Перейти к основному содержимому
Версия: Indeed Certificate Manager 7.1

КриптоПро DSS 2.0

Добавьте информацию о КриптоПро DSS и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу КриптоПро DSS:

  1. Запустите Мастер настройки.
  2. Перейдите в раздел КриптоПро DSS.
  3. Включите опцию Включить интеграцию с КриптоПро DSS.

Добавление УЦ

В разделе Серверы задаются серверы DSS, с которыми будет работать Indeed Certificate Manager.

  1. Перейдите в раздел КриптоПро DSSСерверы.
  2. Нажмите Добавить сервер, чтобы добавить удостоверяющий центр.
  3. Укажите параметры подключения:
    • Имя – произвольное имя добавляемого сервера.
    • URL-адрес веб-службы СЭП – адрес службы электронной подписи DSS.
    • URL-адрес веб-службы ЦИ – адрес центра идентификации DSS.
    • URL-адрес прокси-сервера. Если для соединения с сервером DSS используется прокси сервер, укажите его параметры (имя сервера и порт). Например, https://proxy.company.com:8080.
    • Идентификатор клиента OAuth – клиентский идентификатор (client_id) для взаимодействия через API.
    • Адрес возврата – укажите адрес возврата (redirect_uri), если он отличается от дефолтного значения.
    • Клиентский сертификат – сертификат оператора DSS.
  4. Включите опции:
    • Устанавливать привязку между пользователем DSS и пользователем каталога. При выпуске устройства пользователь каталога будет связан с пользователем DSS.
    • Устанавливать привязку автоматически. Пользователь каталога будет автоматически привязан к пользователю DSS.
    • Создавать пользователя DSS, если он не существует.
    • Обновлять учетные данные пользователя DSS. При обновлении или выпуске устройства обновляются данные пользователя DSS.
  5. Заполните поля и нажмите Добавить.

Настройка шаблонов сертификатов

  1. Перейдите в раздел Шаблоны.
  2. Нажмите Создать шаблон сертификата.
  3. Заполните параметры и нажмите Создать.
ПараметрОписание
ИмяИмя шаблона сертификата.
СерверИмя сервера DSS.
УЦИмя удостоверяющего центра.
Шаблон сертификата УЦЗагружается из выбранного удостоверяющего центра.
Импортировать сертификат, если существуетЕсли опция включена, то система будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей.

Импорт сертификата невозможен, если устройство будет инициализировано перед выпуском.
Отзывать сертификат при отзыве или выключении устройстваЕсли опция включена, то сертификаты пользователя будут отозваны при выключении или отзыве устройства.

Если опция выключена, то при выключении или отзыве устройства сертификаты не будут отозваны.
Публиковать сертификат в каталоге пользователейЕсли опция включена, то выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства.

Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Автоматически одобрять запрос на сертификатЕсли опция включена, то запросы на сертификат будут автоматически одобрены.

Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос будет отклонен.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройстваЕсли опция включена, то сертификат будет записан на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата.

После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Период обновления (дней)Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификатЕсли опция включена, то при выпуске устройства появится возможность выбора сертификатов для записи из числа отмеченных, как необязательные.

Если опция выключена, то сертификат считается обязательным для записи на устройство.