🥇ಸಾರ್ವಜನಿಕ ಕೀಲಿ ಮೂಲಸೌಕರ್ಯ. ಸ್ವಯಂ-ಪ್ರತ್ಯೇಕತೆಯ ಸಮಯದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವುದು

ಅದು ಹೇಗೆ ಪ್ರಾರಂಭವಾಯಿತು

ಸ್ವಯಂ-ಪ್ರತ್ಯೇಕತೆಯ ಅವಧಿಯ ಆರಂಭದಲ್ಲಿ, ನನಗೆ ಒಂದು ಇಮೇಲ್ ಬಂದಿತು:

ಆರಂಭಿಕ ಪ್ರತಿಕ್ರಿಯೆ ಸ್ವಾಭಾವಿಕವಾಗಿತ್ತು: ಒಂದೋ ನಾವು ಟೋಕನ್‌ಗಳನ್ನು ಪಡೆಯಲು ಹೋಗಬೇಕು, ಅಥವಾ ಅವುಗಳನ್ನು ತಲುಪಿಸಬೇಕು, ಮತ್ತು ಸೋಮವಾರದಿಂದ ನಾವೆಲ್ಲರೂ ಮನೆಯಲ್ಲಿಯೇ ಸಿಲುಕಿಕೊಂಡಿದ್ದೇವೆ, ಚಲನೆಯ ಮೇಲಿನ ನಿರ್ಬಂಧಗಳು, ಮತ್ತು ಯಾರಿಗೆ ತಿಳಿದಿದೆ. ಆದ್ದರಿಂದ ಉತ್ತರವು ಸಂಪೂರ್ಣವಾಗಿ ಸ್ವಾಭಾವಿಕವಾಗಿತ್ತು:

И как мы все знаем, с понедельника 1 апреля наступил период достаточно жесткой самоизоляции. Мы тоже все перешли на удаленку и нам тоже потребовался VPN. Наш VPN построен на базе OpenVPN, но доработанный с целью поддержки российской криптографии и возможностью работы с токенами PKCS#11 и контейнерами PKCS#12. Естественно, тут выяснилось, что мы и сами не совсем были готовы к работе через VPN: у многих просто не было сертификатов, а у кого-то они были просрочены.

ಪ್ರಕ್ರಿಯೆಯು ಹೇಗೆ ಹೋಯಿತು?

ಮತ್ತು ಇಲ್ಲಿಯೇ ಉಪಯುಕ್ತತೆಯು ರಕ್ಷಣೆಗೆ ಬಂದಿತು. ಕ್ರಿಪ್ಟೋಆರ್‌ಎಂಪಿಕೆಸಿಎಸ್ ಮತ್ತು ಅರ್ಜಿ CAFL63 (ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರ).

cryptoarmpkcs ಉಪಯುಕ್ತತೆಯು ತಮ್ಮ ಮನೆಯ ಕಂಪ್ಯೂಟರ್‌ಗಳಲ್ಲಿ ಟೋಕನ್‌ಗಳನ್ನು ಹೊಂದಿರುವ ಸ್ವಯಂ-ಪ್ರತ್ಯೇಕತೆಯಲ್ಲಿರುವ ಉದ್ಯೋಗಿಗಳಿಗೆ ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿಗಳನ್ನು ರಚಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು:

ಸಿಬ್ಬಂದಿ ನನಗೆ ಉಳಿಸಿದ ವಿನಂತಿಗಳನ್ನು ಇಮೇಲ್ ಮೂಲಕ ಕಳುಹಿಸಿದರು. ಕೆಲವರು ಕೇಳಬಹುದು, "ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಬಗ್ಗೆ ಏನು?" ಆದರೆ ನೀವು ಸೂಕ್ಷ್ಮವಾಗಿ ಗಮನಿಸಿದರೆ, ಅದು ವಿನಂತಿಯಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ. ಮತ್ತು ವಿನಂತಿಯು ಅದರ ಸಹಿಯಿಂದ ರಕ್ಷಿಸಲ್ಪಟ್ಟಿದೆ.

ಸ್ವೀಕರಿಸಿದ ನಂತರ, ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿಯನ್ನು CAFL63 CA ಡೇಟಾಬೇಸ್‌ಗೆ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ:

ನಂತರ ವಿನಂತಿಯನ್ನು ತಿರಸ್ಕರಿಸಬೇಕು ಅಥವಾ ಅನುಮೋದಿಸಬೇಕು. ವಿನಂತಿಯನ್ನು ಪರಿಶೀಲಿಸಲು, ಅದನ್ನು ಆಯ್ಕೆ ಮಾಡಿ, ಬಲ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ಡ್ರಾಪ್-ಡೌನ್ ಮೆನುವಿನಿಂದ "ನಿರ್ಧಾರ ತೆಗೆದುಕೊಳ್ಳಿ" ಆಯ್ಕೆಮಾಡಿ:

ನಿರ್ಧಾರ ತೆಗೆದುಕೊಳ್ಳುವ ವಿಧಾನವು ಸಂಪೂರ್ಣವಾಗಿ ಪಾರದರ್ಶಕವಾಗಿರುತ್ತದೆ:

ಪ್ರಮಾಣಪತ್ರವನ್ನು ಇದೇ ರೀತಿಯಲ್ಲಿ ನೀಡಲಾಗುತ್ತದೆ, ಮೆನು ಐಟಂ ಅನ್ನು ಮಾತ್ರ "ಪ್ರಕಟಣೆ ಪ್ರಮಾಣಪತ್ರ" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ:

ನೀಡಲಾದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ವೀಕ್ಷಿಸಲು, ನೀವು ಸಂದರ್ಭ ಮೆನುವನ್ನು ಬಳಸಬಹುದು ಅಥವಾ ಅನುಗುಣವಾದ ಸಾಲಿನ ಮೇಲೆ ಡಬಲ್ ಕ್ಲಿಕ್ ಮಾಡಿ:

ವಿಷಯಗಳನ್ನು ಈಗ opensl ("OpenSSL ಪಠ್ಯ" ಟ್ಯಾಬ್) ಅಥವಾ ಅಂತರ್ನಿರ್ಮಿತ CAFL63 ವೀಕ್ಷಕ ("ಪ್ರಮಾಣಪತ್ರ ಪಠ್ಯ" ಟ್ಯಾಬ್) ಬಳಸಿ ವೀಕ್ಷಿಸಬಹುದು. ನಂತರದ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಸಂದರ್ಭ ಮೆನುವನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪಠ್ಯ ಸ್ವರೂಪದಲ್ಲಿ ಮೊದಲು ಕ್ಲಿಪ್‌ಬೋರ್ಡ್‌ಗೆ ಮತ್ತು ನಂತರ ಫೈಲ್‌ಗೆ ನಕಲಿಸಬಹುದು.

ಮೊದಲ ಆವೃತ್ತಿಗೆ ಹೋಲಿಸಿದರೆ CAFL63 ನಲ್ಲಿ ಏನು ಬದಲಾಗಿದೆ ಎಂಬುದು ಇಲ್ಲಿದೆ. ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ವೀಕ್ಷಿಸುವುದಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ, ನಾವು ಇದನ್ನು ಈಗಾಗಲೇ ಗಮನಿಸಿದ್ದೇವೆ. "ಆಯ್ಕೆಮಾಡಿದ ವೀಕ್ಷಿಸಿ..." ಬಟನ್ ಬಳಸಿ ವಸ್ತುಗಳ ಗುಂಪನ್ನು (ಪ್ರಮಾಣಪತ್ರಗಳು, ವಿನಂತಿಗಳು, CRL ಗಳು) ಆಯ್ಕೆ ಮಾಡಲು ಮತ್ತು ಅವುಗಳನ್ನು ಬ್ರೌಸ್ ಮಾಡಲು ಈಗ ಸಾಧ್ಯವಿದೆ.

ಬಹುಶಃ ಅತ್ಯಂತ ಮುಖ್ಯವಾದ ವಿಷಯವೆಂದರೆ ಯೋಜನೆಯು ಉಚಿತವಾಗಿ ಲಭ್ಯವಿದೆ ಗಿಥಬ್. Помимо дистрибутивов для linux, подготовлены дистрибутивы для Windows и OS X. Дистрибутив для Android будет выложен чуть позже.

CAFL63 ಅಪ್ಲಿಕೇಶನ್‌ನ ಹಿಂದಿನ ಆವೃತ್ತಿಗೆ ಹೋಲಿಸಿದರೆ, ಇಂಟರ್ಫೇಸ್ ಬದಲಾಗಿರುವುದು ಮಾತ್ರವಲ್ಲದೆ, ಈಗಾಗಲೇ ಗಮನಿಸಿದಂತೆ, ಹೊಸ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಅಪ್ಲಿಕೇಶನ್ ವಿವರಣೆ ಪುಟವನ್ನು ಮರುವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ, ವಿತರಣೆಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ನೇರ ಲಿಂಕ್‌ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ:

GOST OpenSSL ಅನ್ನು ಎಲ್ಲಿ ಪಡೆಯಬೇಕೆಂದು ಅನೇಕ ಜನರು ಕೇಳಿದ್ದಾರೆ ಮತ್ತು ಇನ್ನೂ ಕೇಳುತ್ತಿದ್ದಾರೆ. ಸಾಂಪ್ರದಾಯಿಕವಾಗಿ, ನಾನು ನೀಡುತ್ತೇನೆ ಲಿಂಕ್, ದಯೆಯಿಂದ ಒದಗಿಸಲಾಗಿದೆ ಗ್ಯಾರೆಕ್ಸ್ಇದನ್ನು ಹೇಗೆ ಬಳಸುವುದು openssl ಎಂದು ಬರೆಯಲಾಗಿದೆ ಇಲ್ಲಿ.
ಆದರೆ ಈಗ ವಿತರಣೆಗಳು ರಷ್ಯಾದ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯೊಂದಿಗೆ openssl ನ ಪರೀಕ್ಷಾ ಆವೃತ್ತಿಯನ್ನು ಒಳಗೊಂಡಿವೆ.

Поэтому, когда будет проводиться настройка УЦ, то в качестве используемого openssl, можно будет указать либо /tmp/lirssl_static для linux, либо $::env(TEMP)/lirssl_static.exe для Windows:

ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಖಾಲಿ lirssl.cnf ಫೈಲ್ ಅನ್ನು ರಚಿಸಬೇಕಾಗುತ್ತದೆ ಮತ್ತು LIRSSL_CONF ಪರಿಸರ ವೇರಿಯೇಬಲ್‌ನಲ್ಲಿ ಈ ಫೈಲ್‌ಗೆ ಮಾರ್ಗವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗುತ್ತದೆ:

ಪ್ರಮಾಣಪತ್ರ ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿನ "ವಿಸ್ತರಣೆಗಳು" ಟ್ಯಾಬ್ ಅನ್ನು "ಪ್ರಾಧಿಕಾರ ಮಾಹಿತಿ ಪ್ರವೇಶ" ಕ್ಷೇತ್ರದೊಂದಿಗೆ ಪೂರಕಗೊಳಿಸಲಾಗಿದೆ, ಅಲ್ಲಿ ನೀವು CA ಮೂಲ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು OCSP ಸರ್ವರ್‌ಗೆ ಪ್ರವೇಶ ಬಿಂದುಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು:

CAಗಳು ಅರ್ಜಿದಾರರಿಂದ ಸ್ವಯಂ-ರಚಿತ ವಿನಂತಿಗಳನ್ನು (PKCS#10) ಸ್ವೀಕರಿಸಲು ನಿರಾಕರಿಸುತ್ತಾರೆ ಅಥವಾ ಇನ್ನೂ ಕೆಟ್ಟದಾಗಿ, ಕೆಲವು CSP ಮೂಲಕ ಶೇಖರಣಾ ಮಾಧ್ಯಮದಲ್ಲಿ ಕೀ ಜೋಡಿಯನ್ನು ಬಳಸಿಕೊಂಡು ವಿನಂತಿಗಳನ್ನು ಸ್ವತಃ ರಚಿಸುವಂತೆ ಒತ್ತಾಯಿಸುತ್ತಾರೆ ಎಂದು ನಾವು ಆಗಾಗ್ಗೆ ಕೇಳುತ್ತೇವೆ. PKCS#11 ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಹೊರತೆಗೆಯಲಾಗದ ಕೀಲಿಯೊಂದಿಗೆ (RuToken EDS-2.0 ನಂತಹ) ಟೋಕನ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ವಿನಂತಿಗಳನ್ನು ರಚಿಸಲು ಅವರು ನಿರಾಕರಿಸುತ್ತಾರೆ. ಆದ್ದರಿಂದ, CAFL63 ಅಪ್ಲಿಕೇಶನ್‌ಗೆ PKCS#11 ಟೋಕನ್ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ವಿನಂತಿ ಉತ್ಪಾದನೆಯನ್ನು ಸೇರಿಸಲು ನಿರ್ಧರಿಸಲಾಯಿತು. ಟೋಕನ್ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತಿತ್ತು. ಟಿಸಿಎಲ್‌ಪಿಕೆಸಿಎಸ್11CA ಗೆ ವಿನಂತಿಯನ್ನು ರಚಿಸುವಾಗ (ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿಗಳ ಪುಟ, "ವಿನಂತಿಯನ್ನು ರಚಿಸಿ/CSR" ಕಾರ್ಯ), ನೀವು ಈಗ ಕೀ ಜೋಡಿಯನ್ನು ಹೇಗೆ ರಚಿಸಲಾಗುತ್ತದೆ (OpenSSL ಅಥವಾ ಟೋಕನ್ ಬಳಸಿ) ಮತ್ತು ವಿನಂತಿಯನ್ನು ಹೇಗೆ ಸಹಿ ಮಾಡಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು:

ಟೋಕನ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಅಗತ್ಯವಿರುವ ಲೈಬ್ರರಿಯನ್ನು ಪ್ರಮಾಣಪತ್ರ ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ:

ಆದರೆ ಸ್ವಯಂ-ಪ್ರತ್ಯೇಕತೆಯ ಸಮಯದಲ್ಲಿ ಕಾರ್ಪೊರೇಟ್ VPN ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಕೆಲಸ ಮಾಡಲು ಉದ್ಯೋಗಿಗಳಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಒದಗಿಸುವ ಮುಖ್ಯ ಕಾರ್ಯದಿಂದ ನಾವು ದೂರ ಸರಿದೆವು. ಕೆಲವು ಉದ್ಯೋಗಿಗಳಿಗೆ ಟೋಕನ್‌ಗಳು ಇರಲಿಲ್ಲ ಎಂದು ತಿಳಿದುಬಂದಿದೆ. CAFL63 ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ಧನ್ಯವಾದಗಳು, ನಾವು ಅವರಿಗೆ ಸುರಕ್ಷಿತ PKCS#12 ಕಂಟೇನರ್‌ಗಳನ್ನು ಒದಗಿಸಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ. ಮೊದಲು, ನಾವು ಈ ಉದ್ಯೋಗಿಗಳಿಗೆ PKCS#10 ವಿನಂತಿಗಳನ್ನು ರಚಿಸುತ್ತೇವೆ, OpenSSL ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಮಾಹಿತಿ ಸಂರಕ್ಷಣಾ ಪರಿಕರ ಪ್ರಕಾರವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತೇವೆ, ನಂತರ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುತ್ತೇವೆ ಮತ್ತು ಅದನ್ನು PKCS12 ಆಗಿ ಪ್ಯಾಕೇಜ್ ಮಾಡುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡಲು, "ಪ್ರಮಾಣಪತ್ರಗಳು" ಪುಟದಲ್ಲಿ, ಬಯಸಿದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆಯ್ಕೆಮಾಡಿ, ಬಲ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು "PKCS#12 ಗೆ ರಫ್ತು ಮಾಡಿ" ಆಯ್ಕೆಮಾಡಿ:

ಕಂಟೇನರ್ ಸರಿಯಾಗಿದೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, cryptoarmpkcs ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸೋಣ:

ನೀಡಲಾದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಈಗ ಉದ್ಯೋಗಿಗಳಿಗೆ ಕಳುಹಿಸಬಹುದು. ಕೆಲವನ್ನು ಸರಳ ಪ್ರಮಾಣಪತ್ರ ಫೈಲ್‌ಗಳಲ್ಲಿ (ಟೋಕನ್ ಹೊಂದಿರುವವರು, ವಿನಂತಿಗಳನ್ನು ಸಲ್ಲಿಸಿದವರು) ಅಥವಾ PKCS#12 ಕಂಟೇನರ್‌ಗಳಲ್ಲಿ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ನಂತರದ ಸಂದರ್ಭದಲ್ಲಿ, ಪ್ರತಿ ಉದ್ಯೋಗಿಗೆ ಫೋನ್ ಮೂಲಕ ಕಂಟೇನರ್ ಪಾಸ್‌ವರ್ಡ್ ನೀಡಲಾಗುತ್ತದೆ. ಕಂಟೇನರ್‌ಗೆ ಮಾರ್ಗವನ್ನು ಸರಿಯಾಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲು ಈ ಉದ್ಯೋಗಿಗಳು VPN ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸಬೇಕಾಗುತ್ತದೆ.

ಟೋಕನ್ ಮಾಲೀಕರಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಅವರು ತಮ್ಮ ಟೋಕನ್‌ಗಾಗಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳಬೇಕಾಗಿತ್ತು. ಇದನ್ನು ಮಾಡಲು, ಅವರು ಅದೇ cryptoarmpkcs ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಿದರು:

ಈಗ, VPN ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ಕೆಲವು ಸಣ್ಣ ಹೊಂದಾಣಿಕೆಗಳೊಂದಿಗೆ (ಟೋಕನ್‌ನಲ್ಲಿರುವ ಪ್ರಮಾಣಪತ್ರ ಲೇಬಲ್ ಬದಲಾಗಿರಬಹುದು), ಕಾರ್ಪೊರೇಟ್ VPN ನೆಟ್‌ವರ್ಕ್ ಚಾಲನೆಯಲ್ಲಿದೆ.