😞 💆 📁 Infrastruktur Kunci Publik. Masalah sertifikat dalam kondisi isolasi diri 🗯️ 🤟🏻 🛅

Bagaimana semua ini dimulai

Pada awal periode isolasi diri, saya menerima sepucuk surat melalui pos:

Reaksi pertama adalah wajar: ia harus mencari token, atau harus dibawa, dan mulai Senin kita semua akan tinggal di rumah, pembatasan pergerakan, dan apa yang tidak bercanda. Karena itu, jawabannya cukup alami:

Dan seperti yang kita semua tahu, mulai Senin 1 April, periode isolasi diri yang cukup ketat dimulai. Kami juga semua beralih ke udalenka dan kami juga membutuhkan VPN. VPN kami didasarkan pada OpenVPN, tetapi dimodifikasi untuk mendukung kriptografi Rusia dan kemampuan untuk bekerja dengan token PKCS # 11 dan wadah PKCS # 12. Secara alami, ternyata kami sendiri tidak cukup siap untuk bekerja melalui VPN: banyak yang tidak memiliki sertifikat, sementara yang lain telah kedaluwarsa.

Bagaimana prosesnya

Dan di sini utilitas cryptoarmpkcs dan aplikasi CAFL63 ( otoritas sertifikasi) datang untuk menyelamatkan .

Utilitas cryptoarmpkcs memungkinkan karyawan yang mengisolasi diri dengan token di komputer rumah mereka untuk menghasilkan

permintaan sertifikat : Karyawan mengirim permintaan tersimpan melalui email kepada saya. Seseorang mungkin bertanya: - Bagaimana dengan data pribadi, tetapi jika Anda perhatikan dengan teliti, mereka tidak ada dalam permintaan. Dan permintaan itu sendiri dilindungi oleh tandatangannya.

Setelah diterima, permintaan sertifikat diimpor ke dalam basis data CA CAFL63 CA:

Setelah itu, permintaan tersebut harus ditolak atau disetujui. Untuk mempertimbangkan permintaan, perlu memilihnya, tekan tombol mouse kanan dan pilih item "Buat keputusan" di menu tarik-turun:

Prosedur pengambilan keputusan itu sendiri sangat transparan:

Sertifikat dikeluarkan dengan cara yang sama, hanya item menu yang disebut "Issue a Certificate":

Untuk melihat sertifikat yang diterbitkan, Anda dapat menggunakan menu konteks atau cukup klik dua kali pada baris yang sesuai:

Sekarang konten dapat dilihat menggunakan openssl (tab Teks) dari OpenSSL "), serta penampil bawaan aplikasi CAFL63 (tab" Teks Sertifikat "). Dalam kasus terakhir, Anda dapat menggunakan menu konteks untuk menyalin sertifikat dalam bentuk teks terlebih dahulu ke clipboard, dan kemudian ke file.

Perlu dicatat di sini apa yang telah berubah di CAFL63 dibandingkan dengan versi pertama? Adapun untuk melihat sertifikat, kami telah mencatat ini. Ini juga menjadi mungkin untuk memilih sekelompok objek (sertifikat, permintaan, CRL) dan melihatnya dalam mode paging (tombol "Lihat yang dipilih ...").

Mungkin yang paling penting adalah bahwa proyek tersedia secara gratis di github . Selain distribusi untuk linux, distribusi untuk Windows dan OS X disiapkan. Kit distribusi untuk Android akan ditata sedikit kemudian.

Dibandingkan dengan versi sebelumnya dari aplikasi CAFL63, tidak hanya antarmuka itu sendiri telah berubah, tetapi, sebagaimana telah dicatat, fitur-fitur baru telah ditambahkan. Jadi, misalnya, halaman dengan deskripsi aplikasi telah dirancang ulang, tautan langsung ke distribusi pengunduhan telah ditambahkan ke dalamnya:

Banyak yang bertanya dan sekarang bertanya di mana mendapatkan GOST-s openssl. Secara tradisional saya memberikan tautan yang disediakan dengan ramahGarex. Cara menggunakan openssl ini ditulis di sini .
Tetapi sekarang versi distribusi menyertakan versi uji openssl dengan kriptografi Rusia.

Oleh karena itu, ketika mengatur CA, seperti yang digunakan openssl, dimungkinkan untuk menentukan / tmp / lirssl_static untuk linux, atau $ :: env (TEMP) /lirssl_static.exe untuk Windows:

Dalam kasus ini, akan diperlukan untuk membuat file lirssl.cnf yang kosong dan tentukan path ke file ini di variabel lingkungan LIRSSL_CONF:

Tab Extensions dalam pengaturan sertifikat dilengkapi dengan bidang Akses Info Otoritas, di mana Anda dapat mengatur titik akses ke sertifikat root CA dan ke server OCSP:

Sering terdengar bahwa CA tidak menerima dari pelamar permintaan yang mereka hasilkan (PKCS # 10) atau, lebih buruk lagi, mereka memaksakan pada diri mereka sendiri pembentukan permintaan dengan menghasilkan pasangan kunci pada media melalui CSP tertentu. Dan mereka menolak untuk menghasilkan permintaan pada token dengan kunci yang tidak dapat diambil (pada RuToken EDS-2.0 yang sama) melalui antarmuka PKCS # 11. Oleh karena itu, diputuskan untuk menambahkan pembuatan kueri ke fungsionalitas aplikasi CAFL63 menggunakan mekanisme token kriptografis PKCS # 11. Untuk menghubungkan mekanisme token, paket TclPKCS11 digunakan . Saat membuat permintaan ke CA (halaman "Permintaan Sertifikat", fungsi "Buat Permintaan / CSR"), Anda sekarang dapat memilih bagaimana pasangan kunci akan dihasilkan (menggunakan openssl atau pada token) dan permintaan akan ditandatangani:

Perpustakaan yang diperlukan untuk bekerja dengan token ditulis dalam pengaturan untuk sertifikat:

Tapi kami menyimpang dari tugas utama untuk menyediakan sertifikat bagi karyawan untuk bekerja di jaringan VPN perusahaan dalam mode isolasi mandiri. Ternyata beberapa karyawan tidak memiliki token. Diputuskan untuk memberi mereka wadah aman PKCS # 12, karena CAFL63 mengizinkannya. Pertama, kami membuat permintaan PKCS # 10 untuk karyawan tersebut yang menunjukkan jenis sistem perlindungan informasi kriptografi OpenSSL, kemudian kami menerbitkan sertifikat dan mengemasnya di PKCS12. Untuk melakukan ini, pada halaman Sertifikat, pilih sertifikat yang diperlukan, klik tombol kanan mouse dan pilih item "Ekspor ke PKCS # 12":

Untuk memastikan bahwa semuanya sesuai dengan wadah, gunakan utilitas cryptoarmpkcs:

Sekarang Anda dapat mengirim sertifikat yang dikeluarkan kepada karyawan. Hanya file dengan sertifikat yang dikirim ke seseorang (ini adalah pemegang token, mereka yang mengirim permintaan), atau wadah PKCS # 12. Dalam kasus kedua, setiap karyawan diberitahukan melalui telepon kata sandi ke wadah. Sudah cukup bagi karyawan ini untuk memperbaiki file konfigurasi VPN, setelah mengatur path ke kontainer dengan benar.

Sedangkan untuk pemilik token, mereka masih harus mengimpor sertifikat untuk token mereka. Untuk melakukan ini, mereka menggunakan utilitas cryptoarmpkcs yang sama:

Sekarang konfigurasi VPN minimum berubah (label sertifikat pada token dapat berubah) dan hanya itu, VPN perusahaan berfungsi.

Akhir bahagia

Dan kemudian saya sadar, mengapa orang membawa token kepada saya atau mengirimi saya utusan untuk mereka. Dan saya mengirim email dengan konten berikut: