دا څنګه پیل شو
د ځان انزوا دورې په پیل کې ، ما په بریښنالیک کې یو لیک ترلاسه کړ:
لومړی عکس العمل طبیعي و: تاسو باید د ټکنونو لپاره لاړشئ ، یا باید راوړل شي ، مګر د دوشنبې راهیسې موږ ټول په کور کې ناست یو ، په حرکت باندې محدودیتونه شتون لري ، او دا څوک دی؟ له همدې امله، ځواب خورا طبیعي و:
او لکه څنګه چې موږ ټول پوهیږو، دوشنبه، د اپریل لومړۍ نیټه، د ځان جلا کولو د یوې سختې دورې پیل و. موږ هم ټول لرې پرتو کارونو ته مخه کړې، او موږ هم VPN ته اړتیا درلوده. زموږ VPN په OpenVPN، مګر د روسیې د کریپټوګرافۍ ملاتړ او د PKCS#11 ټوکنونو او PKCS#12 کانټینرونو سره د کار کولو وړتیا لپاره تعدیل شوی. په طبیعي ډول، دا معلومه شوه چې موږ پخپله د VPN له لارې کار کولو ته چمتو نه وو: ډیری یې په ساده ډول سندونه نه درلودل، او ځینو یې تاریخ تېر شوي وو.
پروسه څنګه پرمخ لاړه
او دا هغه ځای دی چې افادیت د ژغورنې لپاره راځي او غوښتنلیک (د تایید مرکز).
د cryptoarmpkcs افادیت هغه کارمندانو ته اجازه ورکړه چې په ځان انزوا کې وي او د دوی په کور کمپیوټرونو کې ټیکونه ولري ترڅو د سند غوښتنې رامینځته کړي:
کارمندانو ما ته د بریښنالیک له لارې خوندي شوي غوښتنې لیږلي. یو څوک ممکن پوښتنه وکړي: - د شخصي معلوماتو په اړه څه ، مګر که تاسو له نږدې وګورئ ، دا په غوښتنه کې ندي. او غوښتنه پخپله د خپل لاسلیک لخوا ساتل کیږي.
په رسیدلو سره، د سند غوښتنه د CAFL63 ډیټابیس ته واردیږي:
له هغې وروسته غوښتنه باید یا رد یا تصویب شي. د یوې غوښتنې په پام کې نیولو لپاره، تاسو اړتیا لرئ چې دا غوره کړئ، ښیې کلیک وکړئ او د ډراپ-ډاون مینو څخه "پریکړه وکړئ" غوره کړئ:
د تصمیم نیولو طرزالعمل پخپله په بشپړ ډول شفاف دی:
یو سند په ورته ډول صادر شوی ، یوازې د مینو توکي د "مسلې سند" په نوم یادیږي:
د جاري شوي سند لیدو لپاره ، تاسو کولی شئ د شرایطو مینو وکاروئ یا په ورته کرښه دوه ځله کلیک وکړئ:
اوس مینځپانګه دواړه د Openssl (OpenSSL متن ټب) او د CAFL63 غوښتنلیک جوړ شوي لیدونکي (د سند متن ټب) له لارې لیدل کیدی شي. په وروستي حالت کې، تاسو کولی شئ د متن په بڼه سند کاپي کولو لپاره د شرایطو مینو وکاروئ، لومړی کلپ بورډ ته، او بیا فایل ته.
دلته باید یادونه وشي چې په CAFL63 کې د لومړۍ نسخې په پرتله څه بدلون راغلی؟ لکه څنګه چې د سندونو لیدو لپاره ، موږ دمخه دا یادونه کړې. دا هم ممکنه شوې چې د شیانو یوه ډله غوره کړئ (سندونه، غوښتنې، CRLs) او د پاڼې کولو حالت کې یې وګورئ (د "ټاکل شوي وګورئ ..." تڼۍ).
شاید ترټولو مهمه خبره دا ده چې پروژه په وړیا توګه شتون لري د لینکس لپاره د توزیعونو سربیره، توزیعونه د دې لپاره چمتو شوي دي Windows او OS X. ویش د Android لږ وروسته به خپور شي.
د CAFL63 غوښتنلیک د پخوانۍ نسخې په پرتله، نه یوازې د انٹرفیس پخپله بدل شوی، بلکې، لکه څنګه چې مخکې یادونه وشوه، نوې بڼې اضافه شوي. د مثال په توګه، د غوښتنلیک تفصیل سره پاڼه بیا ډیزاین شوې او د توزیع ډاونلوډ کولو لپاره مستقیم لینکونه اضافه شوي:
ډیری پوښتل شوي او لاهم پوښتنه کوي چې د GOST openssl چیرته ترلاسه کړي. په دودیز ډول زه ورکوم ، په مهربانۍ سره چمتو شوی . د دې Openssl کارولو څرنګوالی لیکل شوی .
مګر اوس د توزیع کټونو کې د روسیې کریپټوګرافي سره د Openssl ازموینې نسخه شامله ده.
له همدې امله، کله چې د CA تنظیم کول، تاسو کولی شئ د لینکس لپاره /tmp/lirssl_static یا د openssl کارولو لپاره $::env(TEMP)/lirssl_static.exe مشخص کړئ. Windows:
په دې حالت کې، تاسو اړتیا لرئ چې یو خالي lirssl.cnf فایل جوړ کړئ او د چاپیریال متغیر LIRSSL_CONF کې دې فایل ته لاره مشخص کړئ:
د سند په ترتیباتو کې د "توسیع" ټب د "د واک معلوماتو لاسرسي" ساحې سره ضمیمه شوی ، چیرې چې تاسو کولی شئ د CA روټ سند او OCSP سرور ته د لاسرسي نقطې تنظیم کړئ:
موږ ډیری وختونه اورو چې CAs د دوی لخوا رامینځته شوي غوښتنې نه مني (PKCS#10) د غوښتونکي څخه یا حتی بدتر د ځینې CSP له لارې په کیریر کې د کلیدي جوړه رامینځته کولو سره غوښتنې رامینځته کولو ته اړوي. او دوی د PKCS#2.0 انٹرفیس له لارې د نه اخیستلو وړ کیلي (په ورته RuToken EDS-11 کې) سره په ټوکنونو کې غوښتنې رامینځته کولو څخه انکار کوي. له همدې امله، پریکړه وشوه چې د PKCS#63 ټوکنونو د کریپټوګرافیک میکانیزمونو په کارولو سره د CAFL11 غوښتنلیک فعالیت کې د غوښتنې تولید اضافه کړئ. د نښه کولو میکانیزمونو فعالولو لپاره، کڅوړه کارول شوې وه . کله چې CA ته غوښتنه رامینځته کړئ (پاڼه "د سندونو لپاره غوښتنې"، فنکشن "غوښتنه/CSR رامینځته کړئ") تاسو اوس کولی شئ غوره کړئ چې کلیدي جوړه به څنګه رامینځته شي (د Openssl یا په نښه کولو سره) او غوښتنه به پخپله لاسلیک شي:
د ټوکن سره کار کولو لپاره اړین کتابتون د سند لپاره په ترتیباتو کې مشخص شوی:
مګر موږ د کارپوریټ VPN شبکې کې د ځان انزوا حالت کې کار کولو لپاره کارمندانو ته د سندونو چمتو کولو اصلي دندې څخه انحراف کړی. دا معلومه شوه چې ځینې کارمندان ټکنونه نلري. دا پریکړه وشوه چې دوی ته د PKCS#12 خوندي کانټینرونه چمتو کړي، ځکه چې د CAFL63 غوښتنلیک دا اجازه ورکوي. لومړی، د داسې کارمندانو لپاره موږ د PKCS#10 غوښتنې کوو چې د CIPF ډول "OpenSSL" په ګوته کوي، بیا موږ یو سند صادروو او په PKCS12 کې بسته کوو. د دې کولو لپاره، په "سندونو" پاڼه کې، مطلوب سند غوره کړئ، ښي کلیک وکړئ او "PKCS #12 ته صادر کړئ" غوره کړئ:
د دې لپاره چې ډاډ ترلاسه کړئ چې هرڅه د کانټینر سره سم دي ، راځئ چې د کریپټو آرمپیککس افادیت وکاروو:
تاسو اوس کولی شئ کارمندانو ته صادر شوي سندونه واستوئ. ځینې خلک په ساده ډول د سندونو سره فایلونه لیږل کیږي (دا د نښې مالکین دي ، هغه څوک چې غوښتنې یې لیږلي) یا PKCS#12 کانتینرونه. په دوهم حالت کې، هر کارمند ته په تلیفون کې کانټینر ته پاسورډ ورکول کیږي. دا کارمندان یوازې اړتیا لري د VPN ترتیب کولو فایل سم کړي د کانټینر ته د لارې په سمه توګه مشخص کولو سره.
لکه څنګه چې د نښه مالکینو لپاره، دوی هم اړتیا درلوده چې د دوی د نښه لپاره یو سند وارد کړي. د دې کولو لپاره، دوی ورته cryptoarmpkcs اسانتیا کارولې:
اوس د VPN تشکیل کې لږترلږه بدلونونه شتون لري (په نښه کې د سند لیبل ممکن بدل شوی وي) او دا دی ، د کارپوریټ VPN شبکه په کاري ترتیب کې ده.
یو خوشحاله پای
بیا په ما باندې دا خبره راپورته شوه چې ولې خلک ماته نښې راوړي او یا زه د دوی لپاره یو پیغمبر راولیږم. او زه د لاندې مینځپانګې سره یو لیک لیږم:
ځواب بله ورځ راځي:
زه سمدلاسه د cryptoarmpkcs افادیت ته یو لینک ولیږم:
د سند غوښتنې رامینځته کولو دمخه ، ما وړاندیز وکړ چې دوی ټوکنونه پاک کړي:
بیا د PKCS#10 فارمیټ کې د سندونو لپاره غوښتنې د بریښنالیک له لارې واستول شوې او ما سندونه صادر کړل، کوم چې ما ورته لیږلي:
بیا یوه خوندوره شیبه راغله:
او دا لیک هم وو:
او له هغه وروسته دا مقاله پیدا شوه.
د پلیټ فارمونو لپاره د CAFL63 غوښتنلیکونو ویش Linux او ایم ایس Windows موندلی شم
دلته
د کریپټوآرمپککس افادیت ویش، په شمول د پلیټ فارم Android، دي
دلته
سرچینه: www.habr.com
