🥇公開鍵基盤。自主隔離中の証明書の発行

それはすべてどのように始まったのか

自主隔離期間が始まったばかりの頃、私は郵便で手紙を受け取りました。

最初の反応は当然のものでした。トークンを取りに行くか、持参するかのどちらかです。月曜日からずっと家にいて、移動も制限されているので、どうなるかわかりません。ですから、答えは至って自然でした。

そして、皆さんもご存知の通り、4月1日月曜日からかなり厳格な自己隔離期間が始まりました。私たちも全員リモートワークに切り替え、VPNが必要になりました。私たちのVPNは、 OpenVPNただし、ロシアの暗号化に対応し、PKCS#11トークンとPKCS#12コンテナを扱えるように修正されています。当然のことながら、私たち自身もVPN経由で作業する準備が万全ではなかったことが判明しました。多くのユーザーは証明書を持っておらず、中には期限切れの証明書を持っているユーザーもいました。

プロセスはどのように進みましたか?

そしてユーティリティが救世主となったクリプトアームプkcs およびアプリケーション CAFL63 （証明機関）。

cryptoarmpkcs ユーティリティを使用すると、自宅のコンピューターにトークンを持つ自己隔離中の従業員は、証明書のリクエストを生成できます。

従業員は保存されたリクエストをメールで送ってくれました。「個人情報はどうなっているの？」と疑問に思う人もいるかもしれませんが、よく見るとリクエストには個人情報は一切含まれていません。また、リクエスト自体は署名によって保護されています。

受信後、証明書要求は CAFL63 CA データベースにインポートされます。

その後、リクエストは承認または拒否されます。リクエストを確認するには、リクエストを選択し、右クリックしてドロップダウンメニューから「決定」を選択してください。

意思決定の手順自体は完全に透明です。

証明書も同様の方法で発行されますが、メニュー項目は「証明書の発行」と呼ばれます。

発行された証明書を表示するには、コンテキストメニューを使用するか、対応する行をダブルクリックします。

これで、openssl（OpenSSLテキストタブ）とCAFL63アプリケーション内蔵ビューア（証明書テキストタブ）の両方で内容を表示できるようになりました。後者の場合、コンテキストメニューを使用して、テキスト形式の証明書をまずクリップボードにコピーし、次にファイルにコピーすることができます。

ここで、CAFL63 では最初のバージョンと比べて何が変わったのかをご説明する必要があります。証明書の表示については既にご説明しました。また、オブジェクト（証明書、リクエスト、CRL）のグループを選択し、ページングモードで表示できるようになりました（「選択した項目を表示...」ボタン）。

おそらく最も重要なのは、このプロジェクトが無料で利用できることだ。ギタベLinux 用のディストリビューションに加えて、 Windows および OS X 用配布 Android 後ほど掲載いたします。

CAFL63アプリケーションの以前のバージョンと比較すると、インターフェース自体が変更されただけでなく、既に述べたように、新機能も追加されています。例えば、アプリケーションの説明ページが再設計され、ダウンロード配布への直接リンクが追加されました。

GOST OpenSSLの入手先について、多くの人が尋ねてきましたし、今も尋ねています。私は伝統的に、リンク提供：ガレックスこのopensslの使い方は次のように書かれていますここで.
しかし、現在、ディストリビューションにはロシアの暗号化を使用した openssl のテストバージョンが含まれています。

したがって、CAを設定する際には、Linuxの場合は/tmp/lirssl_static、opensslの場合は$::env(TEMP)/lirssl_static.exeのいずれかを指定できます。 Windows:

この場合、空の lirssl.cnf ファイルを作成し、このファイルへのパスを LIRSSL_CONF 環境変数に指定する必要があります。

証明書設定の「拡張機能」タブに「認証局情報アクセス」フィールドが追加され、ルート CA 証明書と OCSP サーバーへのアクセスポイントを設定できるようになりました。

CAが申請者（PKCS#10）が生成したリクエストを受け入れない、あるいはさらに悪いことに、何らかのCSPを介してキャリア側で鍵ペアを生成するリクエストの作成を強制するという話はよく聞きます。また、PKCS#2.0インターフェースを介して、抽出不可能な鍵を持つトークン（同じRuToken EDS-11上）のリクエストを生成することも拒否されます。そこで、CAFL63アプリケーションの機能に、PKCS#11トークンの暗号化メカニズムを用いたリクエスト生成を追加することが決定されました。トークンメカニズムを接続するために、パッケージが使用されました。 TclPKCS11CAへのリクエストを作成する際（「証明書リクエスト」ページ、「リクエスト/CSRの作成」機能）、キーペアの生成方法（opensslを使用するかトークンを使用するか）とリクエスト自体の署名方法を選択できるようになりました。

トークンの操作に必要なライブラリは、証明書の設定で指定されます。

しかし、従業員が自己隔離モードで企業VPNネットワークで作業するための証明書を提供するという主なタスクからは逸脱してしまいました。一部の従業員がトークンを持っていないことが判明しました。そこで、保護されたPKCS#12コンテナを提供することが決定されました。幸いにも、CAFL63アプリケーションでこれが可能です。まず、このような従業員に対して、暗号化情報保護ツール「OpenSSL」の種類を示すPKCS#10リクエストを送信し、証明書を発行してPKCS12にパッケージ化します。これを行うには、「証明書」ページで必要な証明書を選択し、右クリックして「PKCS#12にエクスポート」を選択します。

コンテナに問題がないことを確認するには、cryptoarmpkcs ユーティリティを使用します。

発行された証明書を従業員に送信できるようになりました。証明書を含むファイル（トークン所有者、つまりリクエストを送信した人）のみを送信する場合もあれば、PKCS#12コンテナを送信する場合もあります。後者の場合、各従業員にはコンテナのパスワードが電話で伝えられます。従業員はVPN構成ファイルを修正し、コンテナへのパスを正しく指定するだけで済みます。