תשתית מפתח ציבורי. הוצאת תעודות בזמן בידוד עצמי

איך הכל התחיל

ממש בתחילת תקופת הבידוד העצמי קיבלתי מכתב בדואר:

התגובה הראשונה הייתה טבעית: או שצריך ללכת על אסימונים, או שצריך להביא אותם, אבל מיום שני כולנו יושבים בבית, יש הגבלות על תנועה, ומי זה לעזאזל? לכן, התשובה הייתה די טבעית:

וכפי שכולנו יודעים, מיום שני, 1 באפריל, החלה תקופה של בידוד עצמי קפדני למדי. גם כולנו עברנו לעבודה מרחוק והיינו צריכים גם VPN. ה-VPN שלנו מבוסס על OpenVPN, אך שונה כדי לתמוך בקריפטוגרפיה רוסית וביכולת לעבוד עם אסימוני PKCS#11 ומכולות PKCS#12. באופן טבעי, התברר שאנחנו בעצמנו לא לגמרי מוכנים לעבוד באמצעות VPN: לרבים פשוט לא היו אישורים, ולחלקם פג תוקף.

איך עבר התהליך?

וכאן השירות בא להציל cryptoarmpkcs ויישום CAFL63 (מרכז אימות).

כלי השירות cryptoarmpkcs אפשר לעובדים שנמצאים בבידוד עצמי ויש להם אסימונים במחשבים הביתיים שלהם ליצור בקשות אישור:

העובדים שלחו לי בקשות שמורות במייל. מישהו עשוי לשאול: - מה לגבי נתונים אישיים, אבל אם אתה מסתכל היטב, זה לא מופיע בבקשה. והבקשה עצמה מוגנת בחתימתה.

לאחר קבלה, בקשת האישור מיובאת למסד הנתונים CAFL63 CA:

לאחר מכן יש לדחות או לאשר את הבקשה. כדי לשקול בקשה, עליך לבחור בה, ללחוץ לחיצה ימנית ולבחור "קבל החלטה" מהתפריט הנפתח:

הליך קבלת ההחלטות עצמו שקוף לחלוטין:

תעודה ניתנת באותו אופן, רק פריט התפריט נקרא "הנפקת תעודה":

כדי להציג את האישור שהונפק, אתה יכול להשתמש בתפריט ההקשר או פשוט ללחוץ פעמיים על השורה המתאימה:

כעת ניתן לצפות בתוכן הן דרך openssl (כרטיסיית OpenSSL Text) והן הצופה המובנה של יישום CAFL63 (כרטיסיית Certificate Text). במקרה האחרון, אתה יכול להשתמש בתפריט ההקשר כדי להעתיק את האישור בצורת טקסט, תחילה ללוח ולאחר מכן לקובץ.

כאן יש לציין מה השתנה ב-CAFL63 לעומת הגרסה הראשונה? לגבי צפייה בתעודות, כבר ציינו זאת. אפשר גם לבחור קבוצת אובייקטים (אישורים, בקשות, CRL) ולהציג אותם במצב החלפה (לחצן "הצג שנבחר...").

כנראה שהדבר החשוב ביותר הוא שהפרויקט זמין באופן חופשי ב- github. בנוסף להפצות ללינוקס, הוכנו הפצות ל-Windows ו-OS X. ההפצה לאנדרואיד תצא מעט מאוחר יותר.

בהשוואה לגרסה הקודמת של אפליקציית CAFL63, לא רק הממשק עצמו השתנה, אלא גם, כפי שכבר צוין, נוספו תכונות חדשות. לדוגמה, הדף עם תיאור האפליקציה עוצב מחדש ונוספו קישורים ישירים להורדת הפצות:

רבים שאלו ועדיין שואלים היכן ניתן להשיג GOST openssl. באופן מסורתי אני נותן קשר, מסופק באדיבות גארקס. כתוב כיצד להשתמש ב-openssl הזה כאן.
אבל כעת ערכות ההפצה כוללות גרסת בדיקה של openssl עם קריפטוגרפיה רוסית.

לכן, בעת הגדרת ה-CA, אתה יכול לציין /tmp/lirssl_static עבור Linux או $::env(TEMP)/lirssl_static.exe עבור Windows בתור openssl המשמש:

במקרה זה, יהיה עליך ליצור קובץ lirssl.cnf ריק ולציין את הנתיב לקובץ זה במשתנה הסביבה LIRSSL_CONF:

ללשונית "הרחבות" בהגדרות האישור נוספה השדה "גישה לפרטי רשות", שבו ניתן להגדיר נקודות גישה לאישור השורש של CA ולשרת OCSP:

לעתים קרובות אנו שומעים ש-CA לא מקבלים בקשות שנוצרו על ידם (PKCS#10) ממבקשים או, אפילו גרוע מכך, כופים היווצרות של בקשות עם יצירת זוג מפתחות על הספק דרך CSP כלשהו. והם מסרבים ליצור בקשות על אסימונים עם מפתח שאינו ניתן לאחזור (באותו RuToken EDS-2.0) דרך ממשק PKCS#11. לכן, הוחלט להוסיף יצירת בקשות לפונקציונליות של יישום CAFL63 באמצעות מנגנוני ההצפנה של אסימוני PKCS#11. כדי לאפשר את מנגנוני האסימון, נעשה שימוש בחבילה TclPKCS11. בעת יצירת בקשה ל-CA (עמוד "בקשות לאישורים", פונקציה "צור בקשה/CSR") כעת ניתן לבחור כיצד ייווצר צמד המפתחות (באמצעות openssl או על אסימון) והבקשה עצמה תיחתם:

הספרייה הנדרשת לעבודה עם האסימון מצוינת בהגדרות של האישור:

אבל חרגנו מהמשימה העיקרית של לספק לעובדים אישורים לעבודה ברשת VPN ארגונית במצב בידוד עצמי. התברר שלחלק מהעובדים אין אסימונים. הוחלט לספק להם מיכלים מוגנים מסוג PKCS#12, מאחר שהאפליקציה CAFL63 מאפשרת זאת. ראשית, עבור עובדים כאלה אנו מבצעים בקשות PKCS#10 המציינות את סוג CIPF "OpenSSL", לאחר מכן אנו מנפיקים אישור ואורזים אותו ב-PKCS12. לשם כך, בדף "אישורים", בחר את האישור הרצוי, לחץ לחיצה ימנית ובחר "ייצוא ל-PKCS#12":

כדי לוודא שהכל בסדר עם המכולה, בואו נשתמש בכלי השירות cryptoarmpkcs:

כעת ניתן לשלוח תעודות שהונפקו לעובדים. לחלק מהאנשים פשוט נשלחים קבצים עם אישורים (אלה הם בעלי אסימון, אלה ששלחו בקשות), או קונטיינרים של PKCS#12. במקרה השני, כל עובד מקבל את הסיסמה למיכל בטלפון. עובדים אלה רק צריכים לתקן את קובץ תצורת ה-VPN על ידי ציון נכון של הנתיב למיכל.

באשר לבעלי האסימון, הם גם היו צריכים לייבא אישור עבור האסימון שלהם. כדי לעשות זאת, הם השתמשו באותו כלי עזר cryptoarmpkcs:

כעת יש שינויים מינימליים בתצורת ה-VPN (ייתכן שתווית האישור על האסימון השתנתה) וזהו, רשת ה-VPN הארגונית תקינה.

סוף טוב

ואז התחוור לי, למה שאנשים יביאו לי אסימונים או שאני צריך לשלוח להם שליח. ואני שולח מכתב עם התוכן הבא:

התשובה מגיעה למחרת:

אני שולח מיד קישור לכלי השירות cryptoarmpkcs:

לפני יצירת בקשות אישור, המלצתי להם לנקות את האסימונים:

לאחר מכן נשלחו בקשות לאישורים בפורמט PKCS#10 בדוא"ל והנפקתי אישורים, ששלחתי אל:

ואז הגיע רגע נעים:

והיה גם המכתב הזה:

ואחרי זה נולד המאמר הזה.

ניתן למצוא הפצות של יישום CAFL63 עבור פלטפורמות Linux ו-MS Windows

כאן

• Linux32
• Linux64
• WIN32
• WIN64
• OS X

הפצות של כלי השירות cryptoarmpkcs, כולל פלטפורמת אנדרואיד, ממוקמות

כאן

• Linux32
• Linux64
• WIN32
• WIN64
• OS X
• אנדרואיד

מקור: www.habr.com