Hogyan kezdődött minden
Az önelszigetelő időszak legelején kaptam egy levelet postán:
Az első reakció természetes volt: vagy menni kell a zsetonokért, vagy hozni kell, de hétfő óta mindannyian otthon ülünk, mozgáskorlátozás van, és ki a fene? Ezért a válasz teljesen természetes volt:
És mint mindannyian tudjuk, április 1-től, hétfőtől a meglehetősen szigorú önelzáródás időszaka kezdődött. Mindannyian távmunkára váltottunk, és VPN-re is szükségünk volt. VPN-ünk az OpenVPN-en alapul, de úgy módosítottuk, hogy támogassa az orosz titkosítást, valamint a PKCS#11 tokenekkel és PKCS#12 tárolókkal való együttműködést. Természetesen kiderült, hogy mi magunk nem álltunk készen a VPN-en keresztüli munkavégzésre: sokaknak egyszerűen nem volt tanúsítványa, néhánynak pedig lejárt.
Hogyan zajlott a folyamat?
És itt a segédprogram segít és alkalmazás (ellenőrző központ).
A cryptoarmpkcs segédprogram lehetővé tette az önelszigeteltségben lévő és az otthoni számítógépükön tokenekkel rendelkező alkalmazottak számára, hogy tanúsítványkérelmeket generáljanak:
Az alkalmazottak elmentett kéréseket küldtek nekem e-mailben. Valaki megkérdezheti: - Mi a helyzet a személyes adatokkal, de ha figyelmesen megnézi, nem szerepel a kérésben. És magát a kérést az aláírása védi.
A tanúsítványkérés kézhezvétele után importálódik a CAFL63 CA adatbázisba:
Ezt követően a kérelmet el kell utasítani vagy jóvá kell hagyni. Egy kérés mérlegeléséhez ki kell választania azt, jobb gombbal kattintson rá, és a legördülő menüből válassza a „Döntéshozatal” lehetőséget:
Maga a döntéshozatali eljárás teljesen átlátható:
A tanúsítvány kiállítása is ugyanígy történik, csak a „Tanúsítvány kiadása” menüpont neve:
A kiállított tanúsítvány megtekintéséhez használja a helyi menüt, vagy egyszerűen kattintson duplán a megfelelő sorra:
Mostantól a tartalom az openssl (OpenSSL szöveg fül) és a CAFL63 alkalmazás beépített megjelenítője (Certificate Text fül) segítségével is megtekinthető. Ez utóbbi esetben a helyi menü segítségével másolhatja át a tanúsítványt szöveges formában, először a vágólapra, majd egy fájlba.
Itt kell megjegyezni, hogy mi változott a CAFL63-ban az első verzióhoz képest? Ami a tanúsítványok megtekintését illeti, ezt már megjegyeztük. Lehetővé vált egy objektumcsoport (tanúsítványok, kérések, CRL-ek) kiválasztása és lapozási módban történő megtekintése (a „Kijelölt megtekintése...” gomb).
Valószínűleg az a legfontosabb, hogy a projekt szabadon elérhető a következő oldalon . A Linuxra szánt disztribúciók mellett elkészültek a Windows és az OS X disztribúciók is, az Androidra kicsit később fog megjelenni.
A CAFL63 alkalmazás előző verziójához képest nemcsak maga a felület változott meg, hanem, mint már említettük, új funkciókkal bővültek. Például az alkalmazás leírását tartalmazó oldalt újratervezték, és a disztribúciók letöltésére mutató közvetlen linkeket adtunk hozzá:
Sokan kérdezték és még mindig kérdezik, hol lehet beszerezni a GOST openssl-t. Hagyományosan adok , kedvesen biztosított . Le van írva, hogyan kell használni ezt az openssl-t .
De most a disztribúciós készletek tartalmazzák az openssl tesztverzióját orosz titkosítással.
Ezért a CA beállításakor megadhatja a /tmp/lirssl_static (Linux) vagy a $::env(TEMP)/lirssl_static.exe (Windows) openssl fájlt:
Ebben az esetben létre kell hoznia egy üres lirssl.cnf fájlt, és meg kell adnia a fájl elérési útját a LIRSSL_CONF környezeti változóban:
A tanúsítványbeállítások „Bővítmények” füle kiegészült az „Authority Info Access” mezővel, ahol hozzáférési pontokat állíthatunk be a CA gyökértanúsítványhoz és az OCSP szerverhez:
Gyakran hallani, hogy a CA-k nem fogadják el az általuk generált kéréseket (PKCS#10) a jelentkezőktől, vagy ami még rosszabb, kulcspár generálásával kényszerítik ki a kérések kialakítását a szolgáltatóra valamilyen CSP-n keresztül. És nem hajlandók kéréseket generálni a nem visszakereshető kulccsal rendelkező tokenekre (ugyanazon a RuToken EDS-2.0-n) a PKCS#11 interfészen keresztül. Ezért úgy döntöttek, hogy a CAFL63 alkalmazás funkcionalitását kérelmezéssel egészítik ki a PKCS#11 tokenek kriptográfiai mechanizmusaival. A token mechanizmusok engedélyezéséhez a csomagot használták . A CA-hoz intézett kérés létrehozásakor ("Tanúsítványkérések" oldal, "Kérés/CSR létrehozása" funkció) most kiválaszthatja, hogyan kerüljön létrehozásra a kulcspár (openssl használatával vagy tokennel), és magát a kérést írja alá:
A token használatához szükséges könyvtárat a tanúsítvány beállításai határozzák meg:
De eltértünk attól a fő feladattól, hogy tanúsítványokat biztosítsunk az alkalmazottaknak ahhoz, hogy a vállalati VPN-hálózatban önelszigetelő módban dolgozhassanak. Kiderült, hogy egyes alkalmazottaknak nincs tokenje. Úgy döntöttek, hogy PKCS#12 védett konténerekkel látják el őket, mivel a CAFL63 alkalmazás ezt lehetővé teszi. Az ilyen munkavállalók számára először PKCS#10 kéréseket készítünk „OpenSSL” CIPF típus feltüntetésével, majd tanúsítványt állítunk ki, és azt PKCS12-be csomagoljuk. Ehhez a „Tanúsítványok” oldalon válassza ki a kívánt tanúsítványt, kattintson a jobb gombbal, és válassza az „Exportálás PKCS#12-be” lehetőséget:
Annak érdekében, hogy minden rendben legyen a tárolóval, használjuk a cryptoarmpkcs segédprogramot:
Most már elküldheti a kiállított igazolásokat az alkalmazottaknak. Néhány embernek egyszerűen fájlokat küldenek tanúsítványokkal (ezek a jogkivonat tulajdonosai, azok, akik kérelmeket küldtek), vagy PKCS#12 tárolókat. A második esetben minden alkalmazott telefonon megkapja a konténer jelszavát. Ezeknek az alkalmazottaknak csak ki kell javítaniuk a VPN-konfigurációs fájlt a tároló elérési útjának helyes megadásával.
Ami a token tulajdonosokat illeti, nekik is importálniuk kellett egy tanúsítványt a tokenjükhöz. Ehhez ugyanazt a cryptoarmpkcs segédprogramot használták:
Most minimális változtatások történtek a VPN konfigurációban (a token tanúsítványcímkéje megváltozhatott), és ennyi, a vállalati VPN hálózat működik.
Boldog befejezés
Aztán eszembe jutott, miért hoznak nekem zsetonokat az emberek, vagy küldjek érte küldöncöt. És küldök egy levelet a következő tartalommal:
Másnap jön a válasz:
Azonnal küldök egy linket a cryptoarmpkcs segédprogramhoz:
A tanúsítványkérelmek létrehozása előtt azt javasoltam, hogy töröljék a tokeneket:
Ezután e-mailben elküldték a PKCS#10 formátumú tanúsítványkéréseket, és kiállítottam a tanúsítványokat, amelyeket elküldtem a következő címre:
Aztán jött egy kellemes pillanat:
És ott volt ez a levél is:
És ezt követően született meg ez a cikk.
A CAFL63 alkalmazás Linux és MS Windows platformokra vonatkozó disztribúciói megtalálhatók
itt
A cryptoarmpkcs segédprogram disztribúciói, beleértve az Android platformot is, megtalálhatók
itt
Forrás: will.com