Yadda aka fara
A farkon lokacin keɓe kai, na karɓi wasiƙa a cikin wasiƙa:
Halin farko ya kasance na halitta: ko dai dole ne ku je alamun, ko kuma a kawo su, amma tun ranar Litinin muna zaune a gida, akwai ƙuntatawa akan motsi, kuma wanene jahannama? Don haka, amsar ta kasance ta halitta:
Kuma kamar yadda muka sani, daga ranar Litinin, 1 ga Afrilu, lokacin da ya dace na keɓe kai ya fara. Dukanmu mun canza zuwa aiki mai nisa kuma muna buƙatar VPN. VPN ɗin mu yana dogara ne akan OpenVPN, amma an gyara shi don tallafawa rubutun sirri na Rasha da ikon yin aiki tare da alamun PKCS#11 da kwantena PKCS#12. A zahiri, ya zama cewa mu kanmu ba mu shirya yin aiki ta hanyar VPN ba: yawancin kawai ba su da takaddun shaida, wasu kuma sun ƙare.
Yaya tsarin ya kasance?
Kuma wannan shine inda mai amfani ya zo don ceto da aikace-aikace (Cibiyar tabbatarwa).
Mai amfani na cryptoarmpkcs ya ba wa ma'aikatan da ke ware kansu kuma suna da alamun kwamfutocin gidansu don samar da buƙatun takaddun shaida:
Ma'aikatan sun aiko mini da buƙatun da aka ajiye ta imel. Wani na iya tambaya: - Me game da bayanan sirri, amma idan kun duba da kyau, ba a cikin buƙatun ba. Kuma ita kanta bukatar tana da kariya da sa hannun ta.
Bayan an karɓa, ana shigo da buƙatar takardar shedar cikin ma'ajin bayanai na CAFL63 CA:
Bayan haka dole ne ko dai a ƙi ko a amince da buƙatar. Don yin la'akari da buƙatun, kuna buƙatar zaɓar ta, danna-dama kuma zaɓi "Yi shawara" daga menu mai saukewa:
Hanyar yanke shawara ita kanta a bayyane take:
Ana ba da takaddun shaida ta hanya ɗaya, abin menu kawai ake kira "Shaidar Shaida":
Don duba takardar shaidar da aka bayar, zaku iya amfani da menu na mahallin ko kawai danna sau biyu akan layin da ya dace:
Yanzu ana iya ganin abun ciki duka ta hanyar openssl (Buɗe Rubutun SSL) da kuma ginanniyar kallo na aikace-aikacen CAFL63 (Takaddar Rubutun Takaddun shaida). A cikin yanayin ƙarshe, zaku iya amfani da menu na mahallin don kwafi takaddun shaida a cikin sigar rubutu, da farko zuwa allo, sannan zuwa fayil.
Anan ya kamata a lura da abin da ya canza a CAFL63 idan aka kwatanta da sigar farko? Dangane da takaddun shaida, mun riga mun lura da wannan. Hakanan ya zama mai yiwuwa a zaɓi ƙungiyar abubuwa (takaddun shaida, buƙatun, CRLs) da duba su cikin yanayin shafi (maɓallin "Duba zaba ...").
Wataƙila abu mafi mahimmanci shi ne cewa aikin yana samuwa kyauta . Baya ga rabawa na Linux, an shirya rabawa don Windows da OS X. Za a fitar da rabon don Android nan gaba kadan.
Idan aka kwatanta da sigar da ta gabata na aikace-aikacen CAFL63, ba wai kawai keɓantawar da kanta ta canza ba, amma kuma, kamar yadda aka riga aka ambata, an ƙara sabbin abubuwa. Misali, shafin da ke da bayanin aikace-aikacen an sake tsara shi kuma an ƙara hanyoyin haɗin kai kai tsaye zuwa zazzagewar rarraba:
Mutane da yawa sun tambaya kuma har yanzu suna tambayar inda za a samu GOST openssl. A al'ada ina bayarwa , da alheri aka bayar . Yadda ake amfani da wannan openssl an rubuta .
Amma yanzu kayan rarraba sun haɗa da sigar gwaji ta openssl tare da cryptography na Rasha.
Don haka, lokacin kafa CA, zaku iya tantance ko dai /tmp/lirssl_static don Linux ko $ :: env(TEMP)/lirssl_static.exe don Windows kamar yadda openssl ke amfani da shi:
A wannan yanayin, kuna buƙatar ƙirƙirar fayil ɗin fanko na lirssl.cnf kuma saka hanyar zuwa wannan fayil ɗin a cikin madaidaicin mahalli LIRSSL_CONF:
Shafin "Extensions" a cikin saitunan takaddun shaida an ƙara shi tare da filin "Aikin Samun Bayanai", inda za ku iya saita wuraren samun dama ga tushen takardar shaidar CA da uwar garken OCSP:
Sau da yawa muna jin cewa CA ba sa karɓar buƙatun da su (PKCS#10) suka yi daga masu nema ko kuma, mafi muni, tilasta ƙirƙirar buƙatun tare da ƙirƙirar maɓalli na biyu akan mai ɗaukar hoto ta wasu CSP. Kuma sun ƙi samar da buƙatun akan alamu tare da maɓallin da ba za a iya dawowa ba (akan RuToken EDS-2.0) ta hanyar haɗin PKCS#11. Sabili da haka, an yanke shawarar ƙara ƙirar buƙata zuwa ayyukan CAFL63 aikace-aikacen ta amfani da hanyoyin ɓoye na alamun PKCS#11. Don kunna hanyoyin token, an yi amfani da kunshin . Lokacin ƙirƙirar buƙatun zuwa CA (shafi "Buƙatun takaddun shaida", aikin "Ƙirƙiri buƙatar/CSR") yanzu za ku iya zaɓar yadda za a samar da maɓalli na biyu (ta amfani da openssl ko a kan alama) kuma buƙatar kanta za a sanya hannu:
Laburaren da ake buƙata don aiki tare da alamar an ƙayyade a cikin saitunan takaddun shaida:
Amma mun kauce daga babban aikin samar da ma'aikata takaddun shaida don yin aiki a cikin hanyar sadarwar VPN na kamfani a cikin yanayin ware kai. Ya bayyana cewa wasu ma'aikata ba su da alamun. An yanke shawarar samar musu da kwantena masu kariya na PKCS#12, tunda aikace-aikacen CAFL63 ya ba da damar hakan. Na farko, ga irin waɗannan ma'aikata muna yin buƙatun PKCS#10 da ke nuna nau'in CIPF "OpenSSL", sannan mu ba da takaddun shaida da kunshin shi a cikin PKCS12. Don yin wannan, a shafin "Takaddun shaida", zaɓi takardar shaidar da ake so, danna-dama kuma zaɓi "Export zuwa PKCS#12":
Don tabbatar da cewa komai yana cikin tsari tare da akwati, bari mu yi amfani da mai amfani na cryptoarmpkcs:
Yanzu zaku iya aika takaddun shaida ga ma'aikata. Ana aika wasu mutane kawai fayiloli tare da takaddun shaida (waɗannan masu mallakar alamar, waɗanda suka aiko buƙatun), ko kwantena PKCS#12. A cikin yanayi na biyu, kowane ma'aikaci yana ba da kalmar sirri zuwa akwati ta wayar tarho. Waɗannan ma'aikatan kawai suna buƙatar gyara fayil ɗin sanyi na VPN ta hanyar tantance hanyar zuwa akwati daidai.
Dangane da masu alamar, su ma suna buƙatar shigo da takardar shaida don alamar su. Don yin wannan, sun yi amfani da wannan mai amfani cryptoarmpkcs:
Yanzu akwai ƙananan canje-canje ga saitin VPN (labarin takaddun shaida akan alamar na iya canzawa) kuma shi ke nan, cibiyar sadarwar VPN na kamfani tana kan aiki.
Ƙarshen farin ciki
Sai ga ni, me ya sa mutane za su zo mini da Alamu ko in aika musu da manzo. Kuma na aiko da wasiƙa mai ɗauke da abun ciki kamar haka:
Amsar tana zuwa washegari:
Nan da nan na aika hanyar haɗi zuwa mai amfani na cryptoarmpkcs:
Kafin ƙirƙirar buƙatun takaddun shaida, na ba da shawarar cewa su share alamun:
Sannan buƙatun takaddun shaida a cikin tsarin PKCS#10 an aika ta imel kuma na ba da takaddun shaida, waɗanda na aika zuwa:
Sannan wani lokaci mai dadi ya zo:
Kuma akwai kuma wannan wasika:
Kuma bayan haka an haifi wannan labarin.
Ana iya samun rarraba aikace-aikacen CAFL63 don Linux da MS Windows dandamali
a nan
Rarraba kayan aikin cryptoarmpkcs, gami da dandamalin Android, suna nan
a nan
source: www.habr.com