அது எப்படி ஆரம்பித்தது
சுய தனிமைப்படுத்தல் காலத்தின் தொடக்கத்தில், எனக்கு ஒரு மின்னஞ்சல் வந்தது:
ஆரம்ப எதிர்வினை இயல்பானது: ஒன்று நாம் டோக்கன்களைப் பெறச் செல்ல வேண்டும், அல்லது அவற்றை டெலிவரி செய்ய வேண்டும், திங்கட்கிழமை முதல் நாம் அனைவரும் வீட்டிலேயே முடங்கிக் கிடக்கிறோம், நடமாட்டத்திற்கு கட்டுப்பாடுகள் உள்ளன, யாருக்குத் தெரியும். எனவே பதில் முற்றிலும் இயல்பானது:
நாம் அனைவரும் அறிந்தபடி, ஏப்ரல் 1, திங்கட்கிழமை, மிகவும் கடுமையான சுய-தனிமைப்படுத்தல் காலத்தின் தொடக்கத்தைக் குறித்தது. நாம் அனைவரும் தொலைதூரப் பணிக்கு மாறினோம், மேலும் நமக்கு ஒரு VPN-ம் தேவைப்பட்டது. எங்கள் VPN ஆனது இதன் அடிப்படையில் கட்டமைக்கப்பட்டுள்ளது. OpenVPNஆனால், ரஷ்ய குறியாக்கவியலை ஆதரிப்பதற்கும், PKCS#11 டோக்கன்கள் மற்றும் PKCS#12 கண்டெய்னர்களுடன் செயல்படும் திறனுக்கும் ஏற்றவாறு அது மாற்றியமைக்கப்பட்டது. இயல்பாகவே, நாங்களே ஒரு VPN வழியாகச் செயல்பட முழுமையாகத் தயாராக இல்லை என்பது தெரியவந்தது: பலரிடம் சான்றிதழ்கள் இல்லை, மேலும் சிலரிடம் காலாவதியான சான்றிதழ்களும் இருந்தன.
செயல்முறை எப்படி நடந்தது?
இங்குதான் பயன்பாடு மீட்புக்கு வந்தது. மற்றும் பயன்பாடு (சான்றிதழ் அதிகாரம்).
cryptoarmpkcs பயன்பாடு, தங்கள் வீட்டு கணினிகளில் டோக்கன்களை வைத்திருக்கும் சுய-தனிமையில் உள்ள ஊழியர்களுக்கு சான்றிதழ் கோரிக்கைகளை உருவாக்க அனுமதித்தது:
ஊழியர்கள் எனக்குச் சேமித்த கோரிக்கைகளை மின்னஞ்சல் வழியாக அனுப்பினர். சிலர், "தனிப்பட்ட தரவு பற்றி என்ன?" என்று கேட்கலாம், ஆனால் நீங்கள் கூர்ந்து கவனித்தால், அது கோரிக்கையில் சேர்க்கப்படவில்லை. மேலும் கோரிக்கையே அதன் கையொப்பத்தால் பாதுகாக்கப்படுகிறது.
சான்றிதழ் கோரிக்கை கிடைத்தவுடன், அது CAFL63 CA தரவுத்தளத்தில் இறக்குமதி செய்யப்படும்:
பின்னர் கோரிக்கை நிராகரிக்கப்பட வேண்டும் அல்லது அங்கீகரிக்கப்பட வேண்டும். கோரிக்கையை மதிப்பாய்வு செய்ய, அதைத் தேர்ந்தெடுத்து, வலது கிளிக் செய்து, கீழ்தோன்றும் மெனுவிலிருந்து "முடிவெடுக்கவும்" என்பதைத் தேர்ந்தெடுக்கவும்:
முடிவெடுக்கும் நடைமுறை முற்றிலும் வெளிப்படையானது:
ஒரு சான்றிதழ் இதேபோல் வழங்கப்படுகிறது, மெனு உருப்படி மட்டுமே "வெளியீட்டுச் சான்றிதழ்" என்று அழைக்கப்படுகிறது:
வழங்கப்பட்ட சான்றிதழைப் பார்க்க, நீங்கள் சூழல் மெனுவைப் பயன்படுத்தலாம் அல்லது தொடர்புடைய வரியில் இருமுறை கிளிக் செய்யவும்:
உள்ளடக்கங்களை இப்போது openssl ("OpenSSL உரை" தாவல்) அல்லது உள்ளமைக்கப்பட்ட CAFL63 வியூவரை ("சான்றிதழ் உரை" தாவல்) பயன்படுத்திப் பார்க்கலாம். பிந்தைய நிலையில், நீங்கள் சூழல் மெனுவைப் பயன்படுத்தி சான்றிதழை உரை வடிவத்தில் முதலில் கிளிப்போர்டுக்கும் பின்னர் ஒரு கோப்பிற்கும் நகலெடுக்கலாம்.
முதல் பதிப்போடு ஒப்பிடும்போது CAFL63 இல் என்ன மாற்றப்பட்டுள்ளது என்பது இங்கே. சான்றிதழ்களைப் பார்ப்பது குறித்து, இதை நாங்கள் ஏற்கனவே குறிப்பிட்டுள்ளோம். இப்போது ஒரு குறிப்பிட்ட பொருள்களின் குழுவை (சான்றிதழ்கள், கோரிக்கைகள், CRLகள்) தேர்ந்தெடுத்து "தேர்ந்தெடுக்கப்பட்டதைக் காண்க..." பொத்தானைப் பயன்படுத்தி அவற்றை உலாவ முடியும்.
ஒருவேளை மிக முக்கியமான விஷயம் என்னவென்றால், இந்த திட்டம் இலவசமாகக் கிடைக்கிறது லினக்ஸிற்கான விநியோகங்கள் மட்டுமின்றி, பிறவற்றிற்கும் விநியோகங்கள் தயாரிக்கப்பட்டுள்ளன. Windows மற்றும் OS X. விநியோகம் Android சற்று தாமதமாகப் பதிவிடப்படும்.
CAFL63 செயலியின் முந்தைய பதிப்போடு ஒப்பிடும்போது, இடைமுகம் மாற்றப்பட்டது மட்டுமல்லாமல், ஏற்கனவே குறிப்பிட்டபடி, புதிய அம்சங்களும் சேர்க்கப்பட்டுள்ளன. எடுத்துக்காட்டாக, செயலி விளக்கப் பக்கம் மறுவடிவமைப்பு செய்யப்பட்டு, பதிவிறக்க விநியோகங்களுக்கான நேரடி இணைப்புகளைச் சேர்க்கிறது:
GOST OpenSSL ஐ எங்கே பெறுவது என்று பலர் கேட்டிருக்கிறார்கள், இன்னும் கேட்டுக்கொண்டிருக்கிறார்கள். பாரம்பரியமாக, நான் கொடுக்கிறேன் , தயவுசெய்து வழங்கப்பட்டது இதை எப்படி பயன்படுத்துவது openssl எழுதப்பட்டுள்ளது .
ஆனால் இப்போது விநியோகங்களில் ரஷ்ய குறியாக்கவியலுடன் கூடிய openssl இன் சோதனை பதிப்பும் அடங்கும்.
எனவே, CA-ஐ உள்ளமைக்கும்போது, லினக்ஸுக்கு /tmp/lirssl_static என்பதையோ அல்லது openssl பயன்படுத்துவதற்கு $::env(TEMP)/lirssl_static.exe என்பதையோ நீங்கள் குறிப்பிடலாம். Windows:
இந்த நிலையில், நீங்கள் ஒரு வெற்று lirssl.cnf கோப்பை உருவாக்கி, LIRSSL_CONF சூழல் மாறியில் இந்தக் கோப்பிற்கான பாதையைக் குறிப்பிட வேண்டும்:
சான்றிதழ் அமைப்புகளில் உள்ள "நீட்டிப்புகள்" தாவல் "அதிகாரத் தகவல் அணுகல்" புலத்துடன் கூடுதலாக வழங்கப்பட்டுள்ளது, அங்கு நீங்கள் CA ரூட் சான்றிதழ் மற்றும் OCSP சேவையகத்திற்கான அணுகல் புள்ளிகளைக் குறிப்பிடலாம்:
விண்ணப்பதாரர்களிடமிருந்து தானாக உருவாக்கப்பட்ட கோரிக்கைகளை (PKCS#10) CAக்கள் ஏற்க மறுப்பதாகவோ அல்லது இன்னும் மோசமாக, சில CSP வழியாக ஒரு சேமிப்பக ஊடகத்தில் ஒரு விசை ஜோடியைப் பயன்படுத்தி தாங்களாகவே கோரிக்கைகளை உருவாக்க அவர்களை கட்டாயப்படுத்துவதாகவோ நாம் அடிக்கடி கேள்விப்படுகிறோம். PKCS#11 இடைமுகம் வழியாக பிரித்தெடுக்க முடியாத விசையுடன் (RuToken EDS-2.0 போன்றவை) டோக்கன்களைப் பயன்படுத்தி கோரிக்கைகளை உருவாக்குவதையும் அவர்கள் மறுக்கிறார்கள். எனவே, CAFL63 பயன்பாட்டில் PKCS#11 டோக்கன் கிரிப்டோகிராஃபிக் வழிமுறைகளைப் பயன்படுத்தி கோரிக்கை உருவாக்கத்தைச் சேர்க்க முடிவு செய்யப்பட்டது. டோக்கன் வழிமுறைகளை இயக்க தொகுப்பு பயன்படுத்தப்பட்டது. ஒரு CA-க்கு ஒரு கோரிக்கையை உருவாக்கும்போது (சான்றிதழ் கோரிக்கைகள் பக்கம், "கோரிக்கையை உருவாக்கு/CSR" செயல்பாடு), இப்போது நீங்கள் விசை ஜோடி எவ்வாறு உருவாக்கப்படும் (OpenSSL அல்லது டோக்கனைப் பயன்படுத்தி) மற்றும் கோரிக்கை எவ்வாறு கையொப்பமிடப்படும் என்பதைத் தேர்வுசெய்யலாம்:
டோக்கனுடன் பணிபுரிய தேவையான நூலகம் சான்றிதழ் அமைப்புகளில் குறிப்பிடப்பட்டுள்ளது:
ஆனால் சுய தனிமைப்படுத்தலின் போது கார்ப்பரேட் VPN நெட்வொர்க்கில் பணிபுரிவதற்கான சான்றிதழ்களை ஊழியர்களுக்கு வழங்குவதற்கான முக்கிய பணியிலிருந்து நாங்கள் விலகிச் சென்றோம். சில ஊழியர்களிடம் டோக்கன்கள் இல்லை என்பது தெரியவந்தது. CAFL63 பயன்பாட்டிற்கு நன்றி, அவர்களுக்கு பாதுகாப்பான PKCS#12 கொள்கலன்களை வழங்க முடிவு செய்தோம். முதலில், இந்த ஊழியர்களுக்கான PKCS#10 கோரிக்கைகளை உருவாக்கி, OpenSSL கிரிப்டோகிராஃபிக் தகவல் பாதுகாப்பு கருவி வகையைக் குறிப்பிட்டு, பின்னர் ஒரு சான்றிதழை வழங்கி, அதை PKCS12 ஆக தொகுக்கிறோம். இதைச் செய்ய, "சான்றிதழ்கள்" பக்கத்தில், விரும்பிய சான்றிதழைத் தேர்ந்தெடுத்து, வலது கிளிக் செய்து, "PKCS#12 க்கு ஏற்றுமதி செய்" என்பதைத் தேர்ந்தெடுக்கவும்:
கொள்கலன் சரியாக உள்ளதா என்பதை உறுதிப்படுத்த, cryptoarmpkcs பயன்பாட்டைப் பயன்படுத்துவோம்:
வழங்கப்பட்ட சான்றிதழ்களை இப்போது ஊழியர்களுக்கு அனுப்பலாம். சில எளிய சான்றிதழ் கோப்புகள் (டோக்கன் வைத்திருப்பவர்கள், கோரிக்கைகளைச் சமர்ப்பித்தவர்கள்) அல்லது PKCS#12 கொள்கலன்கள் மூலம் அனுப்பப்படும். பிந்தைய வழக்கில், ஒவ்வொரு பணியாளருக்கும் தொலைபேசி மூலம் கொள்கலன் கடவுச்சொல் வழங்கப்படும். கொள்கலனுக்கான பாதையை சரியாகக் குறிப்பிட இந்த ஊழியர்கள் VPN உள்ளமைவு கோப்பைத் திருத்த வேண்டும்.
டோக்கன் உரிமையாளர்களைப் பொறுத்தவரை, அவர்கள் தங்கள் டோக்கனுக்கான சான்றிதழை இறக்குமதி செய்ய வேண்டியிருந்தது. இதைச் செய்ய, அவர்கள் அதே cryptoarmpkcs பயன்பாட்டைப் பயன்படுத்தினர்:
இப்போது, VPN உள்ளமைவில் சில சிறிய மாற்றங்களுடன் (டோக்கனில் உள்ள சான்றிதழ் லேபிள் மாறியிருக்கலாம்), கார்ப்பரேட் VPN நெட்வொர்க் இயங்கத் தொடங்குகிறது.
மகிழ்ச்சியான முடிவு
பின்னர் எனக்குப் புரிந்தது: மக்கள் ஏன் எனக்கு டோக்கன்களைக் கொண்டு வர வேண்டும், அல்லது நான் அவர்களுக்காக ஒரு தூதரை அனுப்ப வேண்டுமா? எனவே நான் பின்வரும் மின்னஞ்சலை அனுப்பினேன்:
பதில் மறுநாள் வரும்:
நான் இப்போது உங்களுக்கு cryptoarmpkcs பயன்பாட்டுக்கான இணைப்பை அனுப்புகிறேன்:
சான்றிதழ் கோரிக்கைகளை உருவாக்குவதற்கு முன், அவர்கள் தங்கள் டோக்கன்களை சுத்தம் செய்யுமாறு நான் பரிந்துரைத்தேன்:
பின்னர் PKCS#10 சான்றிதழ்களுக்கான கோரிக்கைகள் மின்னஞ்சல் மூலம் அனுப்பப்பட்டன, நான் சான்றிதழ்களை வழங்கினேன், அவற்றை நான் இந்த முகவரிக்கு அனுப்பினேன்:
பின்னர் ஒரு இனிமையான தருணம் வந்தது:
மேலும் இந்தக் கடிதமும் இருந்தது:
அதன் பிறகு இந்தக் கட்டுரை பிறந்தது.
தளங்களுக்கான CAFL63 பயன்பாட்டு விநியோகங்கள் Linux மற்றும் எம்.எஸ். Windows கண்டுபிடிக்க முடியும்
இங்கே
தளத்தை உள்ளடக்கிய cryptoarmpkcs பயன்பாட்டின் விநியோகங்கள் Android, உள்ளன
இங்கே
ஆதாரம்: www.habr.com
