Çawa her tişt destpê kir
Di destpêka heyama xwe-tecrîdê de, min nameyek di posteyê de wergirt:
Reaksiyona yekem xwezayî bû: an divê hûn biçin nîşanekan, an jî divê ew werin birin, lê ji roja Duşemê ve em hemî li malê rûdiniştin, li ser tevgerê sînorkirin hene, û çi dojeh ne henek e. Ji ber vê yekê, bersiv pir xwezayî bû:
Û wekî ku em hemî pê dizanin, ji Duşemê, 1ê Avrêlê, heyamek xweragirkirina berbiçav a hişk dest pê kir. Di heman demê de me hemûyan jî veguherî karê dûr û me jî hewceyê VPN bû. VPN-ya me li ser bingeha OpenVPN-ê ye, lê ji bo piştgirîkirina krîptografiya rûsî û şiyana ku bi nîşanekên PKCS#11 û konteynerên PKCS#12 re bixebite, hatî guheztin. Bi xwezayî, derket holê ku em bixwe ne amade ne ku bi VPN-ê bixebitin: gelekan bi tenê ne xwediyê sertîfîkayan bûn, û hinan jî yên qediya bûn.
Pêvajo çawa derbas bû?
Û ev e ku bikêrhatî ji bo rizgariyê tê û sepanê (Navenda verastkirinê).
Karûbarên cryptoarmpkcs destûr da karmendên ku di xwe veqetandinê de ne û li ser komputerên xwe yên malê nîşanek hene ku daxwazên sertîfîkayê biafirînin:
Karmendan daxwazên xilaskirî bi e-nameyê ji min re şandin. Dibe ku kesek bipirse: - Di derheqê daneyên kesane de çi ye, lê heke hûn ji nêz ve lê mêze bikin, ew ne di daxwaziyê de ye. Û daxwaz bixwe jî bi îmzeya xwe tê parastin.
Piştî wergirtinê, daxwaznameya sertîfîkayê di databasa CAFL63 CA de tê şandin:
Piştî vê yekê divê daxwaz an were red kirin an pejirandin. Ji bo ku daxwazek bifikirin, hûn hewce ne ku wê hilbijêrin, rast-klîk bikin û ji pêşeka daketî "Biryar Bidin" hilbijêrin:
Pêvajoya biryargirtinê bixwe bi tevahî zelal e:
Sertîfîkayek bi heman rengî tê derxistin, tenê ji menuya menuyê re "Sertîfîkaya Issue" tê gotin:
Ji bo dîtina sertîfîkaya hatî derxistin, hûn dikarin menuya kontekstê bikar bînin an jî bi tenê li ser xeta têkildar du caran bikirtînin:
Naha naverok hem bi openssl (Tabela Nivîsara OpenSSL) û hem jî bi temaşekera çêkirî ya serîlêdana CAFL63 (Tabela Nivîsa Sertîfîkayê) ve tê dîtin. Di rewşa paşîn de, hûn dikarin menuya kontekstê bikar bînin da ku sertîfîkayê di forma nivîsê de, pêşî li clipboard-ê, û dûv re jî li pelek kopî bikin.
Li vir divê were zanîn ka di CAFL63 de li gorî guhertoya yekem çi guheriye? Ji bo dîtina sertîfîkayan, me berê jî ev yek destnîşan kir. Di heman demê de mimkun bûye ku hûn komek tiştan (sertîfîka, daxwaz, CRL) hilbijêrin û wan di moda rûpelê de bibînin (bişkoka "Bişkojka Hilbijartî Binêre ...").
Dibe ku ya herî girîng ev e ku proje bi serbestî tê peyda kirin . Ji bilî belavkirinên ji bo Linux, belavkirina Windows û OS X jî hatine amadekirin. Belavkirina ji bo Androidê jî dê demek şûnde derkeve.
Li gorî guhertoya berê ya serîlêdana CAFL63, ne tenê navber bixwe guherî, lê di heman demê de, wekî ku berê hate destnîşan kirin, taybetmendiyên nû jî hatine zêdekirin. Mînakî, rûpela bi danasîna serîlêdanê ji nû ve hatî sêwirandin û girêdanên rasterast ên dakêşana belavkirinan hatine zêdekirin:
Pir kes pirsî û hîn jî dipirsin ku GOST openssl li ku derê bistînin. Bi kevneşopî ez didim , bi dilovanî pêşkêş kirin . Meriv çawa vê openssl bikar tîne hatiye nivîsandin .
Lê naha kîteyên belavkirinê guhertoyek ceribandinê ya openssl bi krîptografiya rûsî vedihewîne.
Ji ber vê yekê, dema ku CA-yê saz dike, hûn dikarin ji bo Linux /tmp/lirssl_static an jî $::env(TEMP)/lirssl_static.exe ji bo Windows-ê wekî openssl-ya ku tê bikar anîn destnîşan bikin:
Di vê rewşê de, hûn hewce ne ku pelek lirssl.cnf vala biafirînin û riya vê pelê di guhêrbara jîngehê LIRSSL_CONF de diyar bikin:
Di mîhengên sertîfîkayê de tabloya "Pêvekirin" bi qada "Agahdariya Desthilatdariyê" ve hatî zêdekirin, li wir hûn dikarin xalên gihîştinê li ser sertîfîkaya root CA û servera OCSP bicîh bikin:
Em pir caran dibihîzin ku CA daxwazên ku ji hêla wan ve hatî çêkirin (PKCS#10) ji serlêderan qebûl nakin an, hê xirabtir, bi çêkirina cotek sereke ya li ser hilgirê bi navgîniya hin CSP ve zorê didin damezrandina daxwazan. Û ew red dikin ku bi navbeynkariya PKCS#2.0 daxwazên li ser nîşanan bi mifteyek ne-vegerandin (li ser heman RuToken EDS-11) biafirînin. Ji ber vê yekê, biryar hate girtin ku bi karanîna mekanîzmayên krîptografî yên nîşankerên PKCS#63, hilberîna daxwaznameyê li fonksiyona serîlêdana CAFL11 zêde bike. Ji bo çalakkirina mekanîzmayên tokenê, pakêt hate bikar anîn . Dema ku daxwazek ji CA-yê re çêbikin (rûpel "Daxwazên sertîfîkayan", fonksiyona "Daxwaz biafirîne/CSR") hûn naha dikarin hilbijêrin ka dê cotek mifteyê çawa were çêkirin (bikaranîna openssl an li ser tokenek) û daxwaz bixwe dê were îmze kirin:
Pirtûkxaneya ku ji bo xebatê bi tokenê re hewce dike di mîhengên sertîfîkayê de tête diyar kirin:
Lê me ji peywira sereke ya peydakirina sertîfîkayan ji karmendan dûr xist da ku di torgilokek VPN ya pargîdanî de di moda xwe-izolkirinê de bixebitin. Derket holê ku nîşaneyên hin karmendan tune. Biryar hat dayîn ku ji wan re konteynerên parastî yên PKCS#12 peyda bikin, ji ber ku serîlêdana CAFL63 vê destûrê dide. Pêşî, ji bo xebatkarên weha em daxwazên PKCS#10 dikin ku celebê CIPF "OpenSSL" destnîşan dikin, dûv re em sertîfîkayek derdixin û di PKCS12 de pak dikin. Ji bo vê yekê, li ser rûpela "Sertîfîkayan", sertîfîkaya xwestî hilbijêrin, rast-klîk bikin û "Export to PKCS#12" hilbijêrin:
Ji bo ku hûn pê ewle bibin ku her tişt bi konteynerê re rêkûpêk e, bila em kargêriya cryptoarmpkcs bikar bînin:
Naha hûn dikarin sertîfîkayên hatine derxistin ji karmendan re bişînin. Hin kes bi tenê pelên bi sertîfîkayan têne şandin (ev xwediyên nîşanan in, yên ku daxwaz şandin), an konteynerên PKCS#12. Di rewşa duyemîn de, her karmendek bi têlefonê şîfreya konteynerê tê dayîn. Van karmendan tenê hewce ne ku pelê veavakirina VPN-ê bi rastkirina rêça konteynerê rast bikin.
Ji bo xwediyên tokenê, ew jî hewce bû ku ji bo tokena xwe sertîfîkayek derxînin. Ji bo vê yekê, wan heman kargêriya cryptoarmpkcs bikar anîn:
Naha di veavakirina VPN de guheztinên hindiktirîn hene (dibe ku nîşana sertîfîkayê ya li ser tokenê guherîbe) û ew e, tora VPN ya pargîdanî di rêza xebatê de ye.
Dawiya xweş
Û paşê ji min re hat, çima mirov nîşanekan ji min re bînin an jî ez ji wan re qasidekî bişînim. Û ez nameyek bi naveroka jêrîn dişînim:
Bersiv roja din tê:
Ez tavilê lînkek ji kargêriya cryptoarmpkcs re dişînim:
Berî afirandina daxwazên sertîfîkayê, min pêşniyar kir ku ew nîşanan paqij bikin:
Dûv re daxwazên sertîfîkayên bi formata PKCS#10 bi e-nameyê hatin şandin û min sertîfîka derxist, ku min şand:
Û paşê demek xweş hat:
Û ev name jî hebû:
Û piştî wê ev gotar çêbû.
Dabeşkirinên serîlêdana CAFL63 ji bo platformên Linux û MS Windows têne dîtin
vir
Belavkirinên kargêriya cryptoarmpkcs, tevî platforma Android-ê, cih digirin
vir
Source: www.habr.com