Bagaimana semuanya dimulai
Di awal masa isolasi diri, saya menerima surat melalui pos:
Reaksi pertama wajar: Anda harus mencari token, atau harus membawanya, tetapi sejak hari Senin kami semua duduk di rumah, ada pembatasan pergerakan, dan siapa itu? Oleh karena itu, jawabannya cukup wajar:
Dan seperti kita ketahui bersama, mulai Senin, 1 April, dimulai masa isolasi mandiri yang cukup ketat. Kami juga semua beralih ke pekerjaan jarak jauh dan kami juga membutuhkan VPN. VPN kami didasarkan pada OpenVPN, tetapi dimodifikasi untuk mendukung kriptografi Rusia dan kemampuan untuk bekerja dengan token PKCS#11 dan kontainer PKCS#12. Tentu saja, ternyata kami sendiri belum siap bekerja melalui VPN: banyak yang tidak memiliki sertifikat, dan beberapa sudah kedaluwarsa.
Bagaimana prosesnya?
Dan di sinilah utilitas datang untuk menyelamatkan dan aplikasi (Pusat Verifikasi).
Utilitas cryptoarmpkcs memungkinkan karyawan yang berada dalam isolasi mandiri dan memiliki token di komputer rumah mereka untuk menghasilkan permintaan sertifikat:
Karyawan mengirimkan permintaan tersimpan melalui email kepada saya. Mungkin ada yang bertanya: - Bagaimana dengan data pribadi, tapi kalau dicermati, itu tidak ada dalam permintaan. Dan permintaan itu sendiri dilindungi oleh tanda tangannya.
Setelah diterima, permintaan sertifikat diimpor ke database CAFL63 CA:
Setelah itu permintaan tersebut harus ditolak atau disetujui. Untuk mempertimbangkan suatu permintaan, Anda harus memilihnya, klik kanan dan pilih "Buat keputusan" dari menu tarik-turun:
Prosedur pengambilan keputusannya sendiri benar-benar transparan:
Sertifikat diterbitkan dengan cara yang sama, hanya item menu yang disebut “Terbitkan sertifikat”:
Untuk melihat sertifikat yang diterbitkan, Anda dapat menggunakan menu konteks atau cukup klik dua kali pada baris yang sesuai:
Sekarang konten dapat dilihat melalui openssl (tab Teks OpenSSL) dan penampil bawaan aplikasi CAFL63 (tab Teks Sertifikat). Dalam kasus terakhir, Anda dapat menggunakan menu konteks untuk menyalin sertifikat dalam bentuk teks, pertama ke clipboard, lalu ke file.
Di sini perlu diperhatikan apa yang berubah di CAFL63 dibandingkan versi pertama? Mengenai melihat sertifikat, kami telah mencatatnya. Dimungkinkan juga untuk memilih sekelompok objek (sertifikat, permintaan, CRL) dan melihatnya dalam mode paging (tombol "Lihat yang dipilih ...").
Mungkin yang paling penting adalah proyek ini tersedia secara gratis . Selain distro untuk Linux, juga telah disiapkan distro untuk Windows dan OS X. Distro untuk Android akan dirilis beberapa saat kemudian.
Dibandingkan dengan aplikasi CAFL63 versi sebelumnya, tidak hanya antarmukanya saja yang berubah, tetapi, seperti telah disebutkan, fitur-fitur baru juga telah ditambahkan. Misalnya, halaman dengan deskripsi aplikasi telah didesain ulang dan tautan langsung ke distribusi unduhan telah ditambahkan:
Banyak yang bertanya dan masih bertanya dimana bisa mendapatkan gost openssl. Secara tradisional saya memberi , disediakan dengan hormat . Cara menggunakan openssl ini tertulis .
Namun sekarang kit distribusinya menyertakan versi uji openssl dengan kriptografi Rusia.
Oleh karena itu, saat menyiapkan CA, Anda dapat menentukan /tmp/lirssl_static untuk Linux atau $::env(TEMP)/lirssl_static.exe untuk Windows sebagai openssl yang digunakan:
Dalam hal ini, Anda perlu membuat file lirssl.cnf kosong dan menentukan jalur ke file ini di variabel lingkungan LIRSSL_CONF:
Tab "Ekstensi" dalam pengaturan sertifikat telah dilengkapi dengan bidang "Akses Info Otoritas", tempat Anda dapat mengatur titik akses ke sertifikat akar CA dan ke server OCSP:
Kita sering mendengar bahwa CA tidak menerima permintaan yang dihasilkan oleh mereka (PKCS#10) dari pemohon atau, lebih buruk lagi, memaksa pembentukan permintaan dengan pembuatan pasangan kunci pada operator melalui beberapa CSP. Dan mereka menolak untuk membuat permintaan token dengan kunci yang tidak dapat diambil (pada RuToken EDS-2.0 yang sama) melalui antarmuka PKCS#11. Oleh karena itu, diputuskan untuk menambahkan pembuatan permintaan ke fungsionalitas aplikasi CAFL63 menggunakan mekanisme kriptografi token PKCS#11. Untuk mengaktifkan mekanisme token, paket tersebut digunakan . Saat membuat permintaan ke CA (halaman “Permintaan sertifikat”, fungsi “Buat permintaan/CSR”) Anda sekarang dapat memilih bagaimana pasangan kunci akan dihasilkan (menggunakan openssl atau token) dan permintaan itu sendiri akan ditandatangani:
Pustaka yang diperlukan untuk bekerja dengan token ditentukan dalam pengaturan sertifikat:
Namun kami telah menyimpang dari tugas utama memberikan sertifikat kepada karyawan untuk bekerja di jaringan VPN perusahaan dalam mode isolasi mandiri. Ternyata ada beberapa karyawan yang tidak memiliki token. Diputuskan untuk memberi mereka kontainer yang dilindungi PKCS#12, karena aplikasi CAFL63 mengizinkan hal ini. Pertama, untuk karyawan tersebut kami membuat permintaan PKCS#10 yang menunjukkan tipe CIPF “OpenSSL”, kemudian kami menerbitkan sertifikat dan mengemasnya dalam PKCS12. Untuk melakukannya, pada halaman “Sertifikat”, pilih sertifikat yang diinginkan, klik kanan dan pilih “Ekspor ke PKCS#12”:
Untuk memastikan semuanya baik-baik saja dengan containernya, mari gunakan utilitas cryptoarmpkcs:
Anda sekarang dapat mengirimkan sertifikat yang diterbitkan kepada karyawan. Beberapa orang hanya dikirimi file dengan sertifikat (ini adalah pemilik token, mereka yang mengirim permintaan), atau wadah PKCS#12. Dalam kasus kedua, setiap karyawan diberikan kata sandi wadah tersebut melalui telepon. Karyawan ini hanya perlu memperbaiki file konfigurasi VPN dengan menentukan jalur ke penampung dengan benar.
Sedangkan untuk pemilik token, mereka juga perlu mengimpor sertifikat untuk tokennya. Untuk melakukan ini, mereka menggunakan utilitas cryptoarmpkcs yang sama:
Sekarang hanya ada sedikit perubahan pada konfigurasi VPN (label sertifikat pada token mungkin telah berubah) dan hanya itu, jaringan VPN perusahaan sudah berfungsi dengan baik.
Selamat berakhir
Dan kemudian saya sadar, mengapa orang-orang membawakan token kepada saya atau haruskah saya mengirim utusan untuk mereka. Dan saya mengirimkan surat dengan isi sebagai berikut:
Jawabannya datang keesokan harinya:
Saya segera mengirimkan link ke utilitas cryptoarmpkcs:
Sebelum membuat permintaan sertifikat, saya menyarankan agar mereka menghapus token:
Kemudian permintaan sertifikat dalam format PKCS#10 dikirim melalui email dan saya menerbitkan sertifikat yang saya kirimkan ke:
Dan kemudian tibalah saat yang menyenangkan:
Dan ada juga surat ini:
Dan setelah itu lahirlah artikel ini.
Distribusi aplikasi CAFL63 untuk platform Linux dan MS Windows dapat ditemukan
di sini
Distribusi utilitas cryptoarmpkcs, termasuk platform Android, berada
di sini
Sumber: www.habr.com