👨🏿‍🔬 💵 🎊 البنية التحتية للمفتاح العام. إصدار الشهادات بشروط العزل الذاتي 🌫️ 🍸 🕎

كيف بدأ كل شيء

في بداية فترة العزلة الذاتية ، تلقيت رسالة في البريد:

كان رد الفعل الأول طبيعيًا: يجب أن يذهب إما للرموز المميزة ، أو يجب إحضارها ، ومن الاثنين سنبقى جميعًا في المنزل ، وقيودًا على الحركة ، وما لا يمزح الجحيم. لذلك كان الجواب طبيعيا جدا:

وكما نعلم جميعًا ، بدءًا من يوم الاثنين 1 أبريل ، بدأت فترة من العزلة الذاتية الصارمة تمامًا. نحن أيضًا تحولنا جميعًا إلى udalenka ونحتاج أيضًا إلى VPN. يعتمد VPN الخاص بنا على OpenVPN ، ولكن تم تعديله لدعم التشفير الروسي والقدرة على العمل مع الرموز المميزة PKCS # 11 وحاويات PKCS # 12. وبطبيعة الحال ، اتضح أننا أنفسنا لم نكن مستعدين تمامًا للعمل من خلال VPN: فالكثير منهم ببساطة لم يكن لديهم شهادات ، بينما انتهت صلاحية الآخرين.

كيف كانت العملية

وهنا جاءت فائدة cryptoarmpkcs وتطبيق CAFL63 ( سلطة التصديق) على الإنقاذ .

سمحت أداة cryptoarmpkcs للموظفين المعزولين ذاتيًا بالرموز المميزة على أجهزة الكمبيوتر المنزلية الخاصة بهم بإنشاء

طلبات الشهادات : أرسل الموظفون الطلبات المحفوظة عبر البريد الإلكتروني إلي. قد يسأل شخص ما: - ماذا عن البيانات الشخصية ، ولكن إذا نظرت بعناية ، فهي ليست في الطلب. والطلب نفسه محمي بتوقيعه.

عند الاستلام ، يتم استيراد طلب الشهادة إلى قاعدة بيانات CA CAFL63 CA:

بعد ذلك ، يجب إما رفض الطلب أو الموافقة عليه. للنظر في الطلب ، من الضروري تحديده ، والضغط على زر الماوس الأيمن وتحديد عنصر "اتخاذ قرار" في القائمة المنسدلة:

إجراء اتخاذ القرار نفسه شفاف تمامًا:

يتم إصدار الشهادة بنفس الطريقة ، ويسمى عنصر القائمة فقط "إصدار شهادة":

لعرض الشهادة الصادرة ، يمكنك استخدام قائمة السياق أو النقر نقرًا مزدوجًا على السطر المقابل:

الآن يمكن عرض المحتويات على أنها تستخدم opensl (علامة التبويب Text من OpenSSL ") ، بالإضافة إلى العارض المضمن لتطبيق CAFL63 (علامة التبويب" نص الشهادة "). في الحالة الأخيرة ، يمكنك استخدام قائمة السياق لنسخ الشهادة في شكل نصي ، أولاً إلى الحافظة ، ثم إلى الملف.

وتجدر الإشارة هنا إلى ما الذي تغير في CAFL63 مقارنة بالإصدار الأول؟ أما بالنسبة لعرض الشهادات ، فقد لاحظنا ذلك بالفعل. أصبح من الممكن أيضًا تحديد مجموعة من الكائنات (الشهادات والطلبات و CRL) وعرضها في وضع الترحيل (الزر "عرض المحدد ...").

ربما أهم شيء هو أن المشروع متاح مجانًا على github . إلى جانب توزيعات لينكس ، يتم إعداد توزيعات لـ Windows و OS X. سيتم وضع مجموعة التوزيع لنظام Android بعد ذلك بقليل.

مقارنة بالإصدار السابق من تطبيق CAFL63 ، لم يتم تغيير الواجهة نفسها فحسب ، ولكن ، كما تمت الإشارة سابقًا ، تمت إضافة ميزات جديدة. لذلك ، على سبيل المثال ، تمت إعادة تصميم الصفحة التي تحتوي على وصف التطبيق ، وتمت إضافة روابط مباشرة إلى توزيعات التنزيل:

سأل الكثيرون ويسألون الآن عن مكان الحصول على GOST-s opensl. تقليديا أعطي ارتباط يرجى التكرمالثوم. كيفية استخدام هذا opensl مكتوب هنا .
ولكن الآن تتضمن نسخة التوزيع نسخة تجريبية من opensl مع التشفير الروسي.

لذلك ، عند إعداد المرجع المصدق ، مثل opensl المستخدم ، سيكون من الممكن تحديد إما / tmp / lirssl_static لـ Linux ، أو $ :: env (TEMP) /lirssl_static.exe لنظام التشغيل Windows:

في هذه الحالة ، سيكون من الضروري إنشاء ملف lirssl.cnf فارغ وحدد المسار إلى هذا الملف في متغير البيئة LIRSSL_CONF:

يتم استكمال علامة تبويب الامتدادات في إعدادات الشهادة بحقل الوصول إلى معلومات التفويض ، حيث يمكنك تعيين نقاط الوصول إلى شهادة الجذر CA وخادم OCSP:

غالبًا ما يُسمع أن CAs لا تقبل الطلبات من المتقدمين (PKCS # 10) التي ينشئونها ، أو الأسوأ من ذلك ، أنهم يفرضون على أنفسهم إنشاء الطلبات مع إنشاء زوج رئيسي على الوسيط من خلال CSP معين. ويرفضون إنشاء طلبات على الرموز المميزة باستخدام مفتاح غير قابل للاسترداد (على نفس RuToken EDS-2.0) من خلال واجهة PKCS # 11. لذلك ، تقرر إضافة إنشاء استعلام إلى وظائف تطبيق CAFL63 باستخدام آليات رمز التشفير PKCS # 11. لربط آليات الرمز المميز ، تم استخدام حزمة TclPKCS11 . عند إنشاء طلب إلى المرجع المصدق (صفحة "طلب الشهادات" ، وظيفة "إنشاء طلب / CSR") ، يمكنك الآن اختيار كيفية إنشاء زوج المفاتيح (باستخدام opensl أو على الرمز المميز) وسيتم توقيع الطلب:

تتم كتابة المكتبة اللازمة للعمل مع الرمز المميز في إعدادات الشهادة:

لكننا انحرفنا عن المهمة الرئيسية المتمثلة في تزويد الموظفين بشهادات للعمل في شبكة VPN الخاصة بالشركات في وضع العزل الذاتي. اتضح أن بعض الموظفين ليس لديهم رموز مميزة. تقرر تزويدهم بالحاويات الآمنة PKCS # 12 ، لأن CAFL63 يسمح بذلك. أولاً ، نقوم بتقديم طلبات PKCS # 10 لهؤلاء الموظفين للإشارة إلى نوع نظام حماية معلومات التشفير OpenSSL ، ثم نصدر شهادة ونحزمها في PKCS12. للقيام بذلك ، في صفحة الشهادات ، حدد الشهادة المطلوبة ، وانقر فوق زر الماوس الأيمن وحدد العنصر "تصدير إلى PKCS # 12":

للتأكد من أن كل شيء على ما يرام مع الحاوية ، استخدم الأداة المساعدة cryptoarmpkcs:

الآن يمكنك إرسال الشهادات الصادرة للموظفين. يتم إرسال الملفات ذات الشهادات إلى شخص ما (هؤلاء هم أصحاب الرموز المميزة ، وأولئك الذين أرسلوا الطلبات) ، أو حاويات PKCS # 12. في الحالة الثانية ، يتم إخطار كل موظف عن طريق الهاتف بكلمة مرور الحاوية. يكفي هؤلاء الموظفين لتصحيح ملف تكوين VPN ، بعد تعيين المسار بشكل صحيح للحاوية.

أما بالنسبة لأصحاب الرمز ، فلا يزال عليهم استيراد شهادة لرمزهم. للقيام بذلك ، استخدموا الأداة المساعدة cryptoarmpkcs نفسها: