Her şey nasıl başladı
Kendi kendine tecrit döneminin en başında postadan bir mektup aldım:
İlk tepki doğaldı: Ya jeton almaya gitmeniz gerekiyor ya da getirmeniz gerekiyor, ancak pazartesiden beri hepimiz evde oturuyoruz, hareket kısıtlamaları var ve bu da kim? Bu nedenle cevap oldukça doğaldı:
Ve hepimizin bildiği gibi, 1 Nisan Pazartesi gününden itibaren oldukça katı bir tecrit dönemi başladı. Ayrıca hepimiz uzaktan çalışmaya geçtik ve bir VPN'e de ihtiyacımız vardı. VPN'imiz OpenVPN'e dayanmaktadır, ancak Rus şifrelemesini ve PKCS#11 belirteçleri ve PKCS#12 kapsayıcılarıyla çalışma yeteneğini destekleyecek şekilde değiştirilmiştir. Doğal olarak, bizim VPN aracılığıyla çalışmaya pek hazır olmadığımız ortaya çıktı: birçoğunun sertifikaları yoktu ve bazılarının süresi dolmuştu.
Süreç nasıl ilerledi?
Ve burası yardımcı programın kurtarmaya geldiği yer ve uygulama (Doğrulama Merkezi).
Cryptoarmpkcs yardımcı programı, kendini izole eden ve ev bilgisayarlarında belirteçleri bulunan çalışanların sertifika istekleri oluşturmasına olanak tanıdı:
Çalışanlar kaydedilmiş istekleri bana e-posta yoluyla gönderdiler. Birisi şunu sorabilir: - Peki ya kişisel veriler ama yakından bakarsanız talepte yok. Ve isteğin kendisi de imzasıyla korunmaktadır.
Alındıktan sonra sertifika isteği CAFL63 CA veritabanına aktarılır:
Bundan sonra talebin ya reddedilmesi ya da onaylanması gerekir. Bir isteği değerlendirmek için onu seçmeniz, sağ tıklamanız ve açılır menüden "Karar ver" seçeneğini seçmeniz gerekir:
Karar verme prosedürünün kendisi kesinlikle şeffaftır:
Sertifika aynı şekilde verilir, yalnızca menü öğesine "Sertifika ver" adı verilir:
Verilen sertifikayı görüntülemek için içerik menüsünü kullanabilir veya ilgili satıra çift tıklayabilirsiniz:
Artık içerik hem openssl (OpenSSL Metin sekmesi) hem de CAFL63 uygulamasının yerleşik görüntüleyicisi (Sertifika Metni sekmesi) aracılığıyla görüntülenebilir. İkinci durumda, sertifikayı metin biçiminde önce panoya, sonra da bir dosyaya kopyalamak için içerik menüsünü kullanabilirsiniz.
Burada CAFL63'te ilk versiyona göre nelerin değiştiğine dikkat edilmelidir? Sertifikaları görüntülemeye gelince, bunu zaten belirtmiştik. Ayrıca bir grup nesneyi (sertifikalar, istekler, CRL'ler) seçip bunları sayfalama modunda görüntülemek ("Seçilenleri görüntüle..." düğmesi) de mümkün hale geldi.
Muhtemelen en önemli şey projenin ücretsiz olarak erişilebilir olmasıdır. . Linux için dağıtımların yanı sıra Windows ve OS X için de dağıtımlar hazırlandı, Android için de dağıtım biraz sonra yayınlanacak.
CAFL63 uygulamasının önceki sürümüyle karşılaştırıldığında, yalnızca arayüzün kendisi değişmedi, aynı zamanda daha önce de belirtildiği gibi yeni özellikler eklendi. Örneğin, uygulama açıklamasını içeren sayfa yeniden tasarlandı ve dağıtımların indirilmesine doğrudan bağlantılar eklendi:
Birçoğu GOST openssl'ın nereden alınacağını sordu ve hala soruyor. Geleneksel olarak veririm , lütfen sağladınız . Bu openssl'ın nasıl kullanılacağı yazılmıştır .
Ancak artık dağıtım kitleri, openssl'nin Rus kriptografisine sahip bir test sürümünü içeriyor.
Bu nedenle, CA'yı ayarlarken, kullanılan openssl olarak Linux için /tmp/lirssl_static'i veya Windows için $::env(TEMP)/lirssl_static.exe'yi belirtebilirsiniz:
Bu durumda, boş bir lirssl.cnf dosyası oluşturmanız ve bu dosyanın yolunu LIRSSL_CONF ortam değişkeninde belirtmeniz gerekecektir:
Sertifika ayarlarındaki "Uzantılar" sekmesi, CA kök sertifikasına ve OCSP sunucusuna erişim noktaları ayarlayabileceğiniz "Yetki Bilgisi Erişimi" alanıyla desteklendi:
CA'ların başvuru sahiplerinden kendileri tarafından oluşturulan talepleri (PKCS#10) kabul etmediklerini veya daha da kötüsü bazı CSP aracılığıyla taşıyıcıda bir anahtar çifti oluşturarak isteklerin oluşturulmasını zorladığını sıklıkla duyuyoruz. Ve PKCS#2.0 arayüzü aracılığıyla alınamayan bir anahtara sahip (aynı RuToken EDS-11'da) belirteçler üzerinde istek oluşturmayı reddediyorlar. Bu nedenle CAFL63 uygulamasının işlevselliğine, PKCS#11 tokenlerinin şifreleme mekanizmalarını kullanarak istek oluşturmanın eklenmesine karar verildi. Belirteç mekanizmalarını etkinleştirmek için paket kullanıldı . Bir CA'ya istek oluştururken ("Sertifika istekleri" sayfası, "İstek/CSR oluştur" işlevi) artık anahtar çiftinin nasıl oluşturulacağını (openssl kullanarak veya bir belirteç üzerinde) ve isteğin kendisinin nasıl imzalanacağını seçebilirsiniz:
Belirteçle çalışmak için gereken kitaplık, sertifikanın ayarlarında belirtilir:
Ancak çalışanlara kurumsal bir VPN ağında kendi izolasyon modunda çalışmaları için sertifika sağlama ana görevinden saptık. Bazı çalışanların jetonlarının olmadığı ortaya çıktı. CAFL12 uygulaması buna izin verdiği için onlara PKCS#63 korumalı konteynerler sağlanmasına karar verildi. Öncelikle bu tür çalışanlar için CIPF tipini “OpenSSL” belirten PKCS#10 talepleri yapıyoruz, ardından bir sertifika düzenleyip bunu PKCS12'de paketliyoruz. Bunu yapmak için, "Sertifikalar" sayfasında istediğiniz sertifikayı seçin, sağ tıklayın ve "PKCS#12'ye Aktar" seçeneğini seçin:
Konteynerde her şeyin yolunda olduğundan emin olmak için cryptoarmpkcs yardımcı programını kullanalım:
Artık verilen sertifikaları çalışanlara gönderebilirsiniz. Bazı kişilere yalnızca sertifika içeren dosyalar (bunlar belirteç sahipleri, istek gönderenler) veya PKCS#12 kapsayıcıları gönderilir. İkinci durumda ise her çalışana telefon üzerinden konteynerin şifresi veriliyor. Bu çalışanların yalnızca konteynerin yolunu doğru bir şekilde belirterek VPN yapılandırma dosyasını düzeltmeleri gerekir.
Token sahiplerine gelince, onların da tokenleri için bir sertifika ithal etmeleri gerekiyordu. Bunu yapmak için aynı cryptoarmpkcs yardımcı programını kullandılar:
Artık VPN yapılandırmasında çok az değişiklik var (belirteç üzerindeki sertifika etiketi değişmiş olabilir) ve işte bu kadar, kurumsal VPN ağı çalışır durumda.
mutlu bir son
Ve sonra şunu anladım ki, insanlar neden bana jeton getirsinler ya da ben onlara bir haberci göndereyim. Ve aşağıdaki içeriğe sahip bir mektup gönderiyorum:
Cevap ertesi gün geliyor:
Hemen cryptoarmpkcs yardımcı programına bir bağlantı gönderiyorum:
Sertifika istekleri oluşturmadan önce belirteçleri temizlemelerini önerdim:
Daha sonra PKCS#10 formatındaki sertifika talepleri e-postayla gönderildi ve ben de sertifikaları verdim ve bunları şu adrese gönderdim:
Ve sonra hoş bir an geldi:
Bir de şu mektup vardı:
Ve bundan sonra bu makale doğdu.
CAFL63 uygulamasının Linux ve MS Windows platformlarına yönelik dağıtımlarına buradan ulaşabilirsiniz.
burada
Android platformu da dahil olmak üzere cryptoarmpkcs yardımcı programının dağıtımları bulunmaktadır.
burada
Kaynak: habr.com