ ટોકન માલિકો છે, જેમણે વિનંતીઓ મોકલી છે), અથવા PKCS#12 કન્ટેનર. બીજા કિસ્સામાં, દરેક કર્મચારીને ફોન પર કન્ટેનરને પાસવર્ડ આપવામાં આવે છે. આ કર્મચારીઓએ કન્ટેનરના પાથને યોગ્ય રીતે સ્પષ્ટ કરીને VPN રૂપરેખાંકન ફાઇલને સુધારવાની જરૂર છે.

ટોકન માલિકોની વાત કરીએ તો, તેઓએ તેમના ટોકન માટે પ્રમાણપત્ર આયાત કરવાની પણ જરૂર હતી. આ કરવા માટે, તેઓએ સમાન ક્રિપ્ટોઆરમ્પકેસીએસ ઉપયોગિતાનો ઉપયોગ કર્યો:

હવે VPN રૂપરેખામાં ન્યૂનતમ ફેરફારો છે (ટોકન પરનું પ્રમાણપત્ર લેબલ બદલાયેલ હોઈ શકે છે) અને બસ, કોર્પોરેટ VPN નેટવર્ક કાર્યકારી ક્રમમાં છે.

સુખદ અંત

અને પછી મને થયું કે લોકો શા માટે મારા માટે ટોકન લાવશે અથવા મારે તેમના માટે મેસેન્જર મોકલવો જોઈએ. અને હું નીચેની સામગ્રી સાથે એક પત્ર મોકલું છું:

જવાબ બીજા દિવસે આવે છે:

હું તરત જ cryptoarmpkcs ઉપયોગિતાને એક લિંક મોકલીશ:

પ્રમાણપત્ર વિનંતીઓ બનાવતા પહેલા, મેં ભલામણ કરી છે કે તેઓ ટોકન્સ સાફ કરે:

પછી PKCS#10 ફોર્મેટમાં પ્રમાણપત્રો માટેની વિનંતીઓ ઈમેલ દ્વારા મોકલવામાં આવી અને મેં પ્રમાણપત્રો જારી કર્યા, જે મેં આના પર મોકલ્યા:

અને પછી એક સુખદ ક્ષણ આવી:

અને આ પત્ર પણ હતો:

અને તે પછી આ લેખનો જન્મ થયો.

Linux અને MS Windows પ્લેટફોર્મ માટે CAFL63 એપ્લિકેશનના વિતરણો શોધી શકાય છે

અહીં

• લિનક્સ 32
• લિનક્સ 64
• WIN32
• WIN64
• OS X

એન્ડ્રોઇડ પ્લેટફોર્મ સહિત ક્રિપ્ટોઆરમ્પકેસીએસ યુટિલિટીના વિતરણો સ્થિત છે

અહીં

• લિનક્સ 32
• લિનક્સ 64
• WIN32
• WIN64
• OS X
• , Android

સોર્સ: www.habr.com