Kumaha eta kabeh mimiti
Dina awal waktos ngasingkeun diri, kuring nampi surat dina surat:
Réaksi anu munggaran nyaéta alami: anjeun kedah nyandak token, atanapi aranjeunna kedah dibawa, tapi saprak Senén urang sadayana linggih di bumi, aya larangan dina gerakan, sareng saha sih éta? Ku alatan éta, jawaban éta rada alami:
Sareng sakumaha anu urang terang, ti Senén, 1 April, waktos ngasingkeun diri anu cukup ketat dimimitian. Kami ogé sadayana ngalih ka padamelan jauh sareng kami ogé peryogi VPN. VPN kami dumasar kana OpenVPN, tapi dirobah pikeun ngarojong kriptografi Rusia jeung kamampuhan pikeun digawekeun ku PKCS # 11 tokens na PKCS # 12 wadahna. Alami, tétéla yén urang sorangan teu cukup siap digawekeun via VPN: loba saukur teu boga sertipikat, sarta sababaraha geus kadaluwarsa.
Kumaha prosésna?
Sareng ieu dimana utilitas sumping ka nyalametkeun jeung aplikasi (Puseur verifikasi).
Utilitas cryptoarmpkcs ngamungkinkeun para karyawan anu ngasingkeun diri sareng gaduh token dina komputer bumina pikeun ngahasilkeun pamundut sertipikat:
Karyawan dikirim requests disimpen via email ka kuring. Batur bisa nanya: - Kumaha upami data pribadi, tapi lamun kasampak raket, éta teu di pamundut. Jeung pamundut sorangan ditangtayungan ku signature na.
Saatos nampi, pamundut sertipikat diimpor kana pangkalan data CAFL63 CA:
Saatos éta pamundut kedah ditolak atanapi disatujuan. Pikeun nimbangkeun pamundut, anjeun kedah milih éta, klik-katuhu sareng pilih "Jieun kaputusan" tina ménu turun-handap:
Prosedur-nyieun kaputusan sorangan kacida transparan:
Sertipikat dikaluarkeun dina cara anu sami, ngan ukur item ménu anu disebat "Sertipikat ngaluarkeun":
Pikeun ningali sertipikat anu dikaluarkeun, anjeun tiasa nganggo ménu kontéks atanapi ngan saukur klik dua kali dina garis anu aya:
Ayeuna eusina tiasa ditingali boh ngaliwatan openssl (tab Teks OpenSSL) sareng panempo anu diwangun dina aplikasi CAFL63 (tab Teks Sertipikat). Dina kasus anu terakhir, anjeun tiasa nganggo ménu kontéks pikeun nyalin sertipikat dina bentuk téks, mimiti ka clipboard, teras ka file.
Di dieu eta kudu dicatet naon geus robah dina CAFL63 dibandingkeun versi munggaran? Sedengkeun pikeun ningali sertipikat, kami parantos nyatet ieu. Ogé geus jadi mungkin pikeun milih grup objék (sertipikat, requests, CRLs) jeung nempo dina mode paging (tombol "Témbongkeun dipilih ...").
Meureun hal pangpentingna nyaéta yén proyék éta bebas sadia on . Salian distribusi pikeun Linux, distribusi pikeun Windows sareng OS X parantos disiapkeun. Distribusi pikeun Android bakal dileupaskeun sakedik engké.
Dibandingkeun sareng versi sateuacana tina aplikasi CAFL63, henteu ngan ukur antarbeungeutna parantos robih, tapi ogé, sakumaha anu parantos dicatet, fitur-fitur énggal parantos ditambah. Salaku conto, halaman anu nganggo pedaran aplikasi parantos didesain ulang sareng tautan langsung pikeun ngaunduh distribusi parantos ditambahkeun:
Seueur anu naros sareng masih naroskeun dimana kéngingkeun GOST openssl. Sacara tradisional kuring masihan , bageur nawaran reureuh di . Kumaha ngagunakeun openssl ieu ditulis .
Tapi ayeuna kit distribusi kalebet versi uji openssl sareng kriptografi Rusia.
Ku alatan éta, nalika nyetel CA, anjeun bisa nangtukeun boh /tmp/lirssl_static pikeun Linux Ubuntu atawa $::env(TEMP)/lirssl_static.exe pikeun Windows salaku openssl dipaké:
Dina hal ieu, anjeun bakal kudu nyieun hiji file lirssl.cnf kosong tur nangtukeun jalur ka file ieu dina variabel lingkungan LIRSSL_CONF:
Tab "Ekstensi" dina setélan sertipikat parantos ditambah ku widang "Info Otoritas Aksés", dimana anjeun tiasa nyetél titik aksés kana sertipikat akar CA sareng server OCSP:
Urang mindeng ngadéngé yén CA teu nampa requests dihasilkeun ku aranjeunna (PKCS # 10) ti Ngalamar atawa, malah parah, maksakeun formasi requests jeung generasi pasangan konci dina pamawa ngaliwatan sababaraha CSP. Sarta aranjeunna nampik ngahasilkeun requests on tokens kalawan konci non-retrievable (dina RuToken EDS-2.0 sarua) via PKCS # 11 panganteur. Ku alatan éta, éta mutuskeun pikeun nambahkeun generasi pamundut ka fungsionalitas aplikasi CAFL63 ngagunakeun mékanisme cryptographic of PKCS # 11 tokens. Pikeun ngaktifkeun mékanisme token, pakét dianggo . Nalika nyieun pamundut ka CA (halaman "Requests pikeun sertipikat", fungsi "Jieun pamundut / CSR") anjeun ayeuna bisa milih kumaha pasangan konci bakal dihasilkeun (ngagunakeun openssl atanapi on token a) jeung pamundut sorangan bakal ditandatanganan:
Perpustakaan diperlukeun pikeun digawe sareng token dieusian dina setélan pikeun sertipikat:
Tapi kami parantos nyimpang tina tugas utama nyayogikeun karyawan sertipikat pikeun damel di jaringan VPN perusahaan dina modeu ngasingkeun diri. Tétéla sababaraha karyawan teu boga tokens. Ieu mutuskeun hiji nyadiakeun aranjeunna kalayan PKCS # 12 peti ditangtayungan, saprak aplikasi CAFL63 ngamungkinkeun ieu. Kahiji, pikeun pagawé sapertos urang ngadamel PKCS # 10 requests nunjukkeun tipe CIPF "OpenSSL", lajeng urang ngaluarkeun sertipikat sarta ngarangkep dina PKCS12. Jang ngalampahkeun ieu, dina kaca "Sertifikat", pilih sertipikat nu dipikahoyong,-klik katuhu tur pilih "Ékspor ka PKCS # 12":
Pikeun mastikeun yén sadayana leres sareng wadahna, hayu urang nganggo utilitas cryptoarmpkcs:
Anjeun ayeuna tiasa ngirim sertipikat anu dikaluarkeun ka karyawan. Sababaraha urang ngan saukur dikirim file kalawan sertipikat (ieu boga token, jalma anu dikirim requests), atanapi PKCS # 12 wadahna. Dina kasus kadua, unggal pagawe dibéré sandi ka wadahna ngaliwatan telepon. Karyawan ieu ngan ukur kedah ngabenerkeun file konfigurasi VPN ku leres-leres netepkeun jalur ka wadahna.
Sedengkeun pikeun pamilik token, aranjeunna ogé kedah ngimpor sertipikat pikeun tokenna. Jang ngalampahkeun ieu, aranjeunna nganggo utilitas cryptoarmpkcs anu sami:
Ayeuna aya parobihan minimal kana konfigurasi VPN (label sertipikat dina token tiasa robih) sareng éta, jaringan VPN perusahaan aya dina urutan kerja.
Hiji tungtung senang
Lajeng eta dawned on kuring, naha jalma bakal mawa tokens ka kuring atawa kuring kudu ngirim utusan pikeun aranjeunna. Sareng kuring ngirim surat kalayan eusi ieu:
Jawabanana sumping dinten salajengna:
Kuring langsung ngirim tautan kana utilitas cryptoarmpkcs:
Sateuacan ngadamel pamenta sertipikat, kuring nyarankeun yén aranjeunna mupus token:
Teras pamundut kanggo sertipikat dina format PKCS#10 dikirim ku email sareng kuring ngaluarkeun sertipikat, anu kuring kirimkeun ka:
Teras sumping momen anu pikaresepeun:
Sareng aya ogé surat ieu:
Sarta sanggeus éta artikel ieu dilahirkeun.
Distribusi aplikasi CAFL63 pikeun platform Linux sareng MS Windows tiasa dipendakan
di dieu
Distribusi utilitas cryptoarmpkcs, kalebet platform Android, aya
di dieu
sumber: www.habr.com