Infraestructura de Clave Pública. Emisión de certificados en condiciones de autoaislamiento.

Cómo todo empezó

Al comienzo del período de autoaislamiento, recibí una carta por correo:



la primera reacción fue natural: debe ser por fichas, o deben ser traídas, y desde el lunes todos nos quedaremos en casa, restricciones de movimiento, y qué demonios no es broma. Por lo tanto, la respuesta fue bastante natural:



Y como todos sabemos, desde el lunes 1 de abril, comenzó un período de autoaislamiento bastante estricto. Nosotros también cambiamos a udalenka y también necesitábamos una VPN. Nuestra VPN se basa en OpenVPN, pero se modificó para admitir la criptografía rusa y la capacidad de trabajar con tokens PKCS # 11 y contenedores PKCS # 12. Naturalmente, resultó que nosotros mismos no estábamos listos para trabajar a través de una VPN: muchos simplemente no tenían certificados, mientras que otros habían expirado.

Como fue el proceso

Y aquí cryptoarmpkcs utilidad y CAFL63 aplicación (certificación de la autoridad ) acudieron al rescate .

La utilidad cryptoarmpkcs permitió a los empleados autoaislados con tokens en las computadoras de sus hogares generar



solicitudes de certificados : los empleados me enviaron solicitudes guardadas por correo electrónico. Alguien puede preguntar: - ¿Qué pasa con los datos personales, pero si se mira con cuidado, no están en la solicitud? Y la solicitud en sí está protegida por su firma.

Una vez recibida, la solicitud de certificado se importa a la base de datos CA CAFL63 CA:



después de eso, la solicitud debe ser rechazada o aprobada. Para considerar una solicitud, es necesario seleccionarla, presionar el botón derecho del mouse y seleccionar el elemento "Tomar una decisión" en el menú desplegable:



El procedimiento de toma de decisiones en sí mismo es absolutamente transparente:



un certificado se emite de manera similar, solo el elemento del menú se llama "Emitir un certificado":



para ver el certificado emitido, puede usar el menú contextual o simplemente hacer doble clic en la línea correspondiente:



ahora se puede ver el contenido como openssl (pestaña Texto) de OpenSSL "), así como el visor integrado de la aplicación CAFL63 (pestaña" Texto del certificado "). En el último caso, puede usar el menú contextual para copiar el certificado en forma de texto primero en el portapapeles y luego en el archivo.

Cabe señalar aquí lo que ha cambiado en CAFL63 en comparación con la primera versión? En cuanto a ver los certificados, ya lo hemos notado. También es posible seleccionar un grupo de objetos (certificados, solicitudes, CRL) y verlos en el modo de paginación (botón "Ver seleccionados ...").

Probablemente lo más importante es que el proyecto está disponible gratuitamente en el github . Además de las distribuciones para Linux, se preparan distribuciones para Windows y OS X. El kit de distribución para Android se presentará un poco más tarde.

En comparación con la versión anterior de la aplicación CAFL63, no solo ha cambiado la interfaz en sí, sino que, como ya se señaló, se han agregado nuevas características. Entonces, por ejemplo, la página con la descripción de la aplicación ha sido rediseñada, se le han agregado enlaces directos a las distribuciones de descarga:



Muchos preguntaron y ahora preguntan dónde obtener GOST-s openssl. Tradicionalmente doy un enlace amablemente proporcionadogarex. Cómo usar este openssl está escrito aquí .
Pero ahora la versión de distribución incluye una versión de prueba de openssl con criptografía rusa.

Por lo tanto, al configurar la CA, como se utiliza openssl, será posible especificar / tmp / lirssl_static para linux o $ :: env (TEMP) /lirssl_static.exe para Windows:



en este caso, será necesario crear un archivo lirssl.cnf vacío. y especifique la ruta a este archivo en la variable de entorno LIRSSL_CONF:



la pestaña Extensiones en la configuración del certificado se complementa con el campo Acceso a la información de autoridad, donde puede establecer puntos de acceso al certificado raíz de CA y al servidor OCSP:



A menudo se escucha que las CA no aceptan solicitudes de los solicitantes (PKCS # 10) que generan o, lo que es peor, se imponen la generación de solicitudes con la generación de un par de claves en el medio a través de un determinado CSP. Y se niegan a generar solicitudes en tokens con una clave no recuperable (en el mismo RuToken EDS-2.0) a través de la interfaz PKCS # 11. Por lo tanto, se decidió agregar la generación de consultas a la funcionalidad de la aplicación CAFL63 utilizando mecanismos de token criptográfico PKCS # 11. A los mecanismos de fichas de conexión, el paquete se TclPKCS11 utilizado . Al crear una solicitud a la CA (la página "Solicitud de certificados", la función "Crear solicitud / CSR"), ahora puede elegir cómo se generará el par de claves (usando openssl o en el token) y la solicitud se firmará:



La biblioteca necesaria para trabajar con el token está escrita en la configuración del certificado:



Pero nos desviamos de la tarea principal de proporcionar a los empleados certificados para trabajar en la red VPN corporativa en modo de autoaislamiento. Resultó que algunos de los empleados no tienen tokens. Se decidió proporcionarles contenedores seguros PKCS # 12, ya que CAFL63 lo permite. Primero, hacemos solicitudes PKCS # 10 para dichos empleados indicando el tipo de sistema de protección de información criptográfica OpenSSL, luego emitimos un certificado y lo empaquetamos en PKCS12. Para hacer esto, en la página Certificados, seleccione el certificado requerido, haga clic con el botón derecho del mouse y seleccione el elemento "Exportar a PKCS # 12":



Para asegurarse de que todo esté en orden con el contenedor, use la utilidad cryptoarmpkcs:



Ahora puede enviar certificados emitidos a los empleados. Solo se envían archivos con certificados a alguien (estos son titulares de tokens, aquellos que enviaron solicitudes) o contenedores PKCS # 12. En el segundo caso, cada empleado es notificado por teléfono de la contraseña del contenedor. Es suficiente que estos empleados corrijan el archivo de configuración de VPN, habiendo establecido correctamente la ruta al contenedor.

En cuanto a los propietarios del token, aún tenían que importar un certificado para su token. Para hacer esto, usaron la misma utilidad cryptoarmpkcs:



ahora la configuración mínima de VPN cambia (la etiqueta del certificado en el token podría cambiar) y eso es todo, la VPN corporativa está operativa.

Un final feliz

Y luego me di cuenta de por qué la gente me traía fichas o me enviaba un mensajero para ellas. Y envío un correo electrónico con el siguiente contenido: la



respuesta llega al día siguiente:



inmediatamente envío un enlace a la utilidad cryptoarmpkcs:



antes de crear solicitudes de certificado, recomendé que limpiaran los tokens:



luego, se enviaron solicitudes de certificados por correo electrónico en formato PKCS # 10 y emití certificados que envié a la dirección:



Y luego llegó un momento agradable:



Y también hubo una carta:



Y entonces nació este artículo.

Se pueden encontrar distribuciones de aplicaciones CAFL63 para plataformas Linux y MS Windows

aquí

• Linux32
• Linux64
• WIN32
• WIN64
• OS X

Se encuentran las distribuciones de utilidades cryptoarmpkcs, incluida la plataforma Android.

aquí

• Linux32
• Linux64
• WIN32
• WIN64
• OS X
• Android