Jinsi wote wakaanza
Mwanzoni mwa kipindi cha kujitenga, nilipokea barua kwa barua:
Mmenyuko wa kwanza ulikuwa wa asili: labda unapaswa kwenda kwa ishara, au lazima ziletwe, lakini tangu Jumatatu sisi sote tumekaa nyumbani, kuna vikwazo vya harakati, na ni nani huyo kuzimu? Kwa hivyo, jibu lilikuwa la asili kabisa:
Na kama sisi sote tunajua, kuanzia Jumatatu, Aprili 1, kipindi cha kujitenga kilianza. Sote pia tulibadilisha kazi ya mbali na pia tulihitaji VPN. VPN yetu inategemea OpenVPN, lakini imerekebishwa ili kutumia cryptography ya Kirusi na uwezo wa kufanya kazi na PKCS#11 tokeni na PKCS#12. Kwa kawaida, iliibuka kuwa sisi wenyewe hatukuwa tayari kabisa kufanya kazi kupitia VPN: wengi hawakuwa na vyeti, na wengine walikuwa wamemaliza muda wake.
Mchakato ulikwendaje?
Na hapa ndipo shirika linakuja kuwaokoa na maombi (Kituo cha uthibitishaji).
Huduma ya cryptoarmpkcs iliruhusu wafanyikazi ambao wamejitenga na wana tokeni kwenye kompyuta zao za nyumbani kutoa maombi ya cheti:
Wafanyakazi walinitumia maombi yaliyohifadhiwa kupitia barua pepe. Mtu anaweza kuuliza: - Je, kuhusu data ya kibinafsi, lakini ukiangalia kwa makini, haiko katika ombi. Na ombi lenyewe linalindwa na saini yake.
Baada ya kupokelewa, ombi la cheti huingizwa kwenye hifadhidata ya CAFL63 CA:
Baada ya hapo ombi lazima likataliwe au liidhinishwe. Ili kuzingatia ombi, unahitaji kuichagua, bonyeza-kulia na uchague "Fanya uamuzi" kutoka kwa menyu kunjuzi:
Utaratibu wa kufanya maamuzi yenyewe ni wazi kabisa:
Cheti hutolewa kwa njia ile ile, kitu cha menyu pekee ndicho kinachoitwa "Cheti cha Suala":
Kuangalia cheti kilichotolewa, unaweza kutumia menyu ya muktadha au bonyeza mara mbili kwenye mstari unaolingana:
Sasa maudhui yanaweza kutazamwa kupitia openssl (kichupo cha Maandishi ya OpenSSL) na kitazamaji kilichojengewa ndani cha programu ya CAFL63 (kichupo cha Maandishi ya Cheti). Katika kesi ya mwisho, unaweza kutumia menyu ya muktadha kunakili cheti katika fomu ya maandishi, kwanza kwenye ubao wa kunakili, na kisha kwa faili.
Hapa ikumbukwe ni nini kimebadilika katika CAFL63 ikilinganishwa na toleo la kwanza? Kuhusu vyeti vya kutazama, tayari tumebainisha hili. Pia imewezekana kuchagua kikundi cha vitu (vyeti, maombi, CRL) na kuvitazama katika hali ya kurasa (kitufe cha "Angalia kilichochaguliwa ...").
Pengine jambo muhimu zaidi ni kwamba mradi huo unapatikana kwa uhuru . Mbali na usambazaji wa Linux, usambazaji wa Windows na OS X umeandaliwa. Usambazaji wa Android utatolewa baadaye kidogo.
Ikilinganishwa na toleo la awali la programu ya CAFL63, sio tu interface yenyewe imebadilika, lakini pia, kama ilivyoelezwa tayari, vipengele vipya vimeongezwa. Kwa mfano, ukurasa ulio na maelezo ya programu umeundwa upya na viungo vya moja kwa moja vya kupakua usambazaji vimeongezwa:
Wengi wameuliza na bado wanauliza wapi kupata GOST openssl. Kijadi mimi kutoa , imetolewa kwa fadhili . Jinsi ya kutumia openssl hii imeandikwa .
Lakini sasa vifaa vya usambazaji vinajumuisha toleo la majaribio la openssl na cryptography ya Kirusi.
Kwa hivyo, wakati wa kusanidi CA, unaweza kutaja ama /tmp/lirssl_static kwa Linux au $::env(TEMP)/lirssl_static.exe kwa Windows kama openssl inavyotumika:
Katika kesi hii, utahitaji kuunda faili tupu ya lirssl.cnf na kutaja njia ya faili hii katika utofauti wa mazingira LIRSSL_CONF:
Kichupo cha "Viendelezi" katika mipangilio ya cheti kimeongezwa uga wa "Ufikiaji wa Taarifa za Mamlaka", ambapo unaweza kuweka sehemu za ufikiaji kwenye cheti cha mizizi ya CA na seva ya OCSP:
Mara nyingi tunasikia kwamba CA hazikubali maombi yanayotolewa nazo (PKCS#10) kutoka kwa waombaji au, mbaya zaidi, kulazimisha uundaji wa maombi na uundaji wa jozi muhimu kwa mtoa huduma kupitia baadhi ya CSP. Na wanakataa kutoa maombi kwenye tokeni na ufunguo usioweza kurejeshwa (kwenye RuToken EDS-2.0 sawa) kupitia kiolesura cha PKCS#11. Kwa hivyo, iliamuliwa kuongeza kizazi cha ombi kwa utendakazi wa programu ya CAFL63 kwa kutumia mifumo ya kriptografia ya tokeni za PKCS#11. Ili kuwezesha taratibu za ishara, mfuko ulitumiwa . Unapounda ombi kwa CA (ukurasa wa "Maombi ya vyeti", chaguo "Unda ombi/CSR") sasa unaweza kuchagua jinsi jozi muhimu itatolewa (kwa kutumia openssl au tokeni) na ombi lenyewe litatiwa saini:
Maktaba inayohitajika kufanya kazi na ishara imeainishwa katika mipangilio ya cheti:
Lakini tumepotoka kutoka kwa kazi kuu ya kuwapa wafanyikazi vyeti vya kufanya kazi katika mtandao wa ushirika wa VPN katika hali ya kujitenga. Ilibadilika kuwa wafanyikazi wengine hawana ishara. Iliamuliwa kuwapa vyombo vilivyolindwa vya PKCS#12, kwa kuwa programu ya CAFL63 inaruhusu hili. Kwanza, kwa wafanyikazi kama hao tunatuma maombi ya PKCS#10 kuonyesha aina ya CIPF "OpenSSL", kisha tunatoa cheti na kukifunga katika PKCS12. Ili kufanya hivyo, kwenye ukurasa wa "Vyeti", chagua cheti unachotaka, bofya kulia na uchague "Hamisha kwa PKCS#12":
Ili kuhakikisha kuwa kila kitu kiko sawa na chombo, wacha tutumie matumizi ya cryptoarmpkcs:
Sasa unaweza kutuma vyeti vilivyotolewa kwa wafanyakazi. Baadhi ya watu hutumwa faili zilizo na vyeti kwa urahisi (hawa ni wamiliki wa tokeni, waliotuma maombi), au vyombo vya PKCS#12. Katika kesi ya pili, kila mfanyakazi hupewa nenosiri kwenye chombo kupitia simu. Wafanyakazi hawa wanahitaji tu kusahihisha faili ya usanidi wa VPN kwa kubainisha kwa usahihi njia ya chombo.
Kuhusu wamiliki wa ishara, pia walihitaji kuagiza cheti kwa ishara yao. Ili kufanya hivyo, walitumia matumizi sawa ya cryptoarmpkcs:
Sasa kuna mabadiliko madogo kwenye usanidi wa VPN (lebo ya cheti kwenye ishara inaweza kuwa imebadilika) na ndivyo ilivyo, mtandao wa ushirika wa VPN uko katika mpangilio wa kazi.
Mwisho wa furaha
Na ndipo ikanijia, kwa nini watu waniletee ishara au niwatume mjumbe. Na mimi hutuma barua iliyo na yaliyomo:
Jibu linakuja siku inayofuata:
Mara moja mimi hutuma kiunga kwa matumizi ya cryptoarmpkcs:
Kabla ya kuunda ombi la cheti, nilipendekeza wafute ishara:
Kisha maombi ya vyeti katika umbizo la PKCS#10 yalitumwa kwa barua pepe na nikatoa vyeti, nilivyotuma kwa:
Na kisha ikaja wakati wa kupendeza:
Na pia kulikuwa na barua hii:
Na baada ya hapo makala hii ilizaliwa.
Usambazaji wa programu ya CAFL63 kwa majukwaa ya Linux na MS Windows yanaweza kupatikana
hapa
Usambazaji wa matumizi ya cryptoarmpkcs, pamoja na jukwaa la Android, unapatikana
hapa
Chanzo: mapenzi.com