Kaip viskas prasidėjo
Pačioje saviizoliacijos laikotarpio pradžioje gavau laišką paštu:
Pirma reakcija buvo natūrali: arba reikia eiti žetonų, arba juos reikia atnešti, bet nuo pirmadienio visi sėdime namuose, yra judėjimo apribojimai, o kas per velnias? Todėl atsakymas buvo gana natūralus:
Ir kaip visi žinome, nuo pirmadienio, balandžio 1 d., prasidėjo gana griežtos saviizoliacijos laikotarpis. Taip pat visi perėjome prie nuotolinio darbo ir mums taip pat reikėjo VPN. Mūsų VPN yra pagrįstas „OpenVPN“, bet modifikuotas, kad palaikytų rusišką kriptografiją ir galimybę dirbti su PKCS#11 prieigos raktais ir PKCS#12 konteineriais. Natūralu, kad paaiškėjo, kad patys nesame pasiruošę dirbti per VPN: daugelis tiesiog neturėjo sertifikatų, o kai kurie – pasibaigusio.
Kaip vyko procesas?
Ir čia į pagalbą ateina įrankis
Kriptoarmpkcs programa leido darbuotojams, kurie yra izoliuoti ir turi žetonus savo namų kompiuteriuose, generuoti sertifikatų užklausas:
Darbuotojai atsiuntė man išsaugotus prašymus el. paštu. Kas nors gali paklausti: – O kaip dėl asmens duomenų, bet jei atidžiai pažiūrėsite, jų prašyme nėra. O pats prašymas saugomas jo parašu.
Gavus sertifikato užklausą, ji importuojama į CAFL63 CA duomenų bazę:
Po to prašymas turi būti atmestas arba patvirtintas. Norėdami apsvarstyti užklausą, turite ją pasirinkti, dešiniuoju pelės mygtuku spustelėti ir išskleidžiamajame meniu pasirinkti „Priimti sprendimą“:
Pati sprendimų priėmimo procedūra yra visiškai skaidri:
Pažymėjimas išduodamas tokiu pačiu būdu, tik meniu punktas vadinamas „Išduoti sertifikatą“:
Norėdami peržiūrėti išduotą sertifikatą, galite naudoti kontekstinį meniu arba tiesiog dukart spustelėti atitinkamą eilutę:
Dabar turinį galima peržiūrėti tiek per openssl (skirtukas OpenSSL tekstas), tiek per CAFL63 programos integruotą peržiūros priemonę (skirtukas Sertifikato tekstas). Pastaruoju atveju galite naudoti kontekstinį meniu, norėdami nukopijuoti sertifikatą tekstiniu formatu, pirmiausia į mainų sritį, o tada į failą.
Čia reikėtų pažymėti, kas pasikeitė CAFL63, palyginti su pirmąja versija? Kalbant apie peržiūros sertifikatus, mes tai jau pažymėjome. Taip pat atsirado galimybė pasirinkti objektų grupę (sertifikatus, užklausas, CRL) ir peržiūrėti juos puslapių režimu (mygtukas „Peržiūrėti pasirinktą...“).
Turbūt svarbiausia, kad projektas būtų laisvai prieinamas
Palyginti su ankstesne CAFL63 programos versija, pasikeitė ne tik pati sąsaja, bet ir, kaip jau minėta, buvo pridėta naujų funkcijų. Pavyzdžiui, puslapis su programos aprašymu buvo pertvarkytas ir pridėtos tiesioginės nuorodos į platinimų atsisiuntimą:
Daugelis klausė ir vis dar klausia, kur gauti GOST openssl. Tradiciškai duodu
Tačiau dabar platinimo rinkiniuose yra bandomoji openssl versija su rusiška kriptografija.
Todėl nustatydami CA galite nurodyti /tmp/lirssl_static, skirtą Linux, arba $::env(TEMP)/lirssl_static.exe, skirtą Windows, kaip naudojamą openssl:
Tokiu atveju turėsite sukurti tuščią lirssl.cnf failą ir aplinkos kintamajame LIRSSL_CONF nurodyti kelią į šį failą:
Sertifikatų nustatymų skirtukas „Plėtiniai“ papildytas laukeliu „Įgaliojimo informacijos prieiga“, kuriame galite nustatyti prieigos taškus prie CA šakninio sertifikato ir OCSP serverio:
Dažnai girdime, kad CA nepriima jų sugeneruotų užklausų (PKCS#10) iš pareiškėjų arba, dar blogiau, priverčia formuoti užklausas generuojant raktų porą vežėjui per kokį nors CSP. Ir jie atsisako generuoti užklausas dėl žetonų su negrąžinamu raktu (tame pačiame RuToken EDS-2.0) per PKCS#11 sąsają. Todėl buvo nuspręsta CAFL63 aplikacijos funkcionalumą papildyti užklausų generavimu naudojant PKCS#11 žetonų kriptografinius mechanizmus. Norėdami įjungti žetonų mechanizmus, buvo naudojamas paketas
Biblioteka, reikalinga darbui su prieigos raktu, nurodyta sertifikato nustatymuose:
Tačiau mes nukrypome nuo pagrindinės užduoties – suteikti darbuotojams sertifikatus dirbti įmonės VPN tinkle saviizoliacijos režimu. Paaiškėjo, kad kai kurie darbuotojai neturi žetonų. Buvo nuspręsta jiems suteikti PKCS#12 apsaugotus konteinerius, nes tai leidžia CAFL63 programa. Pirmiausia tokiems darbuotojams pateikiame PKCS#10 užklausas, nurodant CIPF tipą „OpenSSL“, tada išduodame sertifikatą ir supakuojame į PKCS12. Norėdami tai padaryti, puslapyje „Sertifikatai“ pasirinkite norimą sertifikatą, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Eksportuoti į PKCS#12“:
Norėdami įsitikinti, kad su konteineriu viskas tvarkoje, naudokite kriptoarmpkcs įrankį:
Dabar darbuotojams galite siųsti išduotus pažymėjimus. Kai kuriems žmonėms tiesiog siunčiami failai su sertifikatais (tai yra prieigos raktų savininkai, tie, kurie siuntė užklausas) arba PKCS#12 konteineriai. Antruoju atveju kiekvienam darbuotojui telefonu suteikiamas konteinerio slaptažodis. Šiems darbuotojams tereikia pataisyti VPN konfigūracijos failą, teisingai nurodydami kelią į konteinerį.
Kalbant apie žetonų savininkus, jie taip pat turėjo importuoti savo žetono sertifikatą. Norėdami tai padaryti, jie naudojo tą patį cryptoarmpkcs įrankį:
Dabar yra minimalių VPN konfigūracijos pakeitimų (gali būti pakeista sertifikato etiketė ant prieigos rakto) ir viskas, įmonės VPN tinklas veikia.
Laiminga pabaiga
Ir tada man pasirodė, kodėl žmonės man neša žetonus, ar turėčiau siųsti jiems pasiuntinį. Ir aš siunčiu laišką tokiu turiniu:
Atsakymas ateina kitą dieną:
Iš karto siunčiu nuorodą į cryptoarmpkcs įrankį:
Prieš kurdami sertifikato užklausas, rekomendavau išvalyti žetonus:
Tada prašymai išduoti sertifikatus PKCS#10 formatu buvo išsiųsti el. paštu ir išdaviau sertifikatus, kuriuos išsiunčiau adresu:
Ir tada atėjo maloni akimirka:
Taip pat buvo toks laiškas:
Ir po to gimė šis straipsnis.
Galima rasti CAFL63 programos platinimus Linux ir MS Windows platformoms
čia
Yra kriptoarmpkcs paslaugų, įskaitant „Android“ platformą, platinimai
čia
Šaltinis: www.habr.com