එය ආරම්භ වූයේ කෙසේද?
ස්වයං හුදකලා කාලය ආරම්භයේදීම, මට තැපෑලෙන් ලිපියක් ලැබුණි:
පළමු ප්රතික්රියාව ස්වාභාවිකය: ඔබ එක්කෝ ටෝකන සඳහා යා යුතුය, නැතහොත් ඒවා රැගෙන යා යුතුය, නමුත් සඳුදා සිට අපි සියල්ලෝම නිවසේ වාඩි වී සිටිමු, චලනය සඳහා සීමාවන් තිබේ, සහ එය කවුද? එමනිසා, පිළිතුර තරමක් ස්වාභාවික විය:
අප කවුරුත් දන්නා පරිදි, අප්රේල් 1 සඳුදා සිට තරමක් දැඩි ස්වයං හුදකලා කාල පරිච්ඡේදයක් ආරම්භ විය. අපි හැමෝම දුරස්ථ වැඩ වලට මාරු උනා වගේම අපිට VPN එකකුත් ඕන උනා. අපගේ VPN OpenVPN මත පදනම් වී ඇත, නමුත් රුසියානු ගුප්තකේතනයට සහය වීමට සහ PKCS#11 ටෝකන සහ PKCS#12 බහාලුම් සමඟ වැඩ කිරීමේ හැකියාව සඳහා වෙනස් කර ඇත. ස්වාභාවිකවම, VPN හරහා වැඩ කිරීමට අප කිසිසේත්ම සූදානම් නැති බව පෙනී ගියේය: බොහෝ දෙනෙකුට සහතික නොමැති අතර සමහර ඒවා කල් ඉකුත් වී ඇත.
ක්රියාවලිය සිදු වූයේ කෙසේද?
තවද උපයෝගීතාව ගලවා ගැනීමට පැමිණෙන්නේ මෙහිදීය
Cryptoarmpkcs උපයෝගිතා ස්වයං-හුදකලාවේ සිටින සහ ඔවුන්ගේ නිවසේ පරිගණකවල ටෝකන ඇති සේවකයින්ට සහතික ඉල්ලීම් උත්පාදනය කිරීමට අවසර දී ඇත:
සේවකයින් මට ඊමේල් හරහා සුරැකි ඉල්ලීම් එව්වා. යමෙකු අසනු ඇත: - පුද්ගලික දත්ත ගැන කුමක් කිව හැකිද, නමුත් ඔබ සමීපව බැලුවහොත් එය ඉල්ලීමෙහි නොමැත. තවද ඉල්ලීම එහි අත්සනින් ආරක්ෂා වේ.
ලැබීමෙන් පසු, සහතික ඉල්ලීම CAFL63 CA දත්ත ගබඩාවට ආයාත කරනු ලැබේ:
ඉන්පසු ඉල්ලීම ප්රතික්ෂේප කිරීම හෝ අනුමත කිරීම කළ යුතුය. ඉල්ලීමක් සලකා බැලීමට, ඔබ එය තෝරා, දකුණු-ක්ලික් කර පතන මෙනුවෙන් "තීරණය ගන්න" තෝරන්න:
තීරණ ගැනීමේ ක්රියා පටිපාටියම සම්පූර්ණයෙන්ම විනිවිද පෙනෙන ය:
සහතිකයක් එකම ආකාරයකින් නිකුත් කරනු ලැබේ, මෙනු අයිතමය පමණක් "නිකුත් කිරීමේ සහතිකය" ලෙස හැඳින්වේ:
නිකුත් කරන ලද සහතිකය බැලීමට, ඔබට සන්දර්භය මෙනුව භාවිතා කළ හැකිය, නැතහොත් අනුරූප රේඛාව මත දෙවරක් ක්ලික් කරන්න:
දැන් අන්තර්ගතය openssl (OpenSSL Text tab) හරහා සහ CAFL63 යෙදුමේ (Certificate Text tab) බිල්ට් නරඹන්නා හරහා නැරඹිය හැක. අවසාන අවස්ථාවේදී, ඔබට සහතිකය පෙළ ආකාරයෙන් පිටපත් කිරීමට සන්දර්භය මෙනුව භාවිතා කළ හැකිය, පළමුව ක්ලිප්බෝඩ් වෙත සහ පසුව ගොනුවකට.
පළමු අනුවාදයට සාපේක්ෂව CAFL63 හි වෙනස් වී ඇති දේ මෙහි සටහන් කළ යුතුද? සහතික බැලීම සම්බන්ධයෙන්, අපි දැනටමත් මෙය සටහන් කර ඇත. වස්තු සමූහයක් (සහතික, ඉල්ලීම්, CRL) තෝරාගෙන ඒවා පේජිං මාදිලියෙන් බැලීමට ද හැකි වී ඇත (“තෝරාගත් බලන්න ...” බොත්තම).
බොහෝ විට වැදගත්ම දෙය නම් ව්යාපෘතිය නොමිලේ ලබා ගත හැකි වීමයි
CAFL63 යෙදුමේ පෙර අනුවාදය හා සසඳන විට, අතුරු මුහුණත පමණක් වෙනස් වී ඇති නමුත්, දැනටමත් සඳහන් කර ඇති පරිදි, නව විශේෂාංග එකතු කර ඇත. උදාහරණයක් ලෙස, යෙදුම් විස්තරය සහිත පිටුව ප්රතිනිර්මාණය කර ඇති අතර බෙදාහැරීම් බාගත කිරීම සඳහා සෘජු සබැඳි එක් කර ඇත:
GOST openssl ලබා ගන්නේ කොහෙන්ද කියා බොහෝ දෙනෙක් විමසා ඇති අතර තවමත් අසති. සම්ප්රදායිකව මම දෙනවා
නමුත් දැන් බෙදාහැරීමේ කට්ටලවල රුසියානු ගුප්තකේතනය සමඟ openssl හි පරීක්ෂණ අනුවාදයක් ඇතුළත් වේ.
එබැවින්, CA සැකසීමේදී, ඔබට ලිනක්ස් සඳහා /tmp/lirssl_static හෝ Windows සඳහා $::env(TEMP)/lirssl_static.exe භාවිතා කරන openssl ලෙස සඳහන් කළ හැක:
මෙම අවස්ථාවේදී, ඔබට හිස් lirssl.cnf ගොනුවක් නිර්මාණය කිරීමට අවශ්ය වනු ඇති අතර LIRSSL_CONF පරිසර විචල්යයේ මෙම ගොනුවට යන මාර්ගය සඳහන් කරන්න:
සහතික සැකසීම් තුළ ඇති “දිගු” ටැබය “අධිකාරී තොරතුරු ප්රවේශ” ක්ෂේත්රය සමඟ පරිපූරණය කර ඇත, එහිදී ඔබට CA මූල සහතිකයට සහ OCSP සේවාදායකයට ප්රවේශ ස්ථාන සැකසිය හැක:
CAs ඔවුන් විසින් උත්පාදනය කරන ලද ඉල්ලීම් (PKCS#10) අයදුම්කරුවන්ගෙන් නොපිළිගන්නා බව අපට බොහෝ විට අසන්නට ලැබේ, නැතහොත්, ඊටත් වඩා නරක ලෙස, සමහර CSP හරහා වාහකයේ යතුරු යුගලයක් උත්පාදනය කිරීම සමඟ ඉල්ලීම් සෑදීමට බල කරයි. තවද ඔවුන් PKCS#2.0 අතුරුමුහුණත හරහා ලබා ගත නොහැකි යතුරක් (එකම RuToken EDS-11 මත) ටෝකන මත ඉල්ලීම් උත්පාදනය කිරීම ප්රතික්ෂේප කරයි. එබැවින්, PKCS#63 ටෝකනවල ගුප්ත ලේඛන යාන්ත්රණ භාවිතයෙන් CAFL11 යෙදුමේ ක්රියාකාරීත්වයට ඉල්ලීම් උත්පාදනය එක් කිරීමට තීරණය විය. ටෝකන් යාන්ත්රණ සක්රීය කිරීම සඳහා, පැකේජය භාවිතා කරන ලදී
ටෝකනය සමඟ වැඩ කිරීමට අවශ්ය පුස්තකාලය සහතිකය සඳහා වන සැකසුම් වල දක්වා ඇත:
නමුත් අපි ආයතනික VPN ජාලයක ස්වයං හුදකලා ආකාරයෙන් වැඩ කිරීමට සේවකයින්ට සහතික ලබා දීමේ ප්රධාන කාර්යයෙන් බැහැර වී ඇත. සමහර සේවකයින්ට ටෝකන නොමැති බව පෙනී ගියේය. CAFL12 යෙදුම මෙයට ඉඩ දෙන බැවින් ඔවුන්ට PKCS#63 ආරක්ෂිත බහාලුම් ලබා දීමට තීරණය විය. පළමුව, එවැනි සේවකයින් සඳහා අපි CIPF වර්ගය "OpenSSL" සඳහන් කරමින් PKCS#10 ඉල්ලීම් කරන්නෙමු, පසුව අපි සහතිකයක් නිකුත් කර එය PKCS12 හි ඇසුරුම් කරන්නෙමු. මෙය සිදු කිරීම සඳහා, "සහතික" පිටුවේ, අපේක්ෂිත සහතිකය තෝරන්න, දකුණු-ක්ලික් කර "PKCS#12 වෙත අපනයනය" තෝරන්න:
කන්ටේනරය සමඟ සෑම දෙයක්ම පිළිවෙලට ඇති බව සහතික කර ගැනීමට, අපි cryptoarmpkcs උපයෝගීතාව භාවිතා කරමු:
ඔබට දැන් සේවකයින්ට නිකුත් කළ සහතික යැවිය හැක. සමහර පුද්ගලයින්ට සහතික සහිත ලිපිගොනු යවනු ලැබේ (මේවා ටෝකන් හිමිකරුවන්, ඉල්ලීම් එවූ අය) හෝ PKCS#12 බහාලුම් ය. දෙවන නඩුවේදී, සෑම සේවකයෙකුටම දුරකථනයෙන් කන්ටේනරය වෙත මුරපදය ලබා දී ඇත. මෙම සේවකයින්ට අවශ්ය වන්නේ බහාලුමට යන මාර්ගය නිවැරදිව සඳහන් කිරීමෙන් VPN වින්යාස ගොනුව නිවැරදි කිරීමයි.
ටෝකන් හිමිකරුවන් සම්බන්ධයෙන් ගත් කල, ඔවුන්ට ඔවුන්ගේ ටෝකනය සඳහා සහතිකයක් ආනයනය කිරීමටද අවශ්ය විය. මෙය සිදු කිරීම සඳහා, ඔවුන් එකම cryptoarmpkcs උපයෝගීතාව භාවිතා කළහ:
දැන් VPN වින්යාසය සඳහා අවම වෙනස්කම් ඇත (ටෝකනයෙහි සහතික ලේබලය වෙනස් වී තිබිය හැක) සහ එපමණයි, ආයතනික VPN ජාලය ක්රියාත්මක වේ.
සතුටුදායක අවසානයක්
එතකොට මට තේරුණා, ඇයි මිනිස්සු මට ටෝකන් ගෙන්නන්නේ නැත්නම් මම ඔවුන් වෙනුවෙන් පණිවිඩකරුවෙකු එවිය යුතුද? මම පහත අන්තර්ගතය සහිත ලිපියක් යවමි:
පිළිතුර ඊළඟ දවසේ පැමිණේ:
මම වහාම cryptoarmpkcs උපයෝගීතාවයට සබැඳියක් යවමි:
සහතික ඉල්ලීම් සෑදීමට පෙර, ඔවුන් ටෝකන ඉවත් කරන ලෙස මම නිර්දේශ කරමි:
පසුව PKCS#10 ආකෘතියෙන් සහතික සඳහා ඉල්ලීම් විද්යුත් තැපෑලෙන් යවන ලද අතර මම සහතික නිකුත් කළෙමි, එය මා යවන ලද්දේ:
එවිට ප්රසන්න මොහොතක් පැමිණියේය:
ඒ වගේම මේ ලිපියත් තිබුණා.
ඊට පස්සේ තමයි මේ ලිපිය බිහිවුණේ.
Linux සහ MS Windows වේදිකා සඳහා CAFL63 යෙදුමේ බෙදාහැරීම් සොයා ගත හැක
මෙහි
ඇන්ඩ්රොයිඩ් වේදිකාව ඇතුළුව cryptoarmpkcs උපයෝගීතාවයේ බෙදාහැරීම් පිහිටා ඇත
මෙහි
මූලාශ්රය: www.habr.com