🤞🏿 🙎🏼 🤚 公钥基础结构。在自我隔离的情况下签发证书 🛸 ⭕️ 🐔

一切如何开始

在自我隔离期的最开始，我收到一封邮件：

第一个反应很自然：它要么去找代币，要么带上代币。从星期一开始，我们都会待在家里，行动受限，这不是在开玩笑。因此，答案很自然：

众所周知，从4月1日星期一开始，开始了相当严格的自我隔离。我们也都切换到了udalenka，我们还需要一个VPN。我们的VPN基于OpenVPN，但经过修改以支持俄罗斯加密技术以及与PKCS＃11令牌和PKCS＃12容器一起使用的能力。自然地，事实证明我们自己还没有准备好通过VPN进行工作：许多人根本没有证书，而其他人已经过期。

过程如何

在这里，cryptoarmpkcs实用程序和CAFL63应用程序（证书颁发机构）应运而生。

cryptoarmpkcs实用程序允许在家用计算机上使用令牌自隔离的员工生成证书

请求：员工通过电子邮件将保存的请求发送给我。有人可能会问：-关于个人数据，但如果仔细查看，它们不在请求中。并且请求本身受其签名保护。

收到证书后，证书请求将导入到CA CAFL63 CA数据库中：

之后，该请求必须被拒绝或批准。要考虑一个请求，有必要选择它，按下鼠标右键，然后在下拉菜单中选择“做出决定”项：

决策过程本身是绝对透明的：

以类似的方式颁发证书，只有菜单项称为“颁发证书”：

要查看颁发的证书，可以使用上下文菜单或简单地双击相应的行：

现在，可以将内容视为使用openssl（“文本”选项卡）从OpenSSL”），以及CAFL63应用程序的内置查看器（选项卡“证书文本”）。在后一种情况下，可以使用上下文菜单将文本形式的证书首先复制到剪贴板，然后再复制到文件。

在此应注意，与第一个版本相比，CAFL63有哪些变化？至于查看证书，我们已经注意到了这一点。选择一组对象（证书，请求，CRL）并以分页模式查看它们（按钮“查看已选择...”）也成为可能。

可能最重要的是该项目可以在github上免费获得。除了用于Linux的发行版之外，还准备了用于Windows和OS X的发行版，稍后将布置用于Android的发行包。

与CAFL63应用程序的早期版本相比，不仅界面本身发生了变化，而且如上所述，还添加了新功能。因此，例如，带有应用程序描述的页面已经过重新设计，添加了指向下载发行版的直接链接：

许多人问，现在问从哪里可以得到GOST-s openssl。传统上，我会提供一个友善的链接加雷克斯。这里写了 openssl的使用方法。
但是现在发行版本包括带有俄罗斯密码的openssl测试版本。

因此，在设置CA时（作为使用的openssl），可以为Linux指定/ tmp / lirssl_static，对于Windows，可以指定$ :: env（TEMP）/lirssl_static.exe：

在这种情况下，您需要创建一个空的lirssl.cnf文件并在环境变量LIRSSL_CONF中指定此文件的路径：

证书设置中的“扩展名”选项卡以“授权机构信息访问”字段为补充，您可以在其中设置对CA根证书和OCSP服务器的访问点：

经常听到，CA不接受来自申请人的请求（PKCS＃10），或者更糟的是，它们通过某种CSP在介质上生成密钥对，从而强加了自己的请求形成。并且他们拒绝通过PKCS＃11接口对具有不可检索密钥（在同一RuToken EDS-2.0上）的令牌生成请求。因此，决定使用PKCS＃11密码令牌机制将查询生成添加到CAFL63应用程序功能。要连接令牌机制，是在TclPKCS11包使用。创建到CA的请求时（“证书请求”页面，“创建请求/ CSR”功能），您现在可以选择如何生成密钥对（使用openssl或在令牌上），并对请求进行签名：

证书的设置中写入了使用令牌所需的库：

但是，我们偏离了为员工提供以自我隔离模式在公司VPN网络中工作的证书的主要任务。事实证明，有些员工没有代币。由于CAFL63允许这样做，因此决定为他们提供PKCS＃12安全容器。首先，我们向此类员工发出PKCS＃10请求，以表明OpenSSL密码信息保护系统的类型，然后颁发证书并将其打包在PKCS12中。为此，在“证书”页面上，选择所需的证书，单击鼠标右键，然后选择“导出到PKCS＃12”项：

为了确保容器中的所有内容都正确，请使用cryptoarmpkcs实用程序：

现在，您可以将已颁发的证书发送给员工。只是将带有证书的文件发送给某人（这些人是令牌持有者，即那些发送请求的人）或PKCS＃12容器。在第二种情况下，通过电话通知每个员工容器的密码。这些员工只要正确设置容器的路径，就可以更正VPN配置文件。

至于令牌的所有者，他们仍然必须为令牌导入证书。为此，他们使用了相同的cryptoarmpkcs实用程序：