Чӣ тавр он ҳама сар шуд
Дар ибтидои давраи ҷудошавӣ ба ман мактубе аз почта гирифтам:
Аввалин вокуниш табиӣ буд: шумо бояд ё токенҳо равед, ё онҳоро овардан лозим аст, аммо аз рӯзи душанбе мо ҳама дар хона нишастаем, дар ҳаракат маҳдудиятҳо вуҷуд доранд ва ин кист? Аз ин рӯ, ҷавоб комилан табиист:
Ва тавре ки ба ҳама маълум аст, аз рӯзи душанбеи 1 апрел давраи изоляцияи хеле сахт оғоз шуд. Мо инчунин ҳама ба кори дурдаст гузаштем ва ба мо VPN низ лозим буд. VPN-и мо ба OpenVPN асос ёфтааст, аммо барои дастгирии криптографияи русӣ ва қобилияти кор бо аломатҳои PKCS#11 ва контейнерҳои PKCS#12 тағир дода шудааст. Табиист, ки мо худамон ба кор тавассути VPN чандон омода набудем: бисёриҳо сертификат надоштанд ва баъзеҳо шаҳодатномаҳои мӯҳлаташон гузашта буданд.
Раванд чӣ гуна гузашт?
Ва ин аст, ки хидматрасонӣ ба наҷот меояд
Утилитаи cryptoarmpkcs ба кормандоне, ки дар изолятсия қарор доранд ва дар компютерҳои хонагии худ нишонаҳо доранд, имкон дод, ки дархостҳои сертификатсияро тавлид кунанд:
Кормандон дархостҳои захирашударо тавассути почтаи электронӣ ба ман фиристоданд. Шояд касе бипурсад: - Маълумоти шахсӣ чӣ мешавад, аммо агар бодиққат нигоҳ кунед, он дар дархост нест. Ва худи дархост бо имзои он ҳифз карда мешавад.
Ҳангоми гирифтани дархости сертификат ба базаи CAFL63 CA ворид карда мешавад:
Пас аз он дархост бояд рад ё тасдиқ карда шавад. Барои баррасии дархост, шумо бояд онро интихоб кунед, тугмаи ростро клик кунед ва аз менюи афтанда "Қарор қабул кунед" -ро интихоб кунед:
Тартиби қабули қарор комилан шаффоф аст:
Шаҳодатнома низ ҳамин тавр дода мешавад, танҳо менюи меню "Шаҳодатнома додан" номида мешавад:
Барои дидани шаҳодатномаи додашуда, шумо метавонед менюи контекстӣ истифода баред ё дар сатри мувофиқ ду маротиба клик кунед:
Акнун мундариҷаро ҳам тавассути openssl (ҷадвали OpenSSL Text) ва ҳам намоишгари дохилии замимаи CAFL63 (ҷадвали Матни Сертификат) дидан мумкин аст. Дар ҳолати охирин, шумо метавонед аз менюи контекстӣ истифода баред, то сертификатро дар шакли матн, аввал ба буфер ва баъд ба файл нусхабардорӣ кунед.
Дар ин ҷо бояд қайд кард, ки дар CAFL63 нисбат ба версияи аввал чӣ тағир ёфтааст? Дар мавриди дидани сертификатҳо, мо инро аллакай қайд кардем. Инчунин, интихоби гурӯҳи объектҳо (сертификатҳо, дархостҳо, CRL) ва дидани онҳо дар реҷаи пейджинг имконпазир гардид (тугмаи "Намоиши интихобшуда ...").
Шояд чизи аз ҳама муҳим он аст, ки лоиҳа ба таври ройгон дастрас аст
Дар муқоиса бо версияи қаблии замимаи CAFL63, на танҳо худи интерфейс тағир ёфт, балки, тавре ки аллакай зикр гардид, хусусиятҳои нав илова карда шуданд. Масалан, саҳифа бо тавсифи барнома аз нав тарҳрезӣ карда шуд ва истинодҳои мустақим ба зеркашии тақсимотҳо илова карда шуданд:
Бисёриҳо пурсиданд ва ҳоло ҳам мепурсанд, ки GOST openssl-ро аз куҷо дастрас кардан мумкин аст. Ба таври анъанавӣ ман медиҳам
Аммо ҳоло маҷмӯаҳои тақсимот версияи санҷишии openssl бо криптографияи русиро дар бар мегиранд.
Аз ин рӯ, ҳангоми насб кардани CA, шумо метавонед ё /tmp/lirssl_static барои Linux ё $::env(TEMP)/lirssl_static.exe барои Windows ҳамчун openssl истифодашударо муайян кунед:
Дар ин ҳолат, ба шумо лозим меояд, ки файли холии lirssl.cnf эҷод кунед ва роҳи ин файлро дар тағирёбандаи муҳити LIRSSL_CONF муайян кунед:
Ҷадвали "Иловаҳо" дар танзимоти сертификат бо майдони "Дастрасӣ ба маълумоти мақомот" илова карда шудааст, ки дар он шумо метавонед нуқтаҳои дастрасиро ба сертификати решаи CA ва сервери OCSP насб кунед:
Мо бисёр вақт мешунавем, ки CA дархостҳои аз ҷониби онҳо тавлидшуда (PKCS#10) аз довталабонро қабул намекунад ё ҳатто бадтараш, ташаккули дархостҳоро бо тавлиди ҷуфти калидӣ дар интиқолдиҳанда тавассути баъзе CSP маҷбур мекунад. Ва онҳо аз тавлиди дархостҳо оид ба нишонаҳо бо калиди барқарорнашаванда (дар ҳамон RuToken EDS-2.0) тавассути интерфейси PKCS # 11 худдорӣ мекунанд. Аз ин рӯ, тасмим гирифта шуд, ки тавлиди дархост ба функсияи замимаи CAFL63 бо истифода аз механизмҳои криптографии аломатҳои PKCS # 11 илова карда шавад. Барои фаъол кардани механизмҳои аломат, баста истифода шуд
Китобхонае, ки барои кор бо токен лозим аст, дар танзимоти сертификат нишон дода шудааст:
Аммо мо аз вазифаи асосии таъмини кормандон бо шаҳодатномаҳо барои кор дар шабакаи корпоративии VPN дар реҷаи ҷудокунӣ дур шудем. Маълум шуд, ки баъзе коркунон жетон надоранд. Қарор дода шуд, ки ба онҳо контейнерҳои муҳофизатшавандаи PKCS # 12 таъмин карда шаванд, зеро барномаи CAFL63 ба ин имкон медиҳад. Аввалан, барои чунин кормандон мо дархостҳои PKCS#10-ро бо нишон додани навъи CIPF "OpenSSL" мекунем, пас мо сертификат медиҳем ва онро дар PKCS12 баста мекунем. Барои ин, дар саҳифаи "Сертификатҳо" сертификати дилхоҳро интихоб кунед, тугмаи ростро клик кунед ва "Экспорт ба PKCS#12" -ро интихоб кунед:
Барои боварӣ ҳосил кардан, ки ҳама чиз бо контейнер мувофиқ аст, биёед утилитаи cryptoarmpkcs-ро истифода барем:
Акнун шумо метавонед шаҳодатномаҳои додашударо ба кормандон фиристед. Баъзе одамон танҳо файлҳоро бо сертификатҳо (инҳо соҳибони нишонаҳо, онҳое, ки дархост фиристодаанд) ё контейнерҳои PKCS # 12 фиристодаанд. Дар сурати дуюм ба хар як коркун ба воситаи телефон пароли контейнер дода мешавад. Ин кормандон танҳо бояд файли конфигуратсияи VPN-ро бо роҳи дуруст муайян кардани роҳ ба контейнер ислоҳ кунанд.
Дар мавриди соҳибони токенҳо, онҳо инчунин бояд сертификати аломати худро ворид кунанд. Барои ин, онҳо аз ҳамон утилитаи cryptoarmpkcs истифода карданд:
Ҳоло дар конфигуратсияи VPN тағиротҳои ҳадди ақал мавҷуданд (тамғаи сертификат дар нишона метавонад тағир дода шавад) ва ҳамин тавр, шабакаи корпоративии VPN дар ҳолати корӣ қарор дорад.
Охири хушбахтона
Ва он гоҳ ба сарам омад, ки чаро одамон нишонаҳоро назди ман меоранд ё бояд барояшон паёмбар бифиристам? Ва ман мактуберо бо мазмуни зерин мефиристам:
Ҷавоб рӯзи дигар меояд:
Ман фавран истинодро ба утилитаи cryptoarmpkcs мефиристам:
Пеш аз эҷод кардани дархостҳои сертификат, ман тавсия додам, ки онҳо аломатҳоро тоза кунанд:
Сипас дархостҳо барои сертификатҳо дар формати PKCS # 10 тавассути почтаи электронӣ фиристода шуданд ва ман сертификатҳо додам, ки ман онҳоро ба:
Ва он гоҳ лаҳзаи гуворо фаро расид:
Ва ин нома низ буд:
Ва баъд аз он ин мақола ба дунё омад.
Тақсимоти замимаи CAFL63-ро барои платформаҳои Linux ва MS Windows ёфтан мумкин аст
дар ин ҷо
Тақсимоти утилитаи cryptoarmpkcs, аз ҷумла платформаи Android, ҷойгиранд
дар ин ҷо
Манбаъ: will.com