Kif beda dan kollu
Fil-bidu nett tal-perjodu ta 'awto-iżolament, irċevejt ittra bil-posta:
L-ewwel reazzjoni kienet naturali: jew trid tmur għat-tokens, jew trid tinġieb, iżda minn nhar it-Tnejn ilna lkoll bilqiegħda d-dar, hemm restrizzjonijiet fuq il-moviment, u dak min hu? Għalhekk, it-tweġiba kienet pjuttost naturali:
U kif nafu lkoll, mit-Tnejn, 1 ta’ April, beda perjodu ta’ awto-iżolament pjuttost strett. Aħna lkoll qalbu wkoll għal xogħol remot u kellna bżonn ukoll VPN. Il-VPN tagħna hija bbażata fuq OpenVPN, iżda modifikata biex tappoġġja l-kriptografija Russa u l-abbiltà li taħdem ma 'tokens PKCS#11 u kontenituri PKCS#12. Naturalment, irriżulta li aħna stess ma konniex lesti biex naħdmu permezz ta 'VPN: ħafna sempliċement ma kellhomx ċertifikati, u xi wħud kienu skadew.
Kif mar il-proċess?
U dan huwa fejn l-utilità tiġi għas-salvataġġ
L-utilità cryptoarmpkcs ippermettiet lill-impjegati li huma f'iżolament infushom u li għandhom tokens fuq il-kompjuters tad-dar tagħhom biex jiġġeneraw talbiet għal ċertifikati:
L-impjegati bagħtu talbiet salvati permezz ta' email lili. Xi ħadd jista' jistaqsi: - Xi ngħidu dwar id-dejta personali, imma jekk tħares mill-qrib, mhux fit-talba. U t-talba nnifisha hija protetta mill-firma tagħha.
Mal-wasla, it-talba taċ-ċertifikat tiġi importata fid-database CAFL63 CA:
Wara dan it-talba trid jew tiġi miċħuda jew approvata. Biex tikkunsidra talba, trid tagħżelha, ikklikkja bil-lemin u agħżel "Agħmel deċiżjoni" mill-menu drop-down:
Il-proċedura tat-teħid tad-deċiżjonijiet nnifisha hija assolutament trasparenti:
Ċertifikat jinħareġ bl-istess mod, l-oġġett tal-menu biss jissejjaħ "Ħruġ ċertifikat":
Biex tara ċ-ċertifikat maħruġ, tista' tuża l-menu tal-kuntest jew sempliċement ikklikkja darbtejn fuq il-linja korrispondenti:
Issa l-kontenut jista 'jara kemm permezz ta' openssl (tab tat-Test OpenSSL) kif ukoll mit-telespettatur integrat tal-applikazzjoni CAFL63 (tab tat-Test taċ-Ċertifikat). F'dan l-aħħar każ, tista 'tuża l-menu tal-kuntest biex tikkopja ċ-ċertifikat f'forma ta' test, l-ewwel fil-clipboard, u mbagħad f'fajl.
Hawnhekk għandu jiġi nnotat x'inbidel f'CAFL63 meta mqabbel mal-ewwel verżjoni? Fir-rigward taċ-ċertifikati tal-wiri, diġà nnutajna dan. Sar possibbli wkoll li tagħżel grupp ta’ oġġetti (ċertifikati, talbiet, CRLs) u tarahom fil-modalità ta’ paging (il-buttuna “Ara magħżula ...”).
Probabbilment l-iktar ħaġa importanti hija li l-proġett ikun disponibbli liberament fuq
Meta mqabbel mal-verżjoni preċedenti tal-applikazzjoni CAFL63, mhux biss l-interface nnifisha nbidlet, iżda wkoll, kif diġà nnutat, ġew miżjuda karatteristiċi ġodda. Pereżempju, il-paġna bid-deskrizzjoni tal-applikazzjoni ġiet imfassla mill-ġdid u ġew miżjuda links diretti għat-tniżżil tad-distribuzzjonijiet:
Ħafna staqsew u għadhom jistaqsu minn fejn jiksbu GOST openssl. Tradizzjonalment nagħti
Iżda issa l-kits tad-distribuzzjoni jinkludu verżjoni tat-test ta 'openssl bil-kriptografija Russa.
Għalhekk, meta twaqqaf is-CA, tista' tispeċifika jew /tmp/lirssl_static għal Linux jew $::env(TEMP)/lirssl_static.exe għall-Windows bħala l-openssl użat:
F'dan il-każ, ikollok bżonn toħloq fajl lirssl.cnf vojt u tispeċifika t-triq għal dan il-fajl fil-varjabbli ambjentali LIRSSL_CONF:
It-tab "Estensjonijiet" fis-settings taċ-ċertifikat ġiet issupplimentata bil-qasam "Aċċess għall-Informazzjoni tal-Awtorità", fejn tista' tissettja punti ta' aċċess għaċ-ċertifikat root CA u għas-server OCSP:
Ħafna drabi nisimgħu li l-CAs ma jaċċettawx talbiet iġġenerati minnhom (PKCS#10) mill-applikanti jew, agħar minn hekk, jisforzaw il-formazzjoni ta 'talbiet bil-ġenerazzjoni ta' par ta 'ċavetta fuq it-trasportatur permezz ta' xi CSP. U jirrifjutaw li jiġġeneraw talbiet fuq tokens b'ċavetta li ma tistax tiġi rkuprata (fuq l-istess RuToken EDS-2.0) permezz tal-interface PKCS#11. Għalhekk, ġie deċiż li tiżdied il-ġenerazzjoni tat-talba mal-funzjonalità tal-applikazzjoni CAFL63 bl-użu tal-mekkaniżmi kriptografiċi tat-tokens PKCS#11. Biex jiġu attivati l-mekkaniżmi tat-tokens, intuża l-pakkett
Il-librerija meħtieġa biex taħdem bit-token hija speċifikata fis-settings għaċ-ċertifikat:
Iżda aħna ddevjajna mill-kompitu ewlieni li nipprovdu lill-impjegati ċertifikati biex jaħdmu f'netwerk korporattiv VPN fil-modalità ta 'awto-iżolament. Irriżulta li xi impjegati m'għandhomx tokens. Ġie deċiż li jiġu pprovduti kontenituri protetti PKCS#12, peress li l-applikazzjoni CAFL63 tippermetti dan. L-ewwel, għal impjegati bħal dawn nagħmlu talbiet PKCS#10 li jindikaw it-tip CIPF "OpenSSL", imbagħad noħorġu ċertifikat u nippakkjawh f'PKCS12. Biex tagħmel dan, fuq il-paġna "Ċertifikati", agħżel iċ-ċertifikat mixtieq, ikklikkja bil-lemin u agħżel "Esportazzjoni għal PKCS#12":
Biex niżguraw li kollox huwa fl-ordni mal-kontenitur, ejja nużaw l-utilità cryptoarmpkcs:
Issa tista' tibgħat ċertifikati maħruġa lill-impjegati. Xi nies sempliċiment jintbagħtu fajls b'ċertifikati (dawn huma sidien tat-tokens, dawk li bagħtu talbiet), jew kontenituri PKCS#12. Fit-tieni każ, kull impjegat jingħata l-password għall-kontenitur bit-telefon. Dawn l-impjegati jeħtieġ biss li jikkoreġu l-fajl tal-konfigurazzjoni VPN billi jispeċifikaw b'mod korrett il-mogħdija għall-kontenitur.
Fir-rigward tas-sidien tat-tokens, kellhom bżonn ukoll li jimportaw ċertifikat għat-token tagħhom. Biex jagħmlu dan, użaw l-istess utilità cryptoarmpkcs:
Issa hemm bidliet minimi fil-konfigurazzjoni tal-VPN (it-tikketta taċ-ċertifikat fuq it-token setgħet inbidlet) u dan hu, in-netwerk korporattiv tal-VPN qiegħed jaħdem.
Tmiem ferħan
U mbagħad ħarġet fuqi, għaliex in-nies iġibu tokens lili jew għandi nibgħat messaġġier għalihom. U nibgħat ittra bil-kontenut li ġej:
It-tweġiba tiġi l-għada:
Immedjatament nibgħat link għall-utilità cryptoarmpkcs:
Qabel ma ħoloq talbiet għal ċertifikati, rrakkomandajt li jikklerjaw it-tokens:
Imbagħad intbagħtu talbiet għal ċertifikati fil-format PKCS#10 bl-email u ħriġt ċertifikati, li bgħatt lil:
U mbagħad wasal mument pjaċevoli:
U kien hemm ukoll din l-ittra:
U wara dan l-artiklu twieled.
Jistgħu jinstabu distribuzzjonijiet tal-applikazzjoni CAFL63 għal pjattaformi Linux u MS Windows
hawn
Id-distribuzzjonijiet tal-utilità cryptoarmpkcs, inkluża l-pjattaforma Android, jinsabu
hawn
Sors: www.habr.com