Kako se je vse začelo
Na samem začetku obdobja samoizolacije sem po pošti prejela pismo:
Prva reakcija je bila naravna: ali moraš iti po žetone ali pa jih je treba prinesti, ampak od ponedeljka vsi sedimo doma, so omejitve gibanja in kdo za vraga je to? Zato je bil odgovor povsem naraven:
In kot vsi vemo, se je s ponedeljkom, 1. aprilom, začelo obdobje dokaj stroge samoizolacije. Prav tako smo vsi prešli na delo na daljavo in potrebovali smo tudi VPN. Naš VPN temelji na OpenVPN, vendar spremenjen tako, da podpira rusko kriptografijo in zmožnost dela z žetoni PKCS#11 in vsebniki PKCS#12. Seveda se je izkazalo, da sami nismo bili povsem pripravljeni na delo prek VPN: mnogi preprosto niso imeli certifikatov, nekaterim pa je potekel veljavnost.
Kako je potekal proces?
In tu priskoči na pomoč utility
Pripomoček cryptoarmpkcs je zaposlenim, ki so v samoizolaciji in imajo žetone na svojih domačih računalnikih, omogočil generiranje zahtev za potrdila:
Zaposleni so mi shranjene zahteve poslali po elektronski pošti. Morda se bo kdo vprašal: - Kaj pa osebni podatki, a če dobro pogledate, jih v zahtevku ni. In sama zahteva je zaščitena s svojim podpisom.
Po prejemu se zahteva za potrdilo uvozi v bazo CAFL63 CA:
Nato je treba zahtevo zavrniti ali odobriti. Če želite obravnavati zahtevo, jo morate izbrati, z desno tipko miške kliknite in v spustnem meniju izberite »Sprejmi odločitev«:
Sam postopek odločanja je popolnoma transparenten:
Potrdilo se izda na enak način, le menijska točka se imenuje “Izdaj potrdilo”:
Za ogled izdanega potrdila lahko uporabite kontekstni meni ali preprosto dvakrat kliknete na ustrezno vrstico:
Sedaj je vsebino mogoče pregledovati tako prek openssl (zavihek OpenSSL Text) kot v vgrajenem pregledovalniku aplikacije CAFL63 (zavihek Certificate Text). V slednjem primeru lahko uporabite kontekstni meni za kopiranje potrdila v besedilni obliki, najprej v odložišče in nato v datoteko.
Tukaj je treba opozoriti, kaj se je spremenilo v CAFL63 v primerjavi s prvo različico? Kar zadeva ogled potrdil, smo to že opazili. Prav tako je postalo mogoče izbrati skupino objektov (certifikati, zahteve, CRL) in si jih ogledati v ostranjevalnem načinu (gumb »Ogled izbranih ...«).
Verjetno najpomembnejše je, da je projekt prosto dostopen na
V primerjavi s prejšnjo različico aplikacije CAFL63 se ni spremenil le sam vmesnik, ampak so bile dodane tudi nove funkcije, kot smo že omenili. Na primer, stran z opisom aplikacije je bila preoblikovana in dodane so neposredne povezave do prenosa distribucij:
Mnogi so spraševali in še vedno sprašujejo, kje dobiti GOST openssl. Tradicionalno dajem
Zdaj pa distribucijski kompleti vključujejo testno različico openssl z rusko kriptografijo.
Zato lahko pri nastavitvi službe za potrdila določite /tmp/lirssl_static za Linux ali $::env(TEMP)/lirssl_static.exe za Windows kot uporabljeni openssl:
V tem primeru boste morali ustvariti prazno datoteko lirssl.cnf in podati pot do te datoteke v spremenljivki okolja LIRSSL_CONF:
Zavihek »Razširitve« v nastavitvah potrdila smo dopolnili s poljem »Dostop do informacij organa«, kjer lahko nastavite dostopne točke do korenskega potrdila CA in do strežnika OCSP:
Pogosto slišimo, da CA ne sprejemajo zahtev, ki jih sami generirajo (PKCS#10) od prosilcev ali, kar je še huje, forsirajo zahteve z generiranjem para ključev na nosilcu preko nekega CSP. In zavračajo ustvarjanje zahtev za žetone z nepovratnim ključem (na istem RuToken EDS-2.0) prek vmesnika PKCS#11. Zato je bilo odločeno, da se funkcionalnosti aplikacije CAFL63 doda generiranje zahtevkov z uporabo kriptografskih mehanizmov žetonov PKCS#11. Za omogočanje mehanizmov žetonov je bil uporabljen paket
Knjižnica, potrebna za delo z žetonom, je navedena v nastavitvah za potrdilo:
Vendar smo se oddaljili od glavne naloge, da zaposlenim zagotovimo certifikate za delo v korporativnem omrežju VPN v samoizolacijskem načinu. Izkazalo se je, da nekateri zaposleni nimajo žetonov. Odločeno je bilo, da jim zagotovimo zaščitene kontejnerje PKCS#12, saj aplikacija CAFL63 to omogoča. Za takšne zaposlene najprej naredimo zahteve PKCS#10 z navedbo tipa CIPF “OpenSSL”, nato izdamo potrdilo in ga zapakiramo v PKCS12. To storite tako, da na strani »Certifikati« izberete želeno potrdilo, z desno miškino tipko kliknete in izberete »Izvozi v PKCS#12«:
Da se prepričamo, da je z vsebnikom vse v redu, uporabimo pripomoček cryptoarmpkcs:
Izdana potrdila lahko sedaj pošiljate zaposlenim. Nekaterim osebam se preprosto pošljejo datoteke s certifikati (to so lastniki žetonov, tisti, ki so poslali zahteve) ali vsebniki PKCS#12. V drugem primeru vsak zaposleni dobi geslo do zabojnika po telefonu. Ti zaposleni morajo le popraviti konfiguracijsko datoteko VPN tako, da pravilno navedejo pot do vsebnika.
Kar zadeva lastnike žetonov, so morali uvoziti tudi potrdilo za svoj žeton. Za to so uporabili isti pripomoček cryptoarmpkcs:
Zdaj so minimalne spremembe v konfiguraciji VPN (morda se je spremenila oznaka potrdila na žetonu) in to je to, korporativno omrežje VPN deluje.
Srečen konec
In potem se mi je posvetilo, zakaj bi mi ljudje prinašali žetone ali naj pošljem ponje kuro. In pošiljam pismo z naslednjo vsebino:
Odgovor pride naslednji dan:
Takoj pošljem povezavo do pripomočka cryptoarmpkcs:
Preden ustvarijo zahteve za potrdila, priporočam, da počistijo žetone:
Nato so bile po elektronski pošti poslane zahteve za potrdila v formatu PKCS#10 in izdal sem potrdila, ki sem jih poslal na:
In potem je prišel prijeten trenutek:
In tam je bilo tudi to pismo:
In po tem se je rodil ta članek.
Najdete lahko distribucije aplikacije CAFL63 za platforme Linux in MS Windows
tukaj
Najdene so distribucije pripomočka cryptoarmpkcs, vključno s platformo Android
tukaj
Vir: www.habr.com