Si ajo filloi të gjithë
Në fillim të periudhës së izolimit, mora një letër me postë:
Reagimi i parë ishte i natyrshëm: ose duhet të shkosh për token, ose duhet t'i sjellësh, por që nga e hëna jemi ulur të gjithë në shtëpi, ka kufizime në lëvizje dhe kush dreqin është ai? Prandaj, përgjigja ishte krejt e natyrshme:
Dhe siç e dimë të gjithë, nga e hëna e 1 prillit filloi një periudhë mjaft e rreptë vetëizolimi. Gjithashtu të gjithë kaluam në punë në distancë dhe gjithashtu na duhej një VPN. VPN-ja jonë bazohet në OpenVPN, por është modifikuar për të mbështetur kriptografinë ruse dhe aftësinë për të punuar me shenjat PKCS#11 dhe kontejnerët PKCS#12. Natyrisht, doli që ne vetë nuk ishim plotësisht të gatshëm të punonim përmes VPN: shumë thjesht nuk kishin certifikata, dhe disa kishin skaduar.
Si shkoi procesi?
Dhe këtu vjen në ndihmë shërbimi dhe aplikimi (Qendra e verifikimit).
Shërbimi cryptoarmpkcs lejoi punonjësit që janë në izolim dhe kanë argumente në kompjuterët e tyre të shtëpisë të gjenerojnë kërkesa për certifikata:
Punonjësit më dërguan kërkesat e ruajtura me email. Dikush mund të pyesë: - Po të dhënat personale, por po të shikosh me vëmendje, nuk janë në kërkesë. Dhe vetë kërkesa mbrohet me nënshkrimin e saj.
Pas marrjes, kërkesa për certifikatë importohet në bazën e të dhënave CAFL63 CA:
Pas së cilës kërkesa ose duhet të refuzohet ose të miratohet. Për të shqyrtuar një kërkesë, duhet ta zgjidhni atë, të klikoni me të djathtën dhe të zgjidhni "Merr vendim" nga menyja rënëse:
Vetë procedura e vendimmarrjes është absolutisht transparente:
Një certifikatë lëshohet në të njëjtën mënyrë, vetëm artikulli i menusë quhet "Lëshimi i certifikatës":
Për të parë certifikatën e lëshuar, mund të përdorni menunë e kontekstit ose thjesht klikoni dy herë në rreshtin përkatës:
Tani përmbajtja mund të shikohet si përmes openssl (skedës OpenSSL Text) dhe shikuesit të integruar të aplikacionit CAFL63 (skedë Certificate Text). Në rastin e fundit, mund të përdorni menynë e kontekstit për të kopjuar certifikatën në formë teksti, së pari në kujtesën e fragmenteve dhe më pas në një skedar.
Këtu duhet theksuar se çfarë ka ndryshuar në CAFL63 në krahasim me versionin e parë? Sa i përket shikimit të certifikatave, ne e kemi vërejtur tashmë këtë. Është bërë gjithashtu e mundur të zgjidhni një grup objektesh (certifikata, kërkesa, CRL) dhe t'i shikoni ato në modalitetin e faqes (butoni "Shiko të zgjedhurit ...").
Ndoshta gjëja më e rëndësishme është që projekti të jetë i disponueshëm falas . Përveç shpërndarjeve për Linux, janë përgatitur edhe shpërndarje për Windows dhe OS X. Shpërndarja për Android do të dalë pak më vonë.
Krahasuar me versionin e mëparshëm të aplikacionit CAFL63, jo vetëm ndërfaqja në vetvete ka ndryshuar, por gjithashtu, siç u përmend tashmë, janë shtuar veçori të reja. Për shembull, faqja me përshkrimin e aplikacionit është ridizajnuar dhe janë shtuar lidhje të drejtpërdrejta për shkarkimin e shpërndarjeve:
Shumë kanë pyetur dhe ende po pyesin se ku mund të marrin GOST openssl. Tradicionalisht jap , me dashamirësi . Si të përdoret kjo openssl është shkruar .
Por tani kompletet e shpërndarjes përfshijnë një version testues të openssl me kriptografi ruse.
Prandaj, kur konfiguroni CA, mund të specifikoni ose /tmp/lirssl_static për Linux ose $::env(TEMP)/lirssl_static.exe për Windows si openssl të përdorur:
Në këtë rast, do t'ju duhet të krijoni një skedar bosh lirssl.cnf dhe të specifikoni shtegun për në këtë skedar në variablin e mjedisit LIRSSL_CONF:
Skeda "Extensions" në cilësimet e certifikatës është plotësuar me fushën "Authority Info Access", ku mund të vendosni pikat e hyrjes në certifikatën rrënjë CA dhe në serverin OCSP:
Shpesh dëgjojmë se AK-të nuk pranojnë kërkesat e gjeneruara prej tyre (PKCS#10) nga aplikantët ose, edhe më keq, detyrojnë formimin e kërkesave me gjenerimin e një çifti çelësash në operator përmes disa CSP. Dhe ata refuzojnë të gjenerojnë kërkesa në token me një çelës të pakthyeshëm (në të njëjtin RuToken EDS-2.0) nëpërmjet ndërfaqes PKCS#11. Prandaj, u vendos që të shtohej gjenerimi i kërkesave në funksionalitetin e aplikacionit CAFL63 duke përdorur mekanizmat kriptografikë të shenjave PKCS#11. Për të aktivizuar mekanizmat e shenjave, u përdor paketa . Kur krijoni një kërkesë për një CA (faqe "Kërkesat për certifikata", funksioni "Krijo kërkesë/CSR") tani mund të zgjidhni se si do të gjenerohet çifti i çelësave (duke përdorur openssl ose në një shenjë) dhe vetë kërkesa do të nënshkruhet:
Biblioteka e nevojshme për të punuar me token është specifikuar në cilësimet për certifikatën:
Por ne kemi devijuar nga detyra kryesore e sigurimit të punonjësve me certifikata për të punuar në një rrjet VPN të korporatës në modalitetin e izolimit. Doli se disa punonjës nuk kanë argumente. U vendos që t'u pajiseshin me kontejnerë të mbrojtur PKCS#12, pasi këtë e lejon aplikacioni CAFL63. Së pari, për punonjës të tillë ne bëjmë kërkesa PKCS#10 duke treguar llojin CIPF “OpenSSL”, më pas lëshojmë një certifikatë dhe e paketojmë në PKCS12. Për ta bërë këtë, në faqen "Certifikatat", zgjidhni certifikatën e dëshiruar, kliko me të djathtën dhe zgjidhni "Eksport në PKCS#12":
Për t'u siguruar që gjithçka është në rregull me kontejnerin, le të përdorim programin cryptoarmpkcs:
Tani mund t'u dërgoni punonjësve certifikatat e lëshuara. Disa njerëzve thjesht u dërgohen skedarë me certifikata (këta janë pronarë të shenjave, ata që dërguan kërkesa) ose kontejnerë PKCS#12. Në rastin e dytë, çdo punonjësi i jepet fjalëkalimi i kontejnerit përmes telefonit. Këta punonjës vetëm duhet të korrigjojnë skedarin e konfigurimit VPN duke specifikuar saktë shtegun për në kontejner.
Sa për pronarët e shenjave, ata gjithashtu duhej të importonin një certifikatë për tokenin e tyre. Për ta bërë këtë, ata përdorën të njëjtin mjet cryptoarmpkcs:
Tani ka ndryshime minimale në konfigurimin VPN (etiketa e certifikatës në shenjë mund të ketë ndryshuar) dhe kaq, rrjeti VPN i korporatës është në gjendje pune.
Gëzuar fund
Dhe pastaj m'u duk, pse njerëzit do të më sillnin argumente apo duhet të dërgoja një lajmëtar për ta. Dhe unë dërgoj një letër me përmbajtjen e mëposhtme:
Përgjigja vjen të nesërmen:
Unë dërgoj menjëherë një lidhje në mjetin cryptoarmpkcs:
Përpara krijimit të kërkesave për certifikata, unë rekomandova që ata të pastrojnë argumentet:
Më pas kërkesat për certifikata në formatin PKCS#10 u dërguan me email dhe unë lëshova certifikata, të cilat i dërgova në:
Dhe pastaj erdhi një moment i këndshëm:
Dhe aty ishte edhe kjo letër:
Dhe pas kësaj lindi ky artikull.
Mund të gjenden shpërndarjet e aplikacionit CAFL63 për platformat Linux dhe MS Windows
këtu
Shpërndarjet e mjetit cryptoarmpkcs, duke përfshirë platformën Android, janë të vendosura
këtu
Burimi: www.habr.com