Sidee bay u bilaabantay
Bilowgii xilliga gooni-goosadka, waxaan ku helay warqad boostada:
Dareen-celinta ugu horreysa waxay ahayd mid dabiici ah: ama waa inaad u tagtaa calaamado, ama waa in la keenaa, laakiin tan iyo Isniinta dhammaanteen waxaan fadhinnay guriga, waxaa jira xayiraado dhaqdhaqaaqa, oo yaa cadaabta ah? Sidaa darteed, jawaabtu waxay ahayd mid dabiici ah:
Sida aan wada ognahay, laga bilaabo Isniinta, Abriil 1, waxaa bilaabmay go'doomin adag oo cadaalad ah. Dhammaanteen waxaan u wareegnay shaqo fog waxaanan sidoo kale u baahnay VPN. VPN-yadayadu waxay ku salaysan yihiin OpenVPN, laakiin loo habeeyay si ay u taageerto xog-ururinta Ruushka iyo awoodda ay kula shaqayn karto PKCS#11 tokens iyo PKCS#12 weel. Dabcan, waxaa soo baxday in anaga lafteena aanan diyaar u ahayn inaan ka shaqeyno VPN: qaar badan ayaa si fudud u haysan shahaadooyin, qaarna waxay lahaayeen kuwo dhacay.
Sidee hawshu u dhacday?
Waana halka ay utility-gu u soo gurmado
Adeegga loo yaqaan 'cryptoarmpkcs utility' wuxuu u oggolaaday shaqaalaha is karantiilay oo calaamad ku haysta kombayutarada gurigooda inay soo saaraan codsiyada shahaado:
Shaqaaluhu waxay ii soo direen codsiyo kaydsan iimaylka. Qof ayaa laga yaabaa inuu ku weydiiyo: - Ka waran xogta shakhsi ahaaneed, laakiin haddii aad si dhow u eegto, kuma jirto codsiga. Codsiga laftiisana waxaa lagu ilaalinayaa saxiixiisa.
Marka la helo, codsiga shahaadada waxaa la soo galiyay xogta CAFL63 CA:
Intaa ka dib codsiga waa in la diidaa ama la oggolaadaa. Si aad u tixgeliso codsiga, waxaad u baahan tahay inaad doorato, guji midigta oo dooro "Go'aan ka gaar" liiska hoos-u-dhaca:
Habka go'aan gaarista laftiisa ayaa ah mid hufan:
Shahaadada waxaa loo bixiyaa si la mid ah, kaliya shayga menu waxaa loo yaqaan "shahaadada soo saarista":
Si aad u aragto shahaadada la soo saaray, waxaad isticmaali kartaa macnaha guud ama waxaad si fudud laba-guji kartaa khadka u dhigma:
Hadda waxa ku jira waxa lagu eegi karaa labadaba openssl (OpenSSL Text tab) iyo daawadaha ku dhex jira codsiga CAFL63 (Tabka Qoraalka Shahaadada). Xaaladda dambe, waxaad isticmaali kartaa macnaha guud si aad u nuqul ka sameyso shahaadada qaab qoraal ah, marka hore sanduuqa, ka dibna faylka.
Halkan waa in lagu xuso waxa iska beddelay CAFL63 marka la barbar dhigo nooca koowaad? Dhinaca daawashada shahaadooyinka, hore ayaan u sheegnay tan. Waxa kale oo ay suurtogal noqotay in la doorto koox walxood (shahaado, codsiyo, CRLs) oo lagu eego qaabka bogga (badhanka "View Selected ...")
Malaha waxa ugu muhiimsan waa in mashruuca si xor ah loo heli karo
Marka la barbardhigo nuqulkii hore ee codsiga CAFL63, ma aha oo kaliya interface-ka laftiisa ayaa isbeddelay, laakiin sidoo kale, sida horeba loo xusay, sifooyin cusub ayaa lagu daray. Tusaale ahaan, bogga leh sharaxaadda codsiga dib ayaa loo habeeyay waxaana lagu daray xiriirinta tooska ah ee soo dejinta qeybinta:
Qaar badan ayaa waydiiyey oo wali waydiinaya halka laga helo GOST openssl. Dhaqan ahaan waan bixiyaa
Laakiin hadda xirmooyinka qaybinta waxaa ka mid ah nooca tijaabada ee openssl oo leh xog-ururinta Ruushka.
Sidaa darteed, marka aad dejinayso CA, waxaad u cayimi kartaa midkood /tmp/lirssl_static ee Linux ama $ :: env(TEMP)/lirssl_static.exe ee Windows sida openssl loo isticmaalo:
Xaaladdan oo kale, waxaad u baahan doontaa inaad abuurto fayl faaruq ah lirssl.cnf oo aad qeexdaa dariiqa faylkan doorsoomaha deegaanka LIRSSL_CONF:
Tabaha "Extensions" ee ku jira goobaha shahaadada waxa lagu kabay goobta "Authority Info Access", halkaas oo aad ka dhigi karto dhibcaha gelitaanka shahaadada xididka CA iyo serverka OCSP:
Inta badan waxaan maqalnaa in CA-yadu aysan aqbalin codsiyada ay soo saareen (PKCS#10) ee codsadayaasha ama, xitaa ka sii daran, waxay ku qasbaan samaynta codsiyada iyada oo la adeegsanayo jiilka lamaanaha muhiimka ah ee side iyada oo loo marayo CSP qaarkood. Waxayna diidaan inay codsiyo ku abuuraan calaamado wata fure aan dib loo soo celin karin ( isla RuToken EDS-2.0) iyadoo la sii marinayo isku xirka PKCS#11. Sidaa darteed, waxaa la go'aamiyay in lagu daro jiilka codsiga waxqabadka codsiga CAFL63 iyada oo la adeegsanayo hababka qarsoodiga ah ee PKCS#11 calaamadaha. Si loo suurtageliyo hababka calaamadaynta, xirmada ayaa la isticmaalay
Maktabadda looga baahan yahay inay la shaqeyso calaamadda waxay ku qeexan tahay habaynta shahaadada:
Laakiin waxaan ka weecannay hawshii ugu muhiimsaneyd ee bixinta shaqaalaha shahaadooyinka si ay uga shaqeeyaan shabakad VPN shirkadeed qaab gooni-gooni ah. Waxaa soo baxday in shaqaalaha qaarkood aysan haysan calaamado. Waxaa la go'aamiyay in la siiyo PKCS#12 weelasha la ilaaliyo, maadaama codsiga CAFL63 uu ogolyahay tan. Marka hore, shaqaalaha noocaan ah waxaan u sameynaa PKCS#10 codsiyo muujinaya nooca CIPF "OpenSSL", ka dib waxaan bixinaa shahaado waxaana ku xireynaa PKCS12. Si tan loo sameeyo, bogga "Certificates", dooro shahaadada la rabo, midig-guji oo dooro "Dhoofinta PKCS#12":
Si loo hubiyo in wax walba ay u hagaagsan yihiin weelka, aan isticmaalno utility cryptoarmpkcs:
Waxaad hadda u diri kartaa shahaadooyin la soo saaray shaqaalaha. Dadka qaar ayaa si fudud loogu soo diraa faylal wata shahaadooyin (kuwa waa mulkiilayaasha calaamadaha, kuwa soo diray codsiyada), ama weelasha PKCS#12. Xaaladda labaad, shaqaale kasta waxaa lagu siinayaa erayga sirta ah ee weelka iyadoo la adeegsanayo taleefanka. Shaqaalahani waxay kaliya u baahan yihiin inay saxaan faylka qaabeynta VPN iyagoo si sax ah u qeexaya jidka loo maro weelka.
Dhanka mulkiilayaasha calaamadaha, waxay sidoo kale u baahdeen inay soo dejiyaan shahaado calaamadahooda. Si taas loo sameeyo, waxay isticmaaleen utility cryptoarmpkcs la mid ah:
Hadda waxaa jira isbeddello yar oo ku yimid qaabeynta VPN (calaamadaynta shahaadada ee calaamadda ayaa laga yaabaa inay isbedeshay) waana taas, shabakadda VPN ee shirkadda ayaa si habsami leh u shaqeysa.
Dhaman farxadeed
Dabadeedna waxaa ii soo baxday, maxay dadku calaamo iigu keenayaan mise waxaan u soo diraa rasuul. Waxaanan u soo diray warqad nuxurkeedu yahay:
Jawaabtu waxay imanaysaa maalinta xigta:
Isla markiiba waxaan u diray xiriiriye utility cryptoarmpkcs:
Kahor intaanan abuurin codsiyada shahaadada, waxaan ku taliyay inay nadiifiyaan calaamadaha:
Dabadeed codsiyada shahaadooyinka ee qaabka PKCS#10 ayaa lagu soo diray email waxaanan bixiyay shahaadooyin, kuwaas oo aan u diray:
Ka dibna waxaa yimid daqiiqad wanaagsan:
Waxa kale oo jirtay warqaddan:
Kadibna maqaalkani wuxuu dhashay.
Qaybinta codsiga CAFL63 ee Linux iyo MS Windows aaladaha waa la heli karaa
halkan
Qaybinta utility cryptoarmpkcs, oo ay ku jiraan aaladda Android, ayaa yaal
halkan
Source: www.habr.com