Kako je sve počelo
Na samom početku perioda samoizolacije dobio sam pismo poštom:
Prva reakcija je bila prirodna: ili morate ići po žetone, ili ih morate donijeti, ali od ponedjeljka svi sjedimo doma, postoji ograničenje kretanja, a tko je to, zaboga? Stoga je odgovor bio sasvim prirodan:
A kao što svi znamo, od ponedjeljka, 1. travnja, počelo je razdoblje prilično stroge samoizolacije. Također smo svi prešli na rad na daljinu i trebao nam je i VPN. Naš VPN temelji se na OpenVPN-u, ali modificiran da podržava rusku kriptografiju i mogućnost rada s PKCS#11 tokenima i PKCS#12 spremnicima. Naravno, pokazalo se da ni sami nismo bili spremni za rad putem VPN-a: mnogi jednostavno nisu imali certifikate, a nekima je istekao.
Kako je tekao proces?
I tu u pomoć dolazi komunalna služba i primjena (Centar za provjeru).
Uslužni program cryptoarmpkcs omogućio je zaposlenicima koji su u samoizolaciji i imaju tokene na svojim kućnim računalima da generiraju zahtjeve za certifikatima:
Zaposlenici su mi poslali spremljene zahtjeve putem e-pošte. Netko će možda pitati: - Što je s osobnim podacima, ali ako dobro pogledate, nema ih u zahtjevu. I sam zahtjev je zaštićen svojim potpisom.
Po primitku, zahtjev za certifikatom se uvozi u CAFL63 CA bazu podataka:
Nakon toga zahtjev mora biti odbijen ili odobren. Da biste razmotrili zahtjev, trebate ga odabrati, desnom tipkom miša kliknuti i na padajućem izborniku odabrati “Odluči”:
Sam postupak donošenja odluka je apsolutno transparentan:
Certifikat se izdaje na isti način, samo se stavka izbornika zove “Izdaj certifikat”:
Za pregled izdanog certifikata možete koristiti kontekstni izbornik ili jednostavno dvaput kliknuti na odgovarajuću liniju:
Sada se sadržaj može pregledavati i kroz openssl (kartica OpenSSL Text) i ugrađeni preglednik CAFL63 aplikacije (kartica Certificate Text). U potonjem slučaju, možete koristiti kontekstni izbornik za kopiranje certifikata u tekstualnom obliku, prvo u međuspremnik, a zatim u datoteku.
Ovdje treba napomenuti što se promijenilo u CAFL63 u odnosu na prvu verziju? Što se tiče pregledavanja certifikata, to smo već primijetili. Također je postalo moguće odabrati grupu objekata (certifikati, zahtjevi, CRL-ovi) i pregledati ih u straničnom načinu (gumb "Prikaži odabrano ...").
Vjerojatno najvažnije je da je projekt besplatno dostupan na . Osim distribucija za Linux, pripremljene su distribucije za Windows i OS X. Distribucija za Android izlazi nešto kasnije.
U usporedbi s prethodnom verzijom CAFL63 aplikacije, ne samo da je samo sučelje promijenjeno, već su, kao što je već navedeno, dodane i nove značajke. Na primjer, stranica s opisom aplikacije je redizajnirana i dodane su izravne veze za preuzimanje distribucija:
Mnogi su pitali i još uvijek pitaju gdje nabaviti GOST openssl. Tradicionalno dajem , ljubazno ustupljeno . Kako koristiti ovaj openssl je napisano .
Ali sada distribucijski paketi uključuju testnu verziju openssl-a s ruskom kriptografijom.
Stoga, kada postavljate CA, možete navesti /tmp/lirssl_static za Linux ili $::env(TEMP)/lirssl_static.exe za Windows kao openssl koji se koristi:
U ovom slučaju morat ćete stvoriti praznu datoteku lirssl.cnf i navesti stazu do te datoteke u varijabli okruženja LIRSSL_CONF:
Kartica “Extensions” u postavkama certifikata dopunjena je poljem “Authority Info Access” u kojem možete postaviti pristupne točke CA root certifikatu i OCSP poslužitelju:
Često čujemo da CA-ovi ne prihvaćaju zahtjeve koje su sami generirali (PKCS#10) od podnositelja zahtjeva ili, još gore, forsiraju formiranje zahtjeva s generiranjem para ključeva na nosaču preko nekog CSP-a. I odbijaju generirati zahtjeve na tokenima s nepovratnim ključem (na istom RuToken EDS-2.0) putem PKCS#11 sučelja. Stoga je odlučeno dodati generiranje zahtjeva u funkcionalnost aplikacije CAFL63 korištenjem kriptografskih mehanizama PKCS#11 tokena. Kako bi se omogućili mehanizmi tokena, korišten je paket . Prilikom kreiranja zahtjeva CA (stranica “Zahtjevi za certifikate”, funkcija “Kreiraj zahtjev/CSR”) sada možete odabrati kako će se par ključeva generirati (pomoću openssl-a ili na tokenu) i sam zahtjev će biti potpisan:
Knjižnica potrebna za rad s tokenom navedena je u postavkama za certifikat:
Ali odstupili smo od glavnog zadatka da zaposlenicima osiguramo certifikate za rad u korporativnoj VPN mreži u načinu samoizolacije. Pokazalo se da neki zaposlenici nemaju žetone. Odlučeno je da im se osiguraju zaštićeni kontejneri PKCS#12, jer aplikacija CAFL63 to omogućuje. Prvo, za takve zaposlenike napravimo PKCS#10 zahtjeve koji označavaju CIPF tip “OpenSSL”, zatim izdajemo certifikat i pakiramo ga u PKCS12. Da biste to učinili, na stranici “Certifikati” odaberite željeni certifikat, desnom tipkom miša kliknite i odaberite “Izvezi u PKCS#12”:
Kako bismo bili sigurni da je sve u redu sa spremnikom, upotrijebimo uslužni program cryptoarmpkcs:
Izdane potvrde sada možete poslati zaposlenicima. Nekim ljudima se jednostavno pošalju datoteke s certifikatima (to su vlasnici tokena, oni koji su poslali zahtjeve), ili PKCS#12 spremnici. U drugom slučaju svaki zaposlenik telefonom dobiva lozinku za spremnik. Ovi zaposlenici samo trebaju ispraviti konfiguracijsku datoteku VPN-a točnim navođenjem putanje do spremnika.
Što se tiče vlasnika tokena, oni su također trebali uvesti certifikat za svoj token. Da bi to učinili, koristili su isti uslužni program cryptoarmpkcs:
Sada postoje minimalne promjene u VPN konfiguraciji (možda se promijenila oznaka certifikata na tokenu) i to je to, korporativna VPN mreža radi.
Sretan kraj
I onda mi je sinulo, zašto bi ljudi meni donosili žetone ili bih trebao poslati glasnika po njih. I šaljem pismo sljedećeg sadržaja:
Odgovor stiže sutradan:
Odmah šaljem vezu na uslužni program cryptoarmpkcs:
Prije kreiranja zahtjeva za certifikatom, preporučio sam da očiste tokene:
Zatim su zahtjevi za certifikate u PKCS#10 formatu poslani e-mailom te sam izdao certifikate koje sam poslao na:
A onda je došao ugodan trenutak:
A bilo je i ovo pismo:
I nakon toga je rođen ovaj članak.
Možete pronaći distribucije CAFL63 aplikacije za Linux i MS Windows platforme
здесь
Nalaze se distribucije uslužnog programa cryptoarmpkcs, uključujući platformu Android
здесь
Izvor: www.habr.com