Infrastruktur für öffentliche Schlüssel. Ausstellung von Zertifikaten unter Bedingungen der Selbstisolation

Wie alles begann

Zu Beginn der Zeit der Selbstisolation erhielt ich einen Brief an meine Post:



Die erste Reaktion war natürlich: Entweder müssen Token gekauft werden, oder sie sollten gebracht werden, und ab Montag werden wir alle nach Hause gehen, Bewegungseinschränkungen und was zum Teufel kein Scherz ist. Daher war die Antwort ganz natürlich:



Und wie wir alle wissen, begann ab Montag, dem 1. April, eine Zeit ziemlich strenger Selbstisolation. Auch wir sind alle auf udalenka umgestiegen und brauchten ein VPN. Unser VPN basiert auf OpenVPN, wurde jedoch geändert, um die russische Kryptographie und die Fähigkeit zu unterstützen, mit PKCS # 11-Token und PKCS # 12-Containern zu arbeiten. Es stellte sich natürlich heraus, dass wir selbst nicht bereit waren, über ein VPN zu arbeiten: Viele hatten einfach keine Zertifikate, während andere abgelaufen waren.

Wie war der Prozess?

Und hier kamen das Dienstprogramm cryptoarmpkcs und die CAFL63- Anwendung (Zertifizierungsstelle) zur Rettung .

Mit dem Dienstprogramm cryptoarmpkcs konnten selbstisolierende Mitarbeiter mit Token auf ihren Heimcomputern Zertifikatanforderungen generieren



: Mitarbeiter haben gespeicherte Anforderungen per E-Mail an mich gesendet. Jemand könnte fragen: - Was ist mit persönlichen Daten, aber wenn Sie genau hinschauen, sind sie nicht in der Anfrage. Und die Anfrage selbst ist durch ihre Unterschrift geschützt.

Nach Erhalt wird die Zertifikatanforderung in die CA CAFL63-CA-Datenbank importiert:



Danach muss die Anforderung entweder abgelehnt oder genehmigt werden. Um eine Anfrage zu berücksichtigen, müssen Sie sie auswählen, die rechte Maustaste drücken und im Dropdown-Menü den Punkt "Entscheidung treffen" auswählen:



Das Entscheidungsverfahren selbst ist absolut transparent:



Ein Zertifikat wird auf ähnliche Weise ausgestellt, nur der Menüpunkt heißt „Zertifikat ausstellen“:



Um das ausgestellte Zertifikat anzuzeigen, können Sie das Kontextmenü verwenden oder einfach auf die entsprechende Zeile



doppelklicken : Jetzt kann der Inhalt mit openssl (Registerkarte Text) angezeigt werden from OpenSSL “) sowie den integrierten Viewer der CAFL63-Anwendung (Registerkarte„ Certificate Text “). Im letzteren Fall können Sie das Zertifikat über das Kontextmenü in Textform zuerst in die Zwischenablage und dann in die Datei kopieren.

Hierbei ist zu beachten, was sich in CAFL63 gegenüber der ersten Version geändert hat. Das Anzeigen von Zertifikaten haben wir bereits vermerkt. Es ist auch möglich geworden, eine Gruppe von Objekten (Zertifikate, Anforderungen, CRL) auszuwählen und im Paging-Modus anzuzeigen (Schaltfläche "Ausgewählte anzeigen ...").

Das wahrscheinlich wichtigste ist, dass das Projekt auf dem Github frei verfügbar ist . Neben Distributionen für Linux werden auch Distributionen für Windows und OS X vorbereitet. Das Distributionskit für Android wird etwas später veröffentlicht.

Im Vergleich zur Vorgängerversion der CAFL63-Anwendung hat sich nicht nur die Benutzeroberfläche selbst geändert, sondern, wie bereits erwähnt, wurden neue Funktionen hinzugefügt. So wurde beispielsweise die Seite mit der Anwendungsbeschreibung neu gestaltet und direkte Links zum Herunterladen von Distributionen hinzugefügt:



Viele fragten und fragen jetzt, wo sie GOST-s openssl bekommen können. Traditionell gebe ich einen freundlicherweise angegebenen LinkGarex. Wie man dieses openssl benutzt, ist hier geschrieben .
Aber jetzt enthält die Distributionsversion eine Testversion von openssl mit russischer Kryptographie.

Daher kann es beim Einrichten der Zertifizierungsstelle als OpenSL verwendet werden, entweder / tmp / lirssl_static für Linux oder $ :: env (TEMP) /lirssl_static.exe für Windows anzugeben:



In diesem Fall müssen Sie eine leere Datei lirssl.cnf erstellen und geben Sie den Pfad zu dieser Datei in der Umgebungsvariablen LIRSSL_CONF an:



Die Registerkarte Erweiterungen in den Zertifikateinstellungen wird durch das Feld Zugriff auf Berechtigungsinformationen ergänzt, in dem Sie Zugriffspunkte für das CA-Stammzertifikat und den OCSP-Server festlegen können:



Es ist oft zu hören, dass Zertifizierungsstellen keine Anfragen von Antragstellern (PKCS # 10) akzeptieren, die sie generieren, oder, noch schlimmer, sich selbst die Generierung von Anfragen mit der Generierung eines Schlüsselpaars auf dem Medium durch einen bestimmten CSP auferlegen. Und sie lehnen es ab, Anforderungen für Token mit einem nicht abrufbaren Schlüssel (auf demselben RuToken EDS-2.0) über die PKCS # 11-Schnittstelle zu generieren. Aus diesem Grund wurde beschlossen, die CAFL63-Anwendungsfunktionalität mithilfe der kryptografischen Token-Mechanismen von PKCS # 11 um die Generierung von Abfragen zu erweitern. Zum Verbinden von Token-Mechanismen wurde das TclPKCS11-Paket verwendet . Beim Erstellen einer Anforderung an die Zertifizierungsstelle (Seite "Anforderung von Zertifikaten", Funktion "Anforderung / CSR erstellen") können Sie jetzt auswählen, wie das Schlüsselpaar generiert werden soll (mithilfe von openssl oder auf dem Token) und die Anforderung signiert wird:



Die für die Arbeit mit dem Token erforderliche Bibliothek ist in den Einstellungen für das Zertifikat geschrieben:



Wir sind jedoch von der Hauptaufgabe abgewichen, den Mitarbeitern Zertifikate für die Arbeit im Unternehmens-VPN-Netzwerk im Selbstisolationsmodus bereitzustellen. Es stellte sich heraus, dass einige der Mitarbeiter keine Token haben. Es wurde beschlossen, ihnen sichere PKCS # 12-Container zur Verfügung zu stellen, da CAFL63 dies zulässt. Zuerst stellen wir PKCS # 10-Anfragen für solche Mitarbeiter, die den Typ des OpenSSL-Schutzsystems für kryptografische Informationen angeben. Dann stellen wir ein Zertifikat aus und packen es in PKCS12. Wählen Sie dazu auf der Seite Zertifikate das gewünschte Zertifikat aus, klicken Sie mit der rechten Maustaste und wählen Sie das Element "



In PKCS # 12 exportieren ": Um sicherzustellen, dass alles mit dem Container in Ordnung ist, verwenden Sie das Dienstprogramm cryptoarmpkcs:



Jetzt können Sie ausgestellte Zertifikate an Mitarbeiter senden. Nur Dateien mit Zertifikaten werden an jemanden (dies sind Token-Inhaber, diejenigen, die Anforderungen gesendet haben) oder PKCS # 12-Container gesendet. Im zweiten Fall wird jeder Mitarbeiter telefonisch über das Passwort für den Container informiert. Für diese Mitarbeiter reicht es aus, die VPN-Konfigurationsdatei zu korrigieren, nachdem der Pfad zum Container korrekt festgelegt wurde.

Die Besitzer des Tokens mussten noch ein Zertifikat für ihren Token importieren. Zu diesem Zweck verwendeten sie dasselbe Dienstprogramm cryptoarmpkcs:



Jetzt ändert sich die minimale VPN- Konfiguration (die Zertifikatsbezeichnung auf dem Token könnte sich ändern), und das Unternehmens-VPN ist betriebsbereit.

Happy End

Und dann wurde mir klar, warum die Leute mir Token bringen oder mir einen Boten für sie schicken sollten. Und ich sende eine E-Mail mit folgendem Inhalt: Die



Antwort kommt am nächsten Tag:



Ich sende sofort einen Link an das Dienstprogramm cryptoarmpkcs:



Vor dem Erstellen von Zertifikatanforderungen habe ich empfohlen, die Token zu bereinigen:



Anschließend wurden E-Mail-Anforderungen für Zertifikate im PKCS # 10-Format gesendet und ausgestellt Zertifikate, die ich an die Adresse geschickt habe:



Und dann kam ein angenehmer Moment:



Und es gab auch einen solchen Brief:



Und dann wurde dieser Artikel geboren.

CAFL63-Anwendungsverteilungen für Linux- und MS Windows-Plattformen finden Sie

Hier

• Linux32
• Linux64
• WIN32
• WIN64
• OS X

Die Cryptoarmpkcs-Dienstprogrammdistributionen, einschließlich der Android-Plattform, befinden sich

Hier

• Linux32
• Linux64
• WIN32
• WIN64
• OS X
• Android