🥇공개 키 기반 구조. 자가 격리 중 인증서 발급

이 모든 시작하는 방법

자가 격리 기간이 시작되던 초기에 저는 우편으로 편지를 받았습니다.

첫 반응은 자연스러웠습니다. 토큰을 받으러 가거나, 아니면 직접 가져와야 한다는 거였죠. 월요일 이후로 우리 모두 집에 갇혀 있었고, 이동 제한도 있었고, 어떻게 될지는 아무도 몰랐습니다. 그래서 답은 아주 자연스러웠습니다.

아시다시피 4월 1일 월요일은 엄격한 자가격리 기간이 시작된 날이었습니다. 저희도 모두 재택근무로 전환했고, VPN이 필요했습니다. 저희 VPN은 다음과 같은 기술로 구축되었습니다. OpenVPN하지만 러시아 암호화를 지원하고 PKCS#11 토큰 및 PKCS#12 컨테이너와 연동할 수 있도록 수정되었습니다. 당연히 우리 자신도 VPN을 통해 작업할 준비가 완전히 되어 있지 않았습니다. 많은 사용자가 인증서가 없었고, 일부는 만료된 인증서를 가지고 있었습니다.

그 과정은 어떻게 진행되었나요?

그리고 여기서 유틸리티가 구출에 나섰습니다. 암호화폐 및 응용 프로그램 CAFL63 (인증기관).

cryptoarmpkcs 유틸리티를 사용하면 자가 격리 중이고 홈 컴퓨터에 토큰이 있는 직원이 인증서 요청을 생성할 수 있습니다.

직원들이 저장된 요청을 이메일로 보내줬습니다. 누군가는 이렇게 물을지도 모릅니다. "개인 정보는 어떻게 되나요?"라고요. 자세히 보면 요청에는 아무것도 없습니다. 그리고 요청 자체는 서명으로 보호됩니다.

인증서 요청은 수신 시 CAFL63 CA 데이터베이스로 가져옵니다.

요청은 거부되거나 승인되어야 합니다. 요청을 검토하려면 해당 요청을 선택하고 마우스 오른쪽 버튼을 클릭한 후 드롭다운 메뉴에서 "결정하기"를 선택하세요.

의사결정 절차 자체는 절대적으로 투명합니다.

인증서는 비슷한 방식으로 발급되며 메뉴 항목의 이름만 "인증서 발급"입니다.

발급된 인증서를 보려면 상황에 맞는 메뉴를 사용하거나 해당 줄을 두 번 클릭하면 됩니다.

이제 openssl(OpenSSL 텍스트 탭)과 내장 CAFL63 애플리케이션 뷰어(인증서 텍스트 탭)를 통해 내용을 볼 수 있습니다. 후자의 경우, 컨텍스트 메뉴를 사용하여 인증서를 텍스트 형식으로 먼저 클립보드에 복사한 다음 파일로 복사할 수 있습니다.

여기서 CAFL63에서 첫 번째 버전과 비교하여 어떤 점이 변경되었는지 확인해야 합니다. 인증서 보기와 관련하여서는 이미 언급했습니다. 또한 객체 그룹(인증서, 요청, CRL)을 선택하여 페이징 모드("선택 항목 보기..." 버튼)로 볼 수 있게 되었습니다.

아마도 가장 중요한 것은 이 프로젝트가 무료로 이용 가능하다는 것입니다. 기타베리눅스용 배포판 외에도 다른 운영체제용 배포판들이 준비되고 있습니다. Windows 및 OS X용 배포판 Android 조금 후에 게시될 예정입니다.

이전 버전의 CAFL63 애플리케이션과 비교했을 때, 인터페이스 자체만 변경된 것이 아니라 앞서 언급했듯이 새로운 기능도 추가되었습니다. 예를 들어, 애플리케이션 설명 페이지가 새롭게 디자인되었고, 다운로드 배포판으로 바로 연결되는 링크가 추가되었습니다.

많은 사람들이 GOST openssl을 어디서 구할 수 있는지 물었고 지금도 묻고 있습니다. 전통적으로 저는 링크, 친절하게 제공해주셔서 감사합니다 가렉스. 이 openssl을 사용하는 방법은 다음과 같습니다. 여기에.
하지만 이제 배포판에는 러시아 암호화를 적용한 openssl 테스트 버전이 포함되었습니다.

따라서 CA를 구성할 때 Linux의 경우 /tmp/lirssl_static을 지정하거나 openssl의 경우 $::env(TEMP)/lirssl_static.exe를 지정할 수 있습니다. Windows:

이 경우 빈 lirssl.cnf 파일을 만들고 LIRSSL_CONF 환경 변수에 이 파일의 경로를 지정해야 합니다.

인증서 설정의 "확장" 탭에 "기관 정보 액세스" 필드가 추가되어 루트 CA 인증서와 OCSP 서버에 대한 액세스 포인트를 설정할 수 있습니다.

CA가 신청자가 생성한 요청(PKCS#10)을 수락하지 않거나, 더 심한 경우에는 CSP를 통해 통신사에게 키 쌍을 생성하여 요청 생성을 강요한다는 이야기가 자주 들립니다. 또한 PKCS#2.0 인터페이스를 통해 추출 불가능한 키(동일한 RuToken EDS-11 기반)를 가진 토큰에 대한 요청 생성도 거부합니다. 따라서 PKCS#63 토큰의 암호화 메커니즘을 사용한 요청 생성 기능을 CAFL11 애플리케이션 기능에 추가하기로 결정했습니다. 토큰 메커니즘을 연결하기 위해 다음 패키지가 사용되었습니다. TclPKCS11CA에 대한 요청을 생성할 때("인증서 요청" 페이지, "요청/CSR 생성" 기능), 이제 키 쌍 생성 방식(OpenSSL 사용 또는 토큰 사용)과 요청 서명 방식을 선택할 수 있습니다.

토큰을 사용하는 데 필요한 라이브러리는 인증서 설정에 지정되어 있습니다.

하지만 저희는 직원들에게 자가 격리 모드로 기업 VPN 네트워크에서 작업하기 위한 인증서를 제공하는 주요 작업에서 벗어났습니다. 일부 직원들이 토큰을 가지고 있지 않은 것으로 확인되었습니다. 이들에게 보호된 PKCS#12 컨테이너를 제공하기로 결정했습니다. 다행히 CAFL63 애플리케이션에서 이를 지원합니다. 먼저 이러한 직원들에게 암호화 정보 보호 도구인 "OpenSSL" 유형을 명시하는 PKCS#10 요청을 생성한 후, 인증서를 발급하여 PKCS#12로 패키징합니다. 이를 위해 "인증서" 페이지에서 필요한 인증서를 선택하고 마우스 오른쪽 버튼을 클릭한 후 "PKCS#12로 내보내기"를 선택합니다.

컨테이너에 모든 것이 제대로 되어 있는지 확인하기 위해 cryptoarmpkcs 유틸리티를 사용합니다.

이제 발급된 인증서를 직원들에게 보낼 수 있습니다. 인증서가 포함된 파일(토큰 소유자, 요청을 보낸 사람)이나 PKCS#12 컨테이너만 전송되는 경우도 있습니다. 두 번째 경우에는 각 직원에게 전화로 컨테이너 비밀번호를 알려줍니다. 이러한 직원들은 VPN 구성 파일을 수정하고 컨테이너 경로를 올바르게 지정하기만 하면 됩니다.