主持人 > 博客 > 管理 > 公钥基础设施。 自我隔离期间颁发证书

公钥基础设施。 自我隔离期间颁发证书

这一切是如何开始的

在自我隔离期一开始,我就收到了一封邮件:

公钥基础设施。 自我隔离期间颁发证书

第一反应很自然:要么去拿代币,要么就得带,但从周一开始我们都坐在家里,行动受到限制,那到底是谁? 因此,答案就很自然了:

公钥基础设施。 自我隔离期间颁发证书

众所周知,从 1 月 11 日星期一开始,一段相当严格的自我隔离期开始了。 我们也都转向远程工作,我们还需要 VPN。 我们的 VPN 基于 OpenVPN,但经过修改以支持俄罗斯加密技术以及使用 PKCS#12 令牌和 PKCS#XNUMX 容器的能力。 当然,事实证明我们自己还没有完全准备好通过 VPN 工作:许多人根本没有证书,有些人的证书已经过期。

过程如何?

这就是实用程序来救援的地方 加密臂kcs 和应用 CAFL63 (验证中心)。

cryptoarmpkcs 实用程序允许处于自我隔离状态且家庭计算机上拥有令牌的员工生成证书请求:

公钥基础设施。 自我隔离期间颁发证书

员工通过电子邮件将保存的请求发送给我。 有人可能会问: - 那个人数据呢,但仔细一看,请求中并没有。 并且请求本身受到其签名的保护。

收到证书请求后,证书请求将导入到 CAFL63 CA 数据库中:

公钥基础设施。 自我隔离期间颁发证书

此后,该请求必须被拒绝或批准。 要考虑请求,您需要选择它,右键单击并从下拉菜单中选择“做出决定”:

公钥基础设施。 自我隔离期间颁发证书

决策程序本身是绝对透明的:

公钥基础设施。 自我隔离期间颁发证书

证书的颁发方式相同,只是菜单项名为“颁发证书”:

公钥基础设施。 自我隔离期间颁发证书

要查看颁发的证书,您可以使用上下文菜单或只需双击相应的行:

公钥基础设施。 自我隔离期间颁发证书

现在可以通过 openssl(OpenSSL 文本选项卡)和 CAFL63 应用程序的内置查看器(证书文本选项卡)查看内容。 在后一种情况下,您可以使用上下文菜单以文本形式将证书复制到剪贴板,然后复制到文件。

这里需要注意的是CAFL63与第一个版本相比有哪些变化? 至于查看证书,我们已经注意到了这一点。 还可以选择一组对象(证书、请求、CRL)并以分页模式查看它们(“查看所选...”按钮)。

可能最重要的是该项目可以在 吉萨贝。 除了Linux发行版外,还准备了Windows和OS X发行版,Android发行版将在稍后发布。

与之前版本的 CAFL63 应用程序相比,不仅界面本身发生了变化,而且如前所述,还添加了新功能。 例如,包含应用程序描述的页面已重新设计,并添加了下载发行版的直接链接:

公钥基础设施。 自我隔离期间颁发证书

许多人已经询问并且仍在询问从哪里可以获得 GOST openssl。 传统上我给 链接,请提供 加雷克斯。 这个openssl的使用方法是这样写的 这里.
但现在分发包中包含了带有俄罗斯密码学的 openssl 测试版本。

因此,在设置 CA 时,您可以指定 /tmp/lirssl_static(对于 Linux)或 $::env(TEMP)/lirssl_static.exe(对于 Windows)作为使用的 openssl:

公钥基础设施。 自我隔离期间颁发证书

在这种情况下,您需要创建一个空的 lirssl.cnf 文件,并在环境变量 LIRSSL_CONF 中指定该文件的路径:

公钥基础设施。 自我隔离期间颁发证书

证书设置中的“扩展”选项卡已补充了“权限信息访问”字段,您可以在其中设置 CA 根证书和 OCSP 服务器的访问点:

公钥基础设施。 自我隔离期间颁发证书

我们经常听说 CA 不接受申请人生成的请求 (PKCS#10),或者更糟糕的是,通过某些 CSP 在运营商上生成密钥对来强制形成请求。 他们拒绝通过 PKCS#2.0 接口使用不可检索的密钥(在相同的 RuToken EDS-11 上)生成对令牌的请求。 因此,决定使用 PKCS#63 令牌的加密机制将请求生成添加到 CAFL11 应用程序的功能中。 为了启用令牌机制,使用了该包 TclPKCS11。 当向 CA 创建请求时(“证书请求”页面,“创建请求/CSR”功能),您现在可以选择如何生成密钥对(使用 openssl 或在令牌上),并对请求本身进行签名:

公钥基础设施。 自我隔离期间颁发证书

使用令牌所需的库在证书的设置中指定:

公钥基础设施。 自我隔离期间颁发证书

但我们偏离了为员工提供在企业 VPN 网络中以自我隔离模式工作的证书的主要任务。 原来,有的员工没有代币。 我们决定为他们提供 PKCS#12 受保护的容器,因为 CAFL63 应用程序允许这样做。 首先,对于此类员工,我们发出 PKCS#10 请求,指示 CIPF 类型“OpenSSL”,然后我们颁发证书并将其打包在 PKCS12 中。 为此,在“证书”页面上,选择所需的证书,右键单击并选择“导出到 PKCS#12”:

公钥基础设施。 自我隔离期间颁发证书

为了确保容器中的一切都井然有序,让我们使用 cryptoarmpkcs 实用程序:

公钥基础设施。 自我隔离期间颁发证书

您现在可以将颁发的证书发送给员工。 有些人只是发送带有证书的文件(这些是令牌所有者,发送请求的人)或 PKCS#12 容器。 在第二种情况下,每个员工都会通过电话获得容器的密码。 这些员工只需通过正确指定容器的路径来更正 VPN 配置文件即可。

对于令牌所有者来说,他们还需要为其令牌导入证书。 为此,他们使用了相同的 cryptoarmpkcs 实用程序:

公钥基础设施。 自我隔离期间颁发证书

现在,对 VPN 配置进行了最小的更改(令牌上的证书标签可能已更改),仅此而已,公司 VPN 网络即可正常工作。

一个圆满的结局

然后我突然意识到,为什么人们会给我带来代币,或者我应该为他们派一个信使。 我寄出一封信,内容如下:

公钥基础设施。 自我隔离期间颁发证书

第二天就会有答案:

公钥基础设施。 自我隔离期间颁发证书

我立即发送一个指向 cryptoarmpkcs 实用程序的链接:

公钥基础设施。 自我隔离期间颁发证书

在创建证书请求之前,我建议他们清除令牌:

公钥基础设施。 自我隔离期间颁发证书

然后,通过电子邮件发送 PKCS#10 格式的证书请求,我颁发了证书,并将其发送至:

公钥基础设施。 自我隔离期间颁发证书

然后愉快的时刻到来了:

公钥基础设施。 自我隔离期间颁发证书

还有这封信:

公钥基础设施。 自我隔离期间颁发证书

然后这篇文章就诞生了。

可以找到适用于 Linux 和 MS Windows 平台的 CAFL63 应用程序发行版

这里

cryptoarmpkcs 实用程序的发行版(包括 Android 平台)位于

这里

来源: habr.com

添加评论