Энэ бүгд хэрхэн эхэлсэн
Өөрийгөө тусгаарлах үе эхлэхэд би шуудангаар захидал хүлээн авсан:
Эхний хариу үйлдэл нь байгалийн байсан: та жетон авах эсвэл авчрах ёстой, гэхдээ Даваа гарагаас хойш бид бүгд гэртээ сууж байна, хөдөлгөөнийг хязгаарласан, тэр хэн бэ? Тиймээс хариулт нь нэлээд байгалийн байсан:
Бидний мэдэж байгаагаар 1-р сарын 11-ний даваа гарагаас эхлэн нэлээд хатуу тусгаарлах үе эхэлсэн. Бид бүгд алсаас ажиллах горимд шилжсэн бөгөөд бидэнд VPN хэрэгтэй болсон. Манай VPN нь OpenVPN дээр суурилсан боловч Оросын криптограф болон PKCS#12 жетон болон PKCS#XNUMX контейнертэй ажиллах чадварыг дэмжих үүднээс өөрчилсөн. Мэдээжийн хэрэг, бид өөрсдөө VPN-ээр ажиллахад тийм ч бэлэн биш байсан нь тодорхой болсон: олонх нь ердөө л гэрчилгээгүй, зарим нь хугацаа нь дууссан байсан.
Үйл явц хэрхэн өрнөсөн бэ?
Энэ бол туслах хэрэгсэл нь аврах ажилд ирдэг газар юм
Cryptoarmpkcs хэрэгсэл нь бие даан тусгаарлагдсан, гэрийн компьютер дээрээ жетонтой ажилчдад гэрчилгээний хүсэлт гаргах боломжийг олгосон:
Ажилчид хадгалсан хүсэлтээ над руу имэйлээр илгээсэн. Хэн нэгэн асууж магадгүй: - Хувийн мэдээлэл яах вэ, гэхдээ сайн ажиглавал энэ нь хүсэлтэд байхгүй байна. Мөн хүсэлт нь өөрөө гарын үсгээр хамгаалагдсан байдаг.
Хүлээн авсны дараа гэрчилгээний хүсэлтийг CAFL63 CA мэдээллийн санд импортолно.
Үүний дараа хүсэлтийг татгалзах эсвэл батлах ёстой. Хүсэлтийг авч үзэхийн тулд та үүнийг сонгоод хулганы баруун товчийг дараад гарч ирэх цэснээс "Шийдвэр гаргах" гэснийг сонгоно уу.
Шийдвэр гаргах үйл явц нь өөрөө туйлын ил тод байдаг:
Гэрчилгээг ижил аргаар олгодог бөгөөд зөвхөн цэсийн зүйлийг "Гэрчилгээ олгох" гэж нэрлэдэг.
Гаргасан гэрчилгээг үзэхийн тулд та контекст цэсийг ашиглаж болно эсвэл харгалзах мөрөнд давхар товшино уу.
Одоо агуулгыг openssl (OpenSSL Text tab) болон CAFL63 програмын суулгасан харагч (Сертификат Текст таб) ашиглан үзэх боломжтой. Сүүлчийн тохиолдолд та контекст цэсийг ашиглан гэрчилгээг текст хэлбэрээр эхлээд санах ой руу, дараа нь файл руу хуулж болно.
Эхний хувилбартай харьцуулахад CAFL63-д юу өөрчлөгдсөнийг энд тэмдэглэх нь зүйтэй болов уу? Сертификатуудыг үзэхийн тулд бид үүнийг аль хэдийн тэмдэглэсэн. Мөн объектуудын бүлгийг (сертификат, хүсэлт, CRL) сонгож, тэдгээрийг пейжерийн горимд үзэх боломжтой болсон ("Сонгосон харах ..." товч).
Магадгүй хамгийн чухал зүйл бол төслийг чөлөөтэй ашиглах боломжтой байх явдал юм
CAFL63 програмын өмнөх хувилбартай харьцуулахад интерфэйс өөрөө өөрчлөгдөөд зогсохгүй, аль хэдийн дурьдсанчлан шинэ боломжууд нэмэгдсэн. Жишээлбэл, програмын тайлбар бүхий хуудсыг дахин боловсруулж, түгээлтүүдийг татаж авах шууд холбоосыг нэмсэн:
ГОСТ openssl-ийг хаанаас авах вэ гэж олон хүн асуусан, одоо ч асуусаар байна. Уламжлал ёсоор би өгдөг
Харин одоо түгээлтийн иж бүрдэлд Оросын криптограф бүхий openssl-ийн туршилтын хувилбар багтсан байна.
Тиймээс, CA-г тохируулахдаа Linux-д зориулсан /tmp/lirssl_static эсвэл Windows-д зориулсан $::env(TEMP)/lirssl_static.exe файлуудыг openssl-г ашиглаж болно:
Энэ тохиолдолд та хоосон lirssl.cnf файл үүсгэж, LIRSSL_CONF орчны хувьсагчд энэ файл руу хүрэх замыг зааж өгөх хэрэгтэй болно:
Сертификат тохиргоон дахь "Өргөтгөлүүд" табыг "Эрх мэдлийн мэдээллийн хандалт" талбараар нэмж оруулсан бөгөөд та CA эх сертификат болон OCSP сервер рүү нэвтрэх цэгүүдийг тохируулах боломжтой.
CA нь өргөдөл гаргагчдаас ирүүлсэн хүсэлтийг (PKCS#10) хүлээж авдаггүй, эсвэл бүр муугаар хэлбэл, зарим CSP-ээр дамжуулан тээвэрлэгч дээр түлхүүр хос үүсгэн хүсэлт гаргахад хүргэдэг гэж бид байнга сонсдог. Мөн тэд PKCS#2.0 интерфэйсээр дамжуулан олж авах боломжгүй түлхүүрээр (ижил RuToken EDS-11 дээр) жетон дээр хүсэлт гаргахаас татгалздаг. Тиймээс PKCS#63 жетонуудын криптограф механизмыг ашиглан CAFL11 програмын функцэд хүсэлт үүсгэхийг нэмэхээр шийдсэн. Токен механизмыг идэвхжүүлэхийн тулд багцыг ашигласан
Токентой ажиллахад шаардагдах номын санг гэрчилгээний тохиргоонд зааж өгсөн болно:
Гэхдээ бид ажилчдад өөрийгөө тусгаарлах горимд корпорацийн VPN сүлжээнд ажиллах гэрчилгээ олгох үндсэн ажлаас хазайсан. Зарим ажилчид жетонгүй болох нь тогтоогдсон. CAFL12 програм үүнийг зөвшөөрдөг тул тэднийг PKCS#63 хамгаалалттай саваар хангахаар шийдсэн. Эхлээд ийм ажилчдын хувьд бид CIPF төрлийн "OpenSSL"-ийг харуулсан PKCS#10 хүсэлт гаргаж, дараа нь гэрчилгээ гаргаж, PKCS12-д багцлана. Үүнийг хийхийн тулд "Сертификатууд" хуудаснаас хүссэн гэрчилгээгээ сонгоод хулганы баруун товчийг дараад "PKCS#12 руу экспортлох" гэснийг сонгоно уу:
Контейнертэй бүх зүйл эмх цэгцтэй байгаа эсэхийг шалгахын тулд cryptoarmpkcs хэрэгслийг ашиглана уу:
Та одоо ажилчдад олгосон гэрчилгээг илгээх боломжтой. Зарим хүмүүст зүгээр л гэрчилгээтэй файлуудыг илгээдэг (эдгээр нь токен эзэмшигчид, хүсэлт илгээсэн хүмүүс), эсвэл PKCS # 12 контейнер. Хоёр дахь тохиолдолд ажилтан бүрт утсаар чингэлэгт нууц үг өгнө. Эдгээр ажилтнууд чингэлэгт хүрэх замыг зөв зааж өгснөөр VPN тохиргооны файлыг засах хэрэгтэй.
Токен эзэмшигчдийн хувьд тэд токендоо гэрчилгээ импортлох шаардлагатай байв. Үүнийг хийхийн тулд тэд ижил cryptoarmpkcs хэрэгслийг ашигласан:
Одоо VPN тохиргоонд хамгийн бага өөрчлөлт орсон байна (токен дээрх гэрчилгээний шошго өөрчлөгдсөн байж магадгүй) ба энд л байна, корпорацийн VPN сүлжээ хэвийн ажиллаж байна.
Аз жаргалтай төгсгөл
Тэгээд хүмүүс яагаад надад жетон авчирч өгөх юм бол, эсвэл би тэдэнд элч илгээх ёстой юм бол гэж бодогдов. Тэгээд би дараах агуулгатай захидал илгээж байна.
Хариулт нь маргааш нь ирнэ:
Би тэр даруй cryptoarmpkcs хэрэгсэл рүү линк илгээж байна:
Сертификат хүсэлт үүсгэхийн өмнө би тэдгээрт токенуудыг арилгахыг зөвлөж байна:
Дараа нь PKCS#10 форматтай гэрчилгээ авах хүсэлтийг имэйлээр илгээсэн бөгөөд би гэрчилгээ олгосон бөгөөд би үүнийг дараах хаяг руу илгээсэн:
Тэгээд таатай мөч ирэв:
Мөн ийм захидал байсан:
Үүний дараа энэ нийтлэл төрсөн.
Линукс болон MS Windows платформд зориулсан CAFL63 програмын тархалтыг олж болно
энд
Android платформыг оролцуулаад cryptoarmpkcs хэрэгслийн түгээлтүүд байрладаг
энд
Эх сурвалж: www.habr.com