Hvernig það byrjaði allt
Strax í upphafi einangrunartímabilsins fékk ég bréf í pósti:
Fyrstu viðbrögðin voru eðlileg: annaðhvort þarf að sækja um tákn, eða þá þarf að koma með, en síðan á mánudaginn höfum við öll setið heima, það eru takmarkanir á hreyfingum, og hver í fjandanum er það? Þess vegna var svarið nokkuð eðlilegt:
Og eins og við vitum öll, frá og með mánudeginum 1. apríl hófst tímabil nokkuð strangrar einangrunar. Við skiptum líka öll yfir í fjarvinnu og við þurftum líka VPN. VPN okkar er byggt á OpenVPN, en breytt til að styðja rússneska dulritun og getu til að vinna með PKCS#11 tákn og PKCS#12 gáma. Auðvitað kom í ljós að við sjálf vorum ekki alveg tilbúin til að vinna í gegnum VPN: margir voru einfaldlega ekki með vottorð og sum voru útrunninn.
Hvernig gekk ferlið?
Og þetta er þar sem veitan kemur til bjargar og umsókn (staðfestingarmiðstöð).
cryptoarmpkcs tólið gerði starfsmönnum sem eru í einangrun og eru með tákn á heimilistölvum sínum kleift að búa til vottorðsbeiðnir:
Starfsmennirnir sendu mér vistaðar beiðnir með tölvupósti. Einhver gæti spurt: - Hvað með persónuupplýsingar, en ef grannt er skoðað þá er það ekki í beiðninni. Og beiðnin sjálf er vernduð með undirskrift hennar.
Við móttöku er vottorðsbeiðnin flutt inn í CAFL63 CA gagnagrunninn:
Eftir það þarf annað hvort að hafna eða samþykkja beiðnina. Til að íhuga beiðni þarftu að velja hana, hægrismella og velja „Taktu ákvörðun“ í fellivalmyndinni:
Ákvarðanatökuferlið sjálft er algjörlega gagnsætt:
Vottorð er gefið út á sama hátt, aðeins valmyndaratriðið er kallað „Gefa út vottorð“:
Til að skoða útgefið vottorð geturðu notað samhengisvalmyndina eða einfaldlega tvísmellt á samsvarandi línu:
Nú er hægt að skoða efnið bæði í gegnum openssl (OpenSSL Text flipi) og innbyggða skoðara CAFL63 forritsins (Certificate Text flipann). Í síðara tilvikinu geturðu notað samhengisvalmyndina til að afrita vottorðið á textaformi, fyrst á klemmuspjaldið og síðan í skrá.
Hér skal tekið fram hvað hefur breyst í CAFL63 miðað við fyrstu útgáfuna? Hvað varðar skoðunarvottorð höfum við þegar tekið eftir þessu. Það er líka orðið mögulegt að velja hóp af hlutum (vottorð, beiðnir, CRL) og skoða þá í boðstillingu (hnappurinn „Skoða valið ...“).
Það sem skiptir sennilega mestu máli er að verkefnið sé frjálst aðgengilegt á . Auk dreifingar fyrir Linux hafa verið útbúnar dreifingar fyrir Windows og OS X. Dreifingin fyrir Android kemur út nokkru síðar.
Í samanburði við fyrri útgáfu af CAFL63 forritinu hefur ekki aðeins viðmótið sjálft breyst, heldur einnig, eins og áður hefur komið fram, nýjum eiginleikum verið bætt við. Til dæmis hefur lýsingarsíða forritsins verið endurhönnuð og beinum tenglum til að hlaða niður dreifingum hefur verið bætt við:
Margir hafa spurt og eru enn að spyrja hvar sé hægt að fá GOST openssl. Hefðbundið gef ég , vinsamlega veitt . Hvernig á að nota þetta openssl er skrifað .
En nú innihalda dreifingarsettin prófunarútgáfu af openssl með rússneskri dulritun.
Þess vegna, þegar þú setur upp CA, geturðu tilgreint annað hvort /tmp/lirssl_static fyrir Linux eða $::env(TEMP)/lirssl_static.exe fyrir Windows sem openssl notað:
Í þessu tilviki þarftu að búa til tóma lirssl.cnf skrá og tilgreina slóðina að þessari skrá í umhverfisbreytunni LIRSSL_CONF:
„Viðbætur“ flipann í skírteinisstillingunum hefur verið bætt við „Authority Info Access“ reitinn, þar sem þú getur stillt aðgangsstaði að CA rótarvottorðinu og á OCSP þjóninn:
Við heyrum oft að CAs samþykkja ekki beiðnir sem þær mynda (PKCS#10) frá umsækjendum eða, jafnvel enn verra, þvinga fram myndun beiðna með myndun lyklapars á símafyrirtækinu í gegnum einhvern CSP. Og þeir neita að búa til beiðnir um tákn með lykil sem ekki er hægt að endurheimta (á sama RuToken EDS-2.0) í gegnum PKCS#11 viðmótið. Þess vegna var ákveðið að bæta beiðnamyndun við virkni CAFL63 forritsins með því að nota dulritunarkerfi PKCS#11 táknanna. Til að virkja táknkerfin var pakkinn notaður . Þegar þú býrð til beiðni til CA (síða „Beiðnir um vottorð“, aðgerðin „Búa til beiðni/CSR“) geturðu nú valið hvernig lyklaparið verður til (með openssl eða á tákni) og beiðnin sjálf verður undirrituð:
Bókasafnið sem þarf til að vinna með táknið er tilgreint í stillingum vottorðsins:
En við höfum vikið frá meginverkefninu að útvega starfsmönnum vottorð til að vinna í VPN-neti fyrirtækja í sjálfeinangrunarham. Í ljós kom að sumir starfsmenn eru ekki með tákn. Ákveðið var að útvega þeim PKCS#12 verndaða gáma þar sem CAFL63 forritið leyfir það. Fyrst, fyrir slíka starfsmenn, gerum við PKCS#10 beiðnir sem gefa til kynna CIPF gerð "OpenSSL", síðan gefum við út vottorð og pökkum því í PKCS12. Til að gera þetta, á „Skírteini“ síðunni, veldu viðeigandi vottorð, hægrismelltu og veldu „Flytja út til PKCS#12“:
Til að ganga úr skugga um að allt sé í lagi með ílátið, skulum nota cryptoarmpkcs tólið:
Nú er hægt að senda útgefin skírteini til starfsmanna. Sumir fá einfaldlega sendar skrár með skilríkjum (þetta eru eigendur tákna, þeir sem sendu beiðnir) eða PKCS#12 gáma. Í öðru tilvikinu fær hver starfsmaður lykilorðið að gámnum í gegnum síma. Þessir starfsmenn þurfa bara að leiðrétta VPN stillingarskrána með því að tilgreina slóðina að ílátinu rétt.
Hvað merkjaeigendurna varðar þá þurftu þeir líka að flytja inn vottorð fyrir táknið sitt. Til að gera þetta notuðu þeir sama cryptoarmpkcs tólið:
Nú eru lágmarksbreytingar á VPN stillingunni (vottorðsmerkið á tákninu gæti hafa breyst) og það er það, VPN netkerfi fyrirtækisins er í lagi.
Hamingjusamur endir
Og þá rann upp fyrir mér, hvers vegna fólk ætti að koma með tákn til mín eða ætti ég að senda sendiboða fyrir þá. Og ég sendi bréf með eftirfarandi innihaldi:
Svarið kemur daginn eftir:
Ég sendi strax hlekk á cryptoarmpkcs tólið:
Áður en ég stofnaði vottorðsbeiðnir mælti ég með því að þær hreinsuðu táknin:
Síðan voru beiðnir um vottorð á PKCS#10 sniði sendar með tölvupósti og ég gaf út vottorð sem ég sendi til:
Og svo kom skemmtileg stund:
Og það var líka þetta bréf:
Og eftir það fæddist þessi grein.
Dreifingar á CAFL63 forritinu fyrir Linux og MS Windows palla má finna
hér
Dreifingar á cryptoarmpkcs tólinu, þar á meðal Android pallinum, eru staðsettar
hér
Heimild: www.habr.com