PKI on Записки IT специалиста

Minica - простой центр сертификации для локального использования

Tue, 03 Sep 2024 21:07:12 +0300

Шифрование трафика сегодня стало обыденностью, в том числе и для локальных ресурсов, а многие сервисы используют HTTPS по умолчанию. Все это требует упорядочивания работы с сертификатами, и если с внешними ресурсами мы можем использовать тот же Let's Encrypt, то с внутренними все сложнее. Можно использовать самоподписанные сертификаты, но по мере роста сети они будут доставлять только проблемы. Поэтому сегодня мы расскажем как создать собственный простой центр сертификации для локального использования.

Форматы сертификатов X.509 (SSL) и преобразования между ними

Mon, 19 Dec 2022 21:57:58 +0300

SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора, никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний. Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.

Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов

Wed, 07 Jul 2021 22:13:08 +0300

Mikrotik предоставляет пользователям достаточно широкие возможности, одна из них - создание на роутере собственного центра сертификации (CA), который позволяет управлять собственной инфраструктурой открытых ключей (PKI). Благодаря этому вы можете выпускать, подписывать и отзывать сертификаты, а также поддерживать доверительные отношения без использования дополнительных технических и программных средств. Это удобно, но эксплуатация CA на базе Mikrotik имеет свои особенности и подводные камни, которые нужно четко представлять и учитывать при выборе такого решения.

Работа с электронной подписью (ЭЦП) в Linux (Debian / Ubuntu)

Thu, 07 Jan 2021 18:39:14 +0300

Электронно-цифровая подпись (ЭЦП) давно уже стала неотъемлемой частью нашей жизни, позволяя удаленно взаимодействовать с органами власти, сдавать отчетность, участвовать в системах электронного документооборота (ЭДО). Все это стало особенно актуально в последнее время, когда сложная эпидемиологическая обстановка внесла серьезные коррективы в рабочий процесс, сделав упор на дистанционные технологии. Особый интерес работа с ЭЦП вызывает у пользователей Linux, действительно, данная тема пока не нашла широкого отражения, поэтому постараемся восполнить этот пробел.

Перенос сертификатов и закрытых ключей CryptoPro хранящихся в реестре

Mon, 21 Sep 2020 23:23:38 +0300

КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.

OpenVPN и инфраструктура открытых ключей (PKI)

Thu, 23 Apr 2020 22:06:05 +0300

OpenVPN пользуется заслуженной популярностью у системных администраторов, находя широкое применения в самых разнообразных сценариях. Но очень часто внедрение OpenVPN происходит посредством повторения инструкций, без глубокого понимания смысла выполняемых действий. Особенно это касается "генерации ключей", эта простая с виду операция имеет достаточно глубокий скрытый пласт, формируя собственную инфраструктуру открытых ключей. Отсутствие понимания структуры PKI, как показывает отклик наших читателей, способно приводить к различного рода затруднениям и проблемам при использовании OpenVPN.

Отзыв сертификатов пользователей в OpenVPN

Tue, 07 Apr 2020 15:34:29 +0300

Система клиентского доступа в OpenVPN построена вокруг инфраструктуры открытых ключей (PKI) и основным средством идентификации пользователя является сертификат. Располагая действительным сертификатом клиент может подключиться к любому серверу, использующему сертификаты вашего центра сертификации (CA). Если доступ пользователя необходимо прекратить, то выданный ему сертификат следует отозвать. В данной статье мы рассмотрим процесс отзыва сертификатов для различных версий Easy-RSA на платформах Windows и Linux, а также настройку OpenVPN севера для проверки сертификатов на отзыв.

Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3

Wed, 04 Dec 2019 22:24:06 +0300

OpenVPN - популярная технология для создания защищенных частных сетей (VPN), использующих аутентификацию и шифрование на основе протокола SSL/TLS. Для упрощения процедуры создания необходимых ключей и сертификатов традиционно используется утилита Easy-RSA, которая позволяет легко управлять локальным центром сертификации (CA) инфраструктуры открытых ключей (PKI). Сегодня мы поговорим о работе с новой версией утилиты Easy-RSA 3, которая серьезно отличается по синтаксису от используемой ранее Easy-RSA 2 и входит в состав новых дистрибутивов Debian и Ubuntu.

Получаем сертификаты Let's Encrypt при помощи Certbot

Mon, 03 Apr 2017 22:21:40 +0300

Начиная цикл статей о шифровании при помощи сертификатов Let's Encrypt мы упоминали Certbot как официальный клиент. Несмотря на простоту, его установка и использование может таить некоторые подводные камни, особенно для начинающих, и поэтому мы решили посвятить ему отдельную статью, чтобы более не возвращаться к данному вопросу. Также мы рекомендуем ознакомиться с данной статьей и более опытным пользователям, особенно если вы планируете в дальнейшем использовать наши материалы по SSL.

Let's Encrypt - криптография становится ближе

Sun, 30 Oct 2016 20:16:36 +0300

Повсеместный переход на защищенные соединения один из основных трендов последних лет. В связи с этим возникает вопрос получения, установки и своевременного продления сертификатов. Задача не сказать, чтобы сложная, но требующая определенных знаний, а также временных и финансовых затрат, что никак не способствовало широкому внедрению криптографии в массы. Так было до появления нового центра сертификации Let's Encrypt, основной задачей которого служит предоставление SSL-сертификатов всем желающим в автоматическом режиме и бесплатно.

Введение в криптографию. Общие вопросы, проблемы и решения

Thu, 29 Sep 2016 13:28:47 +0300

С криптографией сегодня мы сталкиваемся на каждом шагу и это неудивительно. Широкое распространение портативных устройств с доступом к сети интернет заставило по-новому взглянуть на безопасность процесса передачи данных. В тоже время для многих криптография остается неким черным ящиком и если для простых пользователей это простительно, то недостаток знаний у технических специалистов способен привести к серьезным проблемам с безопасностью. Поэтому приглашаем всех желающих повысить свой уровень знаний в данном вопросе ознакомиться с нашим новым материалом.

Админу на заметку - 10. StartSSL или как получить SSL-сертификат бесплатно

Sat, 03 Aug 2013 22:48:01 +0300

Сегодня использование защищенного соединения становится нормой жизни для доступа к многим сетевым сервисам, таким как электронная почта, корпоративные веб-интерфейсы и т.д. и т.п. Многие администраторы используют самоподписанные SSL-сертификаты и во многих случаях это оправдано, но если доступ к сервису предполагается с различных мест и устройств, то лучше озаботиться "настоящим" сертификатом. Сегодня мы расскажем как сделать это бесплатно.

Установка сертификата при помощи групповых политик

Tue, 09 Apr 2013 18:47:17 +0300

Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ - групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.

Защита RDP соединения при помощи SSL

Sun, 21 Nov 2010 21:51:14 +0300

Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим как просто и без затруднений организовать такую защиту.

Windows Server. Создание автономного центра сертификации.

Fri, 19 Nov 2010 18:33:49 +0300

Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.