Ki jan li tout te kòmanse
Nan kòmansman peryòd oto-izolasyon an, mwen te resevwa yon lèt pa lapòs:
Premye reyaksyon an te natirèl: swa ou oblije ale pou jeton, oswa yo dwe pote yo, men depi Lendi nou tout te chita nan kay la, gen restriksyon sou mouvman, e ki moun ki lanfè sa a? Se poutèt sa, repons lan te byen natirèl:
Epi kòm nou tout konnen, apati Lendi 1ye avril, yon peryòd izole tèt yo te kòmanse. Nou menm tou nou tout te chanje nan travay aleka epi nou te bezwen tou yon VPN. VPN nou an baze sou OpenVPN, men li modifye pou sipòte kriptografi Ris ak kapasite pou travay avèk siy PKCS#11 ak resipyan PKCS#12. Natirèlman, li te tounen soti ke nou menm nou pa t 'byen pare yo travay atravè VPN: anpil tou senpleman pa t 'gen sètifika, ak kèk te ekspire yo.
Ki jan pwosesis la te ale?
Lè sa a se kote sèvis piblik la vini nan sekou a ak aplikasyon (Sant verifikasyon).
Sèvis piblik cryptoarmpkcs la pèmèt anplwaye ki izole tèt yo epi ki gen siy sou òdinatè lakay yo pou jenere demann sètifika:
Anplwaye yo te voye demann sove yo pa imel ban mwen. Yon moun ka mande: - Ki sa ki sou done pèsonèl, men si ou gade ak anpil atansyon, li pa nan demann lan. Epi demann lan li menm pwoteje pa siyati li yo.
Lè yo resevwa, demann sètifika a enpòte nan baz done CAFL63 CA:
Apre sa, demann lan dwe swa rejte oswa apwouve. Pou konsidere yon demann, ou bezwen chwazi li, klike sou dwa epi chwazi "Pran desizyon" nan meni ki dewoule a:
Pwosedi pou pran desizyon nan tèt li se absoliman transparan:
Yo bay yon sètifika nan menm fason an, se sèlman atik meni an ki rele "Sètifika Pwoblèm":
Pou wè sètifika ki te bay la, ou ka itilize meni kontèks la oswa tou senpleman double-klike sou liy ki koresponn lan:
Kounye a ou ka wè kontni an tou de atravè openssl (onglet Tèks OpenSSL) ak visualiseur entegre aplikasyon CAFL63 (onglet Tèks Sètifika). Nan dènye ka a, ou ka itilize meni kontèks la pou kopye sètifika a nan fòm tèks, premye nan clipboard la, ak Lè sa a, nan yon dosye.
Isit la li ta dwe remake sa ki te chanje nan CAFL63 konpare ak premye vèsyon an? Kòm pou gade sètifika, nou te deja note sa a. Li te vin posib tou pou chwazi yon gwoup objè (sètifika, demann, CRL) epi gade yo nan mòd paging (bouton "Wè chwazi ...").
Pwobableman bagay ki pi enpòtan an se ke pwojè a disponib gratis sou . Anplis de distribisyon pou Linux, yo te prepare distribisyon pou Windows ak OS X. Yo pral lage distribisyon an pou Android yon ti kras pita.
Konpare ak vèsyon anvan an nan aplikasyon an CAFL63, se pa sèlman koòdone nan tèt li chanje, men tou, kòm deja note, nouvo karakteristik yo te ajoute. Pa egzanp, paj ki gen deskripsyon aplikasyon an te reamenaje epi yo te ajoute lyen dirèk pou telechaje distribisyon yo:
Anpil moun te mande e yo toujou ap mande ki kote pou jwenn GOST openssl. Tradisyonèlman mwen bay , tanpri bay . Ki jan yo sèvi ak sa a openssl ekri .
Men koulye a, twous distribisyon yo enkli yon vèsyon tès openssl ak kriptografi Ris.
Se poutèt sa, lè w ap mete CA a, ou ka presize swa /tmp/lirssl_static pou Linux oswa $::env(TEMP)/lirssl_static.exe pou Windows kòm openssl la itilize:
Nan ka sa a, w ap bezwen kreye yon dosye lirssl.cnf vid epi presize chemen an nan dosye sa a nan varyab anviwònman LIRSSL_CONF:
Onglet "Ekstansyon" nan paramèt sètifika yo te konplete ak jaden "Aksè Enfòmasyon Otorite", kote ou ka mete pwen aksè nan sètifika rasin CA a ak nan sèvè OCSP la:
Nou tande souvan ke CA yo pa aksepte demann ki te pwodwi pa yo (PKCS#10) nan men aplikan oswa, menm pi mal, fòse fòmasyon nan demann ak jenerasyon an nan yon pè kle sou konpayi asirans lan atravè kèk CSP. Epi yo refize jenere demann sou tokens ak yon kle ki pa ka rekipere (sou menm RuToken EDS-2.0) atravè koòdone PKCS#11 la. Se poutèt sa, li te deside ajoute jenerasyon demann nan fonksyonalite aplikasyon CAFL63 lè l sèvi avèk mekanis kriptografik PKCS#11 tokens. Pou pèmèt mekanis jeton yo, yo te itilize pake a . Lè w ap kreye yon demann bay yon CA (paj "Demann pou sètifika", fonksyon "Kreye demann/CSR") ou ka kounye a chwazi ki jan yo pral pwodwi pè kle a (sèvi ak openssl oswa sou yon siy) epi demann nan tèt li pral siyen:
Bibliyotèk ki nesesè pou travay avèk siy la espesifye nan paramèt sètifika a:
Men, nou te devye de travay prensipal la pou bay anplwaye yo sètifika pou travay nan yon rezo VPN antrepriz nan mòd oto-izolasyon. Li te tounen soti ke kèk anplwaye pa gen marqueur. Li te deside pou bay yo kontenè ki pwoteje PKCS#12, paske aplikasyon CAFL63 la pèmèt sa. Premyèman, pou anplwaye sa yo nou fè demann PKCS#10 ki endike kalite CIPF "OpenSSL", Lè sa a, nou bay yon sètifika epi pake li nan PKCS12. Pou fè sa, sou paj "Sètifika", chwazi sètifika ou vle a, klike sou dwa epi chwazi "Ekspòte nan PKCS#12":
Pou asire w ke tout bagay anfòm ak veso a, ann sèvi ak sèvis piblik cryptoarmpkcs la:
Kounye a ou ka voye sètifika yo bay anplwaye yo. Gen kèk moun tou senpleman voye fichye ak sètifika (sa yo se pwopriyetè siy, moun ki voye demann), oswa PKCS#12 resipyan. Nan dezyèm ka a, chak anplwaye yo bay modpas la nan veso a nan telefòn. Anplwaye sa yo jis bezwen korije fichye konfigirasyon VPN la lè yo byen presize chemen veso a.
Kòm pou mèt siy yo, yo menm tou yo te bezwen enpòte yon sètifika pou siy yo. Pou fè sa, yo te itilize menm sèvis piblik cryptoarmpkcs:
Koulye a, gen chanjman minim nan konfigirasyon VPN (etikèt sètifika a sou siy la ka chanje) e se li, rezo VPN antrepriz la an fonksyon.
Yon fen kontan
Lè sa a, mwen konprann poukisa moun ta pote siy ban mwen oswa mwen ta dwe voye yon mesaje pou yo. Apre sa, mwen voye yon lèt ak kontni sa a:
Repons lan vini nan demen:
Mwen imedyatman voye yon lyen nan sèvis piblik cryptoarmpkcs la:
Anvan yo kreye demann sètifika, mwen rekòmande yo netwaye siy yo:
Apre sa, yo te voye demann pou sètifika nan fòma PKCS#10 pa imèl epi mwen te bay sètifika, ke mwen te voye bay:
Apre sa, te vin yon moman bèl:
Epi te gen lèt sa a tou:
Apre sa, atik sa a te fèt.
Ou ka jwenn distribisyon aplikasyon CAFL63 pou platfòm Linux ak MS Windows
isit la
Distribisyon sèvis piblik cryptoarmpkcs la, ki gen ladan platfòm android la, yo sitiye
isit la
Sous: www.habr.com