Cara kabeh mulai
Ing wiwitan wektu ngasingake diri, aku nampa surat ing surat:
Reaksi sing sepisanan iku alamiah: sampeyan kudu golek token, utawa kudu digawa, nanging wiwit Senin, kita kabeh wis lungguh ing omah, ana watesan babagan gerakan, lan sapa wae? Mulane, jawaban kasebut cukup alami:
Lan kaya sing kita ngerti, wiwit Senin, 1 April, wektu ngisolasi diri sing cukup ketat diwiwiti. Kita uga kabeh ngalih menyang karya remot lan kita uga mbutuhake VPN. VPN kita adhedhasar OpenVPN, nanging diowahi kanggo ndhukung kriptografi Rusia lan kemampuan kanggo nggarap token PKCS#11 lan wadhah PKCS#12. Mesthine, kita dhewe durung siyap kerja liwat VPN: akeh sing ora duwe sertifikat, lan sawetara sing wis kadaluwarsa.
Kepiye proses kasebut?
Lan iki minangka sarana kanggo nylametake
Utilitas cryptoarmpkcs ngidini karyawan sing mandhiri lan duwe token ing komputer omah kanggo nggawe panjaluk sertifikat:
Karyawan ngirim panjalukan sing disimpen liwat email menyang aku. Wong bisa takon: - Apa bab data pribadhi, nanging yen sampeyan ndeleng rapet, iku ora ing panjalukan. Lan panjaluk kasebut dhewe dilindhungi kanthi teken.
Sawise ditampa, panjalukan sertifikat diimpor menyang database CAFL63 CA:
Sawise panjaluk kasebut kudu ditolak utawa disetujoni. Kanggo nimbang panjalukan, sampeyan kudu milih, klik-tengen banjur pilih "Gawe keputusan" saka menu gulung mudhun:
Prosedur nggawe keputusan dhewe pancen transparan:
Sertifikat ditanggepi kanthi cara sing padha, mung item menu sing diarani "Sertifikat penerbitan":
Kanggo ndeleng sertifikat sing ditanggepi, sampeyan bisa nggunakake menu konteks utawa mung klik kaping pindho ing baris sing cocog:
Saiki konten kasebut bisa dideleng liwat openssl (tab Teks OpenSSL) lan panampil aplikasi CAFL63 (tab Teks Sertifikat). Ing kasus terakhir, sampeyan bisa nggunakake menu konteks kanggo nyalin sertifikat ing wangun teks, pisanan menyang clipboard, banjur menyang file.
Kene iku kudu nyatet apa wis diganti ing CAFL63 dibandhingake versi pisanan? Kanggo ndeleng sertifikat, kita wis nyathet iki. Sampeyan uga bisa milih klompok obyek (sertifikat, panjaluk, CRL) lan ndeleng ing mode paging (tombol "Deleng sing dipilih ...").
Mbokmenawa sing paling penting yaiku proyek kasebut kasedhiya kanthi gratis
Dibandhingake karo versi sadurungé saka aplikasi CAFL63, ora mung antarmuka dhewe wis diganti, nanging uga, minangka wis nyatet, fitur anyar wis ditambahake. Contone, kaca kanthi katrangan aplikasi wis didesain ulang lan pranala langsung menyang distribusi download wis ditambahake:
Akeh sing takon lan isih takon ngendi kanggo njaluk GOST openssl. Cara tradisional aku menehi
Nanging saiki kit distribusi kalebu versi test openssl karo kriptografi Rusian.
Mulane, nalika nyetel CA, sampeyan bisa nemtokake salah siji /tmp/lirssl_static kanggo Linux utawa $::env(TEMP)/lirssl_static.exe kanggo Windows minangka openssl digunakake:
Ing kasus iki, sampeyan kudu nggawe file lirssl.cnf kosong lan nemtokake path menyang berkas iki ing variabel lingkungan LIRSSL_CONF:
Tab "Ekstensi" ing setelan sertifikat wis ditambah karo kolom "Akses Info Otoritas", ing ngendi sampeyan bisa nyetel titik akses menyang sertifikat ROOT CA lan menyang server OCSP:
Kita kerep krungu sing CA ora nampa panjalukan kui (PKCS # 10) saka pelamar utawa, malah Samsaya Awon, meksa tatanan panjalukan karo generasi saka pasangan tombol ing operator liwat sawetara CSP. Lan padha nolak generate panjalukan ing token karo tombol non-retrievable (ing padha RuToken EDS-2.0) liwat PKCS # 11 antarmuka. Mulane, iki mutusaké kanggo nambah generasi panjalukan kanggo fungsi saka aplikasi CAFL63 nggunakake mekanisme cryptographic saka PKCS # 11 token. Kanggo ngaktifake mekanisme token, paket kasebut digunakake
Pustaka sing dibutuhake kanggo nggarap token kasebut ditemtokake ing setelan sertifikat:
Nanging kita wis nyimpang saka tugas utama kanggo nyedhiyakake karyawan kanthi sertifikat supaya bisa kerja ing jaringan VPN perusahaan ing mode mandhiri. Ternyata sawetara karyawan ora duwe token. Sampeyan iki mutusaké kanggo nyedhiyani karo PKCS # 12 wadhah dilindhungi, wiwit aplikasi CAFL63 ngidini iki. Pisanan, kanggo karyawan kuwi kita nggawe PKCS # 10 panjalukan nuduhake jinis CIPF "OpenSSL", banjur kita ngetokake certificate lan paket ing PKCS12. Kanggo nindakake iki, ing kaca "Sertifikat", pilih sertifikat sing dikarepake, klik-tengen banjur pilih "Ekspor menyang PKCS # 12":
Kanggo mesthekake yen kabeh wis cocog karo wadhah, ayo gunakake utilitas cryptoarmpkcs:
Sampeyan saiki bisa ngirim sertifikat sing ditanggepi kanggo karyawan. Sawetara wong mung dikirim file karo sertifikat (iki nduweni token, sing ngirim panjalukan), utawa PKCS # 12 wadhah. Ing kasus kapindho, saben karyawan diwenehi sandhi menyang wadhah liwat telpon. Karyawan iki mung kudu mbenerake file konfigurasi VPN kanthi nemtokake dalan menyang wadhah kanthi bener.
Kanggo pamilik token, dheweke uga kudu ngimpor sertifikat kanggo token kasebut. Kanggo nindakake iki, padha nggunakake utilitas cryptoarmpkcs sing padha:
Saiki ana owah-owahan minimal ing konfigurasi VPN (label sertifikat ing token bisa uga wis diganti) lan iku, jaringan VPN perusahaan ing urutan kerja.
Akhir sing seneng
Lan banjur aku ngerti, kenapa wong-wong padha nggawa tandha-tandha marang aku utawa aku ngirim utusan kanggo dheweke. Lan aku ngirim layang kanthi isi ing ngisor iki:
Jawaban teka dina sabanjure:
Aku langsung ngirim link menyang utilitas cryptoarmpkcs:
Sadurunge nggawe panjalukan sertifikat, aku nyaranake supaya mbusak token kasebut:
Banjur panjalukan kanggo sertifikat ing format PKCS#10 dikirim liwat email lan aku ngetokake sertifikat, sing dikirim menyang:
Banjur teka wayahe sing nyenengake:
Lan uga ana layang iki:
Lan sawise artikel iki lair.
Distribusi aplikasi CAFL63 kanggo platform Linux lan MS Windows bisa ditemokake
kene
Distribusi utilitas cryptoarmpkcs, kalebu platform Android, ana
kene
Source: www.habr.com