KÄ tas viss sÄkÄs
PaÅ”Ä paÅ”izolÄcijas perioda sÄkumÄ saÅÄmu vÄstuli pa pastu:
PirmÄ reakcija bija likumsakarÄ«ga: vai nu jÄiet pÄc žetoniem, vai arÄ« tie jÄatnes, bet kopÅ” pirmdienas visi sÄžam mÄjÄs, ir pÄrvietoÅ”anÄs ierobežojumi, un kurÅ” pie velna tas ir? TÄpÄc atbilde bija diezgan dabiska:
Un, kÄ mÄs visi zinÄm, no pirmdienas, 1. aprīļa, sÄkÄs diezgan stingras paÅ”izolÄcijas periods. MÄs arÄ« visi pÄrgÄjÄm uz attÄlo darbu, un mums bija nepiecieÅ”ams arÄ« VPN. MÅ«su VPN pamatÄ ir OpenVPN, taÄu tas ir pÄrveidots, lai atbalstÄ«tu krievu kriptogrÄfiju un spÄju strÄdÄt ar PKCS#11 marÄ·ieriem un PKCS#12 konteineriem. Protams, izrÄdÄ«jÄs, ka mÄs paÅ”i nebijÄm Ä«sti gatavi strÄdÄt caur VPN: daudziem vienkÄrÅ”i nebija sertifikÄtu, bet dažiem bija beidzies derÄ«guma termiÅÅ”.
KÄ noritÄja process?
Un Å”eit palÄ«gÄ nÄk utilÄ«ta
Kriptoarmpkcs utilÄ«ta ļÄva darbiniekiem, kuri atrodas paÅ”izolÄcijÄ un kuru mÄjas datoros ir marÄ·ieri, Ä£enerÄt sertifikÄtu pieprasÄ«jumus:
Darbinieki man pa e-pastu nosÅ«tÄ«ja saglabÄtos pieprasÄ«jumus. KÄds var jautÄt: - KÄ ar personas datiem, bet, ja paskatÄs vÄrÄ«gi, tie nav iekļauti pieprasÄ«jumÄ. Un pats pieprasÄ«jums ir aizsargÄts ar tÄ parakstu.
PÄc saÅemÅ”anas sertifikÄta pieprasÄ«jums tiek importÄts CAFL63 CA datubÄzÄ:
PÄc tam pieprasÄ«jums ir jÄnoraida vai jÄapstiprina. Lai izskatÄ«tu pieprasÄ«jumu, jums tas ir jÄatlasa, ar peles labo pogu noklikŔķiniet un nolaižamajÄ izvÄlnÄ atlasiet āPieÅemt lÄmumuā.
Pati lÄmumu pieÅemÅ”anas procedÅ«ra ir absolÅ«ti caurspÄ«dÄ«ga:
SertifikÄts tiek izsniegts tÄdÄ paÅ”Ä veidÄ, tikai izvÄlnes vienums saucas āIzsniegt sertifikÄtuā:
Lai skatÄ«tu izsniegto sertifikÄtu, varat izmantot konteksta izvÄlni vai vienkÄrÅ”i veikt dubultklikŔķi uz atbilstoÅ”Äs rindas:
Tagad saturu var skatÄ«t gan caur openssl (cilne OpenSSL Text), gan lietojumprogrammas CAFL63 iebÅ«vÄtajÄ skatÄ«tÄjÄ (cilne Certificate Text). PÄdÄjÄ gadÄ«jumÄ varat izmantot konteksta izvÄlni, lai kopÄtu sertifikÄtu teksta formÄ, vispirms starpliktuvÄ un pÄc tam failÄ.
Å eit jÄatzÄ«mÄ, kas ir mainÄ«jies CAFL63 salÄ«dzinÄjumÄ ar pirmo versiju? Kas attiecas uz sertifikÄtu apskati, mÄs to jau esam atzÄ«mÄjuÅ”i. Ir kļuvis iespÄjams arÄ« atlasÄ«t objektu grupu (sertifikÄtus, pieprasÄ«jumus, CRL) un skatÄ«t tos peidžeru režīmÄ (poga "SkatÄ«t atlasÄ«tos ...").
IespÄjams, vissvarÄ«gÄkais ir tas, ka projekts ir brÄ«vi pieejams vietnÄ
SalÄ«dzinot ar iepriekÅ”Äjo lietojumprogrammas CAFL63 versiju, ir mainÄ«jies ne tikai pats interfeiss, bet arÄ«, kÄ jau minÄts, ir pievienotas jaunas funkcijas. PiemÄram, lapa ar lietojumprogrammas aprakstu ir pÄrveidota un ir pievienotas tieÅ”Äs saites uz izplatÄ«jumu lejupielÄdi:
Daudzi jautÄja un joprojÄm jautÄ, kur dabÅ«t GOST openssl. TradicionÄli es dodu
Bet tagad izplatÄ«Å”anas komplektos ir iekļauta openssl testa versija ar krievu kriptogrÄfiju.
TÄpÄc, iestatot CA, kÄ izmantoto openssl varat norÄdÄ«t /tmp/lirssl_static operÄtÄjsistÄmai Linux vai $::env(TEMP)/lirssl_static.exe operÄtÄjsistÄmai Windows:
Å ajÄ gadÄ«jumÄ jums bÅ«s jÄizveido tukÅ”s lirssl.cnf fails un jÄnorÄda ceļŔ uz Å”o failu vides mainÄ«gajÄ LIRSSL_CONF:
SertifikÄtu iestatÄ«jumu cilne āPaplaÅ”inÄjumiā ir papildinÄta ar lauku āIestÄdes informÄcijas piekļuveā, kurÄ var iestatÄ«t piekļuves punktus CA saknes sertifikÄtam un OCSP serverim:
MÄs bieži dzirdam, ka CA nepieÅem to Ä£enerÄtus pieprasÄ«jumus (PKCS#10) no pieteikuma iesniedzÄjiem vai, vÄl ļaunÄk, piespiež pÄrvadÄtÄjam izveidot pieprasÄ«jumus, Ä£enerÄjot atslÄgu pÄri, izmantojot kÄdu CSP. Un viÅi atsakÄs Ä£enerÄt pieprasÄ«jumus marÄ·ieriem ar neatgÅ«stamu atslÄgu (tajÄ paÅ”Ä RuToken EDS-2.0), izmantojot PKCS#11 saskarni. TÄpÄc tika nolemts CAFL63 aplikÄcijas funkcionalitÄtei pievienot pieprasÄ«jumu Ä£enerÄÅ”anu, izmantojot PKCS#11 marÄ·ieru kriptogrÄfiskos mehÄnismus. Lai iespÄjotu marÄ·iera mehÄnismus, tika izmantota pakotne
BibliotÄka, kas nepiecieÅ”ama darbam ar marÄ·ieri, ir norÄdÄ«ta sertifikÄta iestatÄ«jumos:
Bet esam novirzÄ«juÅ”ies no galvenÄ uzdevuma nodroÅ”inÄt darbiniekus ar sertifikÄtiem darbam korporatÄ«vajÄ VPN tÄ«klÄ paÅ”izolÄcijas režīmÄ. IzrÄdÄ«jÄs, ka dažiem darbiniekiem nav žetonu. Tika nolemts nodroÅ”inÄt tos ar PKCS#12 aizsargÄtiem konteineriem, jo āālietojumprogramma CAFL63 to atļauj. PirmkÄrt, Å”Ädiem darbiniekiem veicam PKCS#10 pieprasÄ«jumus, norÄdot CIPF tipu āOpenSSLā, pÄc tam izsniedzam sertifikÄtu un iepakojam to PKCS12. Lai to izdarÄ«tu, lapÄ āSertifikÄtiā atlasiet vajadzÄ«go sertifikÄtu, ar peles labo pogu noklikŔķiniet un atlasiet āEksportÄt uz PKCS#12ā:
Lai pÄrliecinÄtos, ka ar konteineru viss ir kÄrtÄ«bÄ, izmantosim utilÄ«tu cryptoarmpkcs:
Tagad darbiniekiem var nosÅ«tÄ«t izsniegtos sertifikÄtus. Dažiem cilvÄkiem vienkÄrÅ”i tiek nosÅ«tÄ«ti faili ar sertifikÄtiem (tie ir pilnvaru Ä«paÅ”nieki, tie, kas nosÅ«tÄ«ja pieprasÄ«jumus) vai PKCS#12 konteineri. OtrajÄ gadÄ«jumÄ katram darbiniekam pa tÄlruni tiek izsniegta konteinera parole. Å iem darbiniekiem vienkÄrÅ”i jÄlabo VPN konfigurÄcijas fails, pareizi norÄdot ceļu uz konteineru.
Kas attiecas uz marÄ·iera Ä«paÅ”niekiem, viÅiem bija arÄ« jÄimportÄ sava marÄ·iera sertifikÄts. Lai to izdarÄ«tu, viÅi izmantoja to paÅ”u kriptoarmpkcs utilÄ«tu:
Tagad VPN konfigurÄcijÄ ir veiktas minimÄlas izmaiÅas (var bÅ«t mainÄ«jusies sertifikÄta etiÄ·ete uz marÄ·iera), un tas ir viss, uzÅÄmuma VPN tÄ«kls ir darba kÄrtÄ«bÄ.
Laimīgas beigas
Un tad es sapratu, kÄpÄc cilvÄki man nes žetonus vai arÄ« man jÄsÅ«ta sÅ«tnis pÄc tiem. Un es nosÅ«tu vÄstuli ar Å”Ädu saturu:
Atbilde nÄk nÄkamajÄ dienÄ:
Es nekavÄjoties nosÅ«tu saiti uz utilÄ«tu cryptoarmpkcs:
Pirms sertifikÄtu pieprasÄ«jumu izveides es ieteicu viÅiem notÄ«rÄ«t marÄ·ierus:
PÄc tam pa e-pastu tika nosÅ«tÄ«ti sertifikÄtu pieprasÄ«jumi PKCS#10 formÄtÄ, un es izsniedzu sertifikÄtus, kurus nosÅ«tÄ«ju uz:
Un tad pienÄca patÄ«kams brÄ«dis:
Un tur bija arÄ« Ŕī vÄstule:
Un pÄc tam radÄs Å”is raksts.
AplikÄcijas CAFL63 izplatÄ«bas Linux un MS Windows platformÄm var atrast
Ŕeit
Atrodas utilīta cryptoarmpkcs, tostarp Android platformas, izplatīŔana
Ŕeit
Avots: www.habr.com