Publiskās atslēgas infrastruktūra. Sertifikātu izsniegšana pašizolācijas laikā

Kā tas viss sākās

Pašā pašizolācijas perioda sākumā saņēmu vēstuli pa pastu:

Pirmā reakcija bija likumsakarīga: vai nu jāiet pēc žetoniem, vai arī tie jāatnes, bet kopš pirmdienas visi sēžam mājās, ir pārvietošanās ierobežojumi, un kurš pie velna tas ir? Tāpēc atbilde bija diezgan dabiska:

Un, kā mēs visi zinām, no pirmdienas, 1. aprīļa, sākās diezgan stingras pašizolācijas periods. Mēs arī visi pārgājām uz attālo darbu, un mums bija nepieciešams arī VPN. Mūsu VPN pamatā ir OpenVPN, taču tas ir pārveidots, lai atbalstītu krievu kriptogrāfiju un spēju strādāt ar PKCS#11 marķieriem un PKCS#12 konteineriem. Protams, izrādījās, ka mēs paši nebijām īsti gatavi strādāt caur VPN: daudziem vienkārši nebija sertifikātu, bet dažiem bija beidzies derīguma termiņš.

Kā noritēja process?

Un šeit palīgā nāk utilīta kriptoarmpkcs un pieteikums CAFL63 (pārbaudes centrs).

Kriptoarmpkcs utilīta ļāva darbiniekiem, kuri atrodas pašizolācijā un kuru mājas datoros ir marķieri, ģenerēt sertifikātu pieprasījumus:

Darbinieki man pa e-pastu nosūtīja saglabātos pieprasījumus. Kāds var jautāt: - Kā ar personas datiem, bet, ja paskatās vērīgi, tie nav iekļauti pieprasījumā. Un pats pieprasījums ir aizsargāts ar tā parakstu.

Pēc saņemšanas sertifikāta pieprasījums tiek importēts CAFL63 CA datubāzē:

Pēc tam pieprasījums ir jānoraida vai jāapstiprina. Lai izskatītu pieprasījumu, jums tas ir jāatlasa, ar peles labo pogu noklikšķiniet un nolaižamajā izvēlnē atlasiet “Pieņemt lēmumu”.

Pati lēmumu pieņemšanas procedūra ir absolūti caurspīdīga:

Sertifikāts tiek izsniegts tādā pašā veidā, tikai izvēlnes vienums saucas “Izsniegt sertifikātu”:

Lai skatītu izsniegto sertifikātu, varat izmantot konteksta izvēlni vai vienkārši veikt dubultklikšķi uz atbilstošās rindas:

Tagad saturu var skatīt gan caur openssl (cilne OpenSSL Text), gan lietojumprogrammas CAFL63 iebūvētajā skatītājā (cilne Certificate Text). Pēdējā gadījumā varat izmantot konteksta izvēlni, lai kopētu sertifikātu teksta formā, vispirms starpliktuvē un pēc tam failā.

Šeit jāatzīmē, kas ir mainījies CAFL63 salīdzinājumā ar pirmo versiju? Kas attiecas uz sertifikātu apskati, mēs to jau esam atzīmējuši. Ir kļuvis iespējams arī atlasīt objektu grupu (sertifikātus, pieprasījumus, CRL) un skatīt tos peidžeru režīmā (poga "Skatīt atlasītos ...").

Iespējams, vissvarīgākais ir tas, ka projekts ir brīvi pieejams vietnē github. Papildus Linux distribūcijām ir sagatavoti izplatījumi operētājsistēmai Windows un OS X. Izplatīšana Android tiks izlaista nedaudz vēlāk.

Salīdzinot ar iepriekšējo lietojumprogrammas CAFL63 versiju, ir mainījies ne tikai pats interfeiss, bet arī, kā jau minēts, ir pievienotas jaunas funkcijas. Piemēram, lapa ar lietojumprogrammas aprakstu ir pārveidota un ir pievienotas tiešās saites uz izplatījumu lejupielādi:

Daudzi jautāja un joprojām jautā, kur dabūt GOST openssl. Tradicionāli es dodu saite, laipni sniegta garex. Ir rakstīts, kā izmantot šo openssl šeit.
Bet tagad izplatīšanas komplektos ir iekļauta openssl testa versija ar krievu kriptogrāfiju.

Tāpēc, iestatot CA, kā izmantoto openssl varat norādīt /tmp/lirssl_static operētājsistēmai Linux vai $::env(TEMP)/lirssl_static.exe operētājsistēmai Windows:

Šajā gadījumā jums būs jāizveido tukšs lirssl.cnf fails un jānorāda ceļš uz šo failu vides mainīgajā LIRSSL_CONF:

Sertifikātu iestatījumu cilne “Paplašinājumi” ir papildināta ar lauku “Iestādes informācijas piekļuve”, kurā var iestatīt piekļuves punktus CA saknes sertifikātam un OCSP serverim:

Mēs bieži dzirdam, ka CA nepieņem to ģenerētus pieprasījumus (PKCS#10) no pieteikuma iesniedzējiem vai, vēl ļaunāk, piespiež pārvadātājam izveidot pieprasījumus, ģenerējot atslēgu pāri, izmantojot kādu CSP. Un viņi atsakās ģenerēt pieprasījumus marķieriem ar neatgūstamu atslēgu (tajā pašā RuToken EDS-2.0), izmantojot PKCS#11 saskarni. Tāpēc tika nolemts CAFL63 aplikācijas funkcionalitātei pievienot pieprasījumu ģenerēšanu, izmantojot PKCS#11 marķieru kriptogrāfiskos mehānismus. Lai iespējotu marķiera mehānismus, tika izmantota pakotne TclPKCS11. Veidojot pieprasījumu CA (lapa “Sertifikātu pieprasījumi”, funkcija “Izveidot pieprasījumu/CSR”), tagad varat izvēlēties, kā tiks ģenerēts atslēgu pāris (izmantojot openssl vai marķieri) un pats pieprasījums tiks parakstīts:

Bibliotēka, kas nepieciešama darbam ar marķieri, ir norādīta sertifikāta iestatījumos:

Bet esam novirzījušies no galvenā uzdevuma nodrošināt darbiniekus ar sertifikātiem darbam korporatīvajā VPN tīklā pašizolācijas režīmā. Izrādījās, ka dažiem darbiniekiem nav žetonu. Tika nolemts nodrošināt tos ar PKCS#12 aizsargātiem konteineriem, jo ​​lietojumprogramma CAFL63 to atļauj. Pirmkārt, šādiem darbiniekiem veicam PKCS#10 pieprasījumus, norādot CIPF tipu “OpenSSL”, pēc tam izsniedzam sertifikātu un iepakojam to PKCS12. Lai to izdarītu, lapā “Sertifikāti” atlasiet vajadzīgo sertifikātu, ar peles labo pogu noklikšķiniet un atlasiet “Eksportēt uz PKCS#12”:

Lai pārliecinātos, ka ar konteineru viss ir kārtībā, izmantosim utilītu cryptoarmpkcs:

Tagad darbiniekiem var nosūtīt izsniegtos sertifikātus. Dažiem cilvēkiem vienkārši tiek nosūtīti faili ar sertifikātiem (tie ir pilnvaru īpašnieki, tie, kas nosūtīja pieprasījumus) vai PKCS#12 konteineri. Otrajā gadījumā katram darbiniekam pa tālruni tiek izsniegta konteinera parole. Šiem darbiniekiem vienkārši jālabo VPN konfigurācijas fails, pareizi norādot ceļu uz konteineru.

Kas attiecas uz marķiera īpašniekiem, viņiem bija arī jāimportē sava marķiera sertifikāts. Lai to izdarītu, viņi izmantoja to pašu kriptoarmpkcs utilītu:

Tagad VPN konfigurācijā ir veiktas minimālas izmaiņas (var būt mainījusies sertifikāta etiķete uz marķiera), un tas ir viss, uzņēmuma VPN tīkls ir darba kārtībā.

Laimīgas beigas

Un tad es sapratu, kāpēc cilvēki man nes žetonus vai arī man jāsūta sūtnis pēc tiem. Un es nosūtu vēstuli ar šādu saturu:

Atbilde nāk nākamajā dienā:

Es nekavējoties nosūtu saiti uz utilītu cryptoarmpkcs:

Pirms sertifikātu pieprasījumu izveides es ieteicu viņiem notīrīt marķierus:

Pēc tam pa e-pastu tika nosūtīti sertifikātu pieprasījumi PKCS#10 formātā, un es izsniedzu sertifikātus, kurus nosūtīju uz:

Un tad pienāca patīkams brīdis:

Un tur bija arī šī vēstule:

Un pēc tam radās šis raksts.

Aplikācijas CAFL63 izplatības Linux un MS Windows platformām var atrast

šeit

• Linux32
• Linux64
• WIN32
• WIN64
• OS X

Atrodas utilīta cryptoarmpkcs, tostarp Android platformas, izplatīšana

šeit

• Linux32
• Linux64
• WIN32
• WIN64
• OS X
• android

Avots: www.habr.com