КриптоПро УЦ 2.0

Добавьте информацию о КриптоПро УЦ 2.0 и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу КриптоПро 2.0:

1. Запустите Мастер настройки.
2. Перейдите в раздел КриптоПро УЦ 2.0.
3. Включите опцию Включить интеграцию с КриптоПро УЦ 2.0.

Добавление УЦ

1. Нажмите Добавить УЦ.

2. Введите URL-адрес веб-службы Центра Регистрации. В зависимости от используемого варианта исполнения КриптоПро УЦ 2.0 укажите:

   • URL-адрес в полном или сокращенном виде для вариантов исполнений 5, 6, 9, 10 для ОС Windows:

   https://<host_name>/ra/RegAuthLegacyService.svc
   https://<host_name>/ra
   • URL-адрес для вариантов исполнений для вариантов исполнений 15 и 16 для ОС Windows и ОС Astra Linux SE:

   https://<host_name>

3. Если для соединения с УЦ используется прокси-сервер, укажите имя сервера и порт в поле URL-адрес прокси-сервера. Например, http://proxy.company.com:8080.

   Если на рабочей станции развернута только одна роль Центра Сертификации (ЦС), то поле Имя ЦС можно оставить пустым (имя будет определено автоматически). Если ролей ЦС несколько, задайте имя того ЦС, к которому необходимо подключиться.

4. Выберите тип API в зависимости от используемого варианта исполнения КриптоПро УЦ 2.0:

   • REST для вариантов исполнений 15, 16 для ОС Windows и ОС Astra Linux SE;
   • SOAP для вариантов исполнений 5, 6, 9, 10 для ОС Windows.

5. Укажите имя пользователя, обладающего сертификатом Indeed CM Service User. Как создать сервисную учетную запись для работы с КриптоПро УЦ 2.0

6. При необходимости включите опцию Устанавливать привязку между пользователем УЦ и пользователем каталога.

7. Нажмите Добавить.

Подробнее об установке связи между пользователем УЦ и пользователем каталога

Установите связь между пользователями каталога и пользователями УЦ, если каталог пользователей Indeed CM не является каталогом пользователей УЦ. Такая ситуация может быть в следующих сценариях использования:

• Indeed CM работает с пользователями домена Windows, запрашивая для них сертификаты КриптоПро УЦ, который имеет свой каталог пользователей, не связанный с Active Directory.
• Indeed CM работает с пользователями КриптоПро УЦ, но таким пользователям необходимо кроме сертификатов собственного УЦ выдавать сертификаты одного или нескольких других УЦ.

Если включить опцию Устанавливать привязку между пользователем УЦ и пользователем каталога, Indeed CM позволяет определить следующие параметры работы с УЦ

• Устанавливать привязку автоматически, если каталог УЦ содержит пользователя, для которого будет выпущено устройство.
• Создавать пользователя УЦ, если он не существует, если каталог УЦ не содержит пользователя, для которого будет выпущено устройство с сертификатом. По умолчанию пользователи будут создаваться в корневом каталоге Центра Регистрации (папка Центр Регистрации). Для создания пользователей во вложенных папках укажите имя папки.

Indeed CM может обновить данные ранее созданных пользователей КриптоПро УЦ 2.0 при выпуске или обновлении устройства. Например, поменять адрес электронной почты, если он изменился в профиле пользователя в Active Directory. Включите опцию Обновлять учетные данные пользователя УЦ.

Информация

Для обновления данных должна быть установлена привязка пользователя Active Directory к пользователю Центра Регистрации. Если привязка не установлена, то в каталоге ЦР будет создан новый пользователь.

Настройка шаблонов сертификатов

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Параметр	Описание
Имя	Имя шаблона сертификата.
УЦ	Имя удостоверяющего центра.
Шаблон сертификата УЦ	Загружается из выбранного удостоверяющего центра.
Префикс имени ключа	Если префикс не задан, то имя контейнера, содержащего ключевую пару, будет сформировано случайным образом. Если указан префикс, то он добавится перед именем контейнера. Значение префикса отображается в системе (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.). Имя контейнера с префиксом может не поддерживаться устройством.
Выпускать сертификат на указанного пользователя	Если опция включена, то в свойствах шаблона отобразится поле поиска пользователя в каталоге ЦР КриптоПро УЦ, на которого будут выпускаться сертификаты. Опция доступна при включении Разрешить выпуск сертификатов на имя общей учетной записи в разделе КриптоПро УЦ 2.0 Мастера настройки Indeed CM. Изменить значение опции при редактировании шаблона нельзя.
Использовать аппаратную криптографию, если поддерживается	Если опция включена, то при выпуске сертификата ключевая пара будет создаваться с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то будет использоваться КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя.
Создавать резервную копию ключа	Если опция включена, то при генерации ключевой пары на смарт-карте будет применена опция ее архивации. Это значит, что ключевая пара будет сгенерирована на смарт-карте и ее копия (открытый и закрытый ключи) будут отправлены на сервер Indeed CM и затем в хранилище системы. Архивация ключевой пары возможна только один раз. Если опция выключена, то ключевая пара сразу генерируется на устройстве.
Записывать копию ключа при временной замене устройства	Если опция включена, то копии сертификатов и закрытых ключей будут записаны на временное устройство при замене, как и в случае с постоянной заменой. Если опция выключена, то копии сертификатов и закрытых ключей не будут записаны на временное устройство при замене.
Импортировать сертификат, если существует	Если опция включена, то система будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей. Импорт сертификата невозможен, если устройство будет инициализировано перед выпуском.
Не удалять сертификат при обновлении/очистке устройства	Если опция включена, то при обновлении или очистке устройства истекающий/истекший сертификат не будет удален с устройства и отозван на УЦ. В процессе обновления будет запрошен новый сертификат с новым закрытым ключом и записан на устройство. Истекающий/истекший сертификат будет удален, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве или выключении устройства	Если опция включена, то сертификаты пользователя будут отозваны при выключении или отзыве устройства. Если опция выключена, то при выключении или отзыве устройства сертификаты не будут отозваны.
Устанавливать сертификат в локальное хранилище	Если опция включена, то при выпуске (обновлении) устройства через сервис самообслуживания записанные на него сертификаты добавятся в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в каталоге пользователей	Если опция включена, то выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства. Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Публиковать сертификат в ЕСИА	Если опция включена, то выпущенный квалифицированный сертификат будет зарегистрирован в Единой системе идентификации и аутентификации (ЕСИА). Опция доступна при включении Интеграция со СМЭВ в разделе Общие функции Мастера настройки Indeed CM.
Публиковать сертификат в файловое хранилище	Если опция включена, то выпущенный сертификат будет помещен в сетевое хранилище (папку). При отзыве устройства сертификаты из хранилища не удаляются. Опция доступна при включении Публикация сертификатов в файловое хранилище в разделе Общие функции Мастера настройки Indeed CM.
Публиковать сертификат в ЦФТ	Если опция включена, то выпущенный сертификат будет помещен в базу приложений ЦФТ. При отзыве устройства сертификаты из базы приложений ЦФТ не удаляются. Опция доступна при включении Публиковать сертификаты пользователей КриптоПро УЦ 2.0 в базе приложений ЦФТ в разделе КриптоПро УЦ 2.0 Мастера настройки Indeed CM.
Публиковать список отозванных сертификатов	Если опция включена, то при выключении, включении и отзыве устройств список отозванных сертификатов (CRL) опубликуется вне очереди. Таким образом пользователь не сможет подписывать документы отозванным сертификатом.
Использовать комментарий устройства в качестве комментария пользователя к запросу на сертификат	Если опция включена, то в поле Заметки пользователя запроса сертификата будет добавлен текст комментария устройства.
Автоматически одобрять запрос на сертификат	Если опция включена, то запросы на сертификат будут автоматически одобрены. Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос будет отклонен.
Автоматически одобрять подписанный запрос на обновление сертификата	Если опция включена, то запрос на обновление сертификата будет одобрен автоматически. Если опция выключена, то для обновления сертификата потребуется дождаться одобрения запроса на УЦ.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройства	Если опция включена, то сертификат будет записан на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата. После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя, при изменении которых необходимо обновление сертификата: - Общее имя; - E-mail; - UPN-имя пользователя. Изменение e-mail приводит к обновлению сертификата в случае, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name). Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки Indeed CM.
Шаблон печати запроса на сертификат	Если параметр не задан, то используется стандартный шаблон печати запроса на сертификат. Если в систему добавлены Шаблоны печати запроса сертификата, то выберите шаблон из выпадающего меню.
Шаблон печати сертификата	Если параметр не задан, то используется стандартный шаблон печати сертификата. Если в систему добавлены Шаблоны печати сертификата, то выберите шаблон из выпадающего меню.
Шаблон печати запроса на отзыв сертификата	Если параметр не задан, то используется стандартный шаблон печати запроса на отзыв сертификата. Если в систему добавлены Шаблоны печати запроса на отзыв сертификата, выберите шаблон из выпадающего меню.
Период обновления (дней)	Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификат	Если опция включена, то при выпуске устройства появится возможность выбрать, какие сертификаты из списка необязательных, записать на устройство. Если опция выключена, то сертификат считается обязательным для записи на устройство.