Выпуск

Во время процедуры выпуска устройство персонализируется для пользователя. В соответствии с настройками назначенной политики устройство инициализируется, генерируются ключевые пары, выпускаются сертификаты и записываются в память устройства.

Процесс получения сертификата включает следующие шаги:

1. Пользователь создает запрос на сертификат по заданному шаблону и генерирует на устройстве пару ключей (открытый и закрытый) с использованием криптопровайдера (CSP).
2. Пользователь формирует запрос на сертификат, в который записывается открытый ключ.
3. Пользователь подписывает запрос закрытым ключом.
4. Оператор удостоверяющего центра (УЦ) подписывает запрос ключом сервисной учетной записи с необходимыми правами, которыми владеет сервер Indeed CM.
5. Запрос отправляется в УЦ.
6. УЦ одобряет или отклоняет запрос. После одобрения в УЦ выпущенный сертификат записывается на носитель с помощью криптопровайдера.

Процедура выпуска

Чтобы выпустить устройство пользователю, выполните следующие действия:

1. Перейдите в раздел Пользователи и выполните поиск пользователя.

2. Нажмите на логин и перейдите в карточку пользователя.

3. Нажмите Выпустить устройство.

4. Выберите шаблоны, по которым будут сформированы сертификаты для записи на устройство. Обязательные сертификаты запишутся на устройство автоматически.

5. Если в политике использования устройств настроена Интеграция со СМЭВ и сертификат выпускается по шаблону для КриптоПро УЦ 2.0 или Валидата УЦ, отобразится форма проверки СМЭВ. Проверьте данные пользователя.

6. Подключите устройство к компьютеру и задайте следующие настройки:

   Инициализировать устройство

   Опция Инициализировать устройство позволяет отключить и включить инициализацию для конкретного устройства.

   При выпуске устройства с инициализацией все данные на устройстве будут удалены.

   Параметры инициализации настраиваются в разделе Выпуск политики использования устройств.

   Имя устройства

   Имя устройства выставится автоматически, если в разделе Выпуск политики использования устройств задана опция Генерировать имя устройства автоматически.

   Комментарий к устройству

   Указание комментария обязательно, если в разделе Выпуск политики использования устройств задана опция Требовать указания комментария к устройству.

   Если в параметрах шаблона сертификата КриптоПро УЦ 2.0 включена опция Использовать комментарий устройства в качестве комментария пользователя к запросу на сертификат, то текст комментария будет добавлен в запрос.

   Теги

   Добавьте теги, если их создал администратор в разделе Конфигурация→Теги.

   Добавление тегов обязательно, если в разделе Выпуск политики использования устройств задана опция Требовать указания тегов к устройству.

   Номер и дата документа

   Выставите данные о документе, на основании которого будет изготовлено СКЗИ с информацией об устройстве.

   Поле Номер и дата документа отображается, если:

   • устройство поддерживает аппаратную криптографию;
   • устройство не добавлено в Indeed CM, и в разделе Поведение политики использования устройств задана опция Добавлять устройство автоматически.

7. Раздел Дополнительно отображается, если устройство не было ранее добавлено в Indeed CM. Введите нужный PIN-код в зависимости от настроек инициализации:

   Выпуск с инициализацией

   Устройство будет инициализировано, если задать опцию Инициализировать устройство (шаг 6) и настроить параметры инициализации при выпуске. Все данные на устройстве будут удалены.

   1. Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Indeed CM и в разделе Поведение политики использования устройств задана опция Добавлять устройство автоматически.
      Информация

      Если поле PIN-код администратора оставить пустым, то установится значение, указанное в разделе Типы устройств.
      Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

   2. Если вы выпускаете устройство eToken со встроенной защитой от форматирования, то укажите ключ инициализации.
   3. Нажмите Выпустить.

   Выпуск без инициализации

   1. Введите PIN-код пользователя.
   2. Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Indeed CM и в разделе Поведение политики использования устройств задана опция Добавлять устройство автоматически.
      Информация

      Если поля PIN-код администратора и PIN-код пользователя оставить пустыми, то установятся значения, указанные в разделе Типы устройств.
      Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

   3. Нажмите Выпустить.
   4. Если устройство содержит сторонние сертификаты, Indeed CM может их обнаружить и внести информацию о таких сертификатах в систему – отследить.
      Окно выбора сертификатов для отслеживания отображается, если в разделе Поведение политики использования устройств задана опция Включить отслеживание сертификатов.
      Выберите сертификаты для отслеживания, если они есть на устройстве, и нажмите ОК.

8. Если в разделе Выпуск политики использования устройств задана опция Установить случайный PIN-код пользователя, то после выпуска устройства отобразится PIN-код пользователя.

   Как передать PIN-код пользователю

   Если в разделе Уведомления настроена рассылка уведомлений по электронной почте, PIN-код можно отправить на электронную почту пользователя и его руководителя.

   PIN-код можно распечатать и отправить в конверте. Нажмите . PIN-код будет сохранен в файле PinEnvelope.pdf.

   

   Информация

   Параметры печати содержатся в шаблоне C:\inetpub\wwwroot\cm\mc\wwwroot\content\pinenvelope.xsl.

   По умолчанию на печать выводится информация о пользователе (имя и email) и устройстве (тип, серийный номер и PIN-код пользователя). Для изменения шаблона печати отредактируйте файл pinenvelope.xsl.

9. По завершении выпуска устройства нажмите Закрыть.

После выпуска устройства в разделе Назначенные устройства карточки пользователя отобразятся сведения об устройстве.

Контроль выпуска

Выпуск устройства можно приостановить, если регламент вашей организации предусматривает проверку запроса на сертификат в УЦ.

Чтобы настроить проверку запроса на сертификат в УЦ:

1. Откройте раздел Конфигурация и перейдите в настройки политики.
2. Откройте раздел Удостоверяющие центры→Шаблоны используемых УЦ.
3. Отключите опцию Автоматически одобрять запрос на сертификат.

В окне выпуска устройства появится сообщение Выпуск устройства ожидает решения. Устройству присваивается статус В ожидании. Это означает, что запрос на выпуск устройства перешел в стадию рассмотрения.

Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Одобрен и записывается на устройство. Нажмите Продолжить выпуск устройства в карточке устройства.

Если запрос отклонен в УЦ, отзовите и очистите устройство, после чего начните выпуск устройства заново.

Если в политике настроена автоматическая рассылка уведомлений по электронной почте, то вам придет уведомление о статусе одобрения. Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить обновление устройства в карточке устройства.

предупреждение

Если на устройство одновременно записываются несколько сертификатов, устройство можно выпустить, когда оба запроса на сертификат одобрены в УЦ.
Если один из сертификатов был одобрен автоматически и имеет статус Действительный, он будет записан на устройство вместе со вторым сертификатом.

Проверка данных пользователя в СМЭВ

Вы можете настроить проверку данных пользователя в системе межведомственного электронного взаимодействия (СМЭВ) при выпуске или обновлении квалифицированного сертификата КриптоПро УЦ 2.0 или Валидата УЦ. Для этого настройте интеграцию со СМЭВ в политике использования устройств.

Данные можно проверить в СМЭВ при выпуске или обновлении устройства и в карточке пользователя. Чтобы проверить данные в карточке пользователя:

1. Нажмите Проверить пользователя в СМЭВ в меню действий с пользователем.
2. Выберите Тип пользователя: физическое лицо, юридическое лицо или индивидуальный предприниматель.
   Подробнее о проверке разных типов пользователей
3. Введите данные пользователя и нажмите Далее.
4. Проверка данных пользователя может занять несколько часов. Выберите опцию:
   • Проверить повторно, чтобы редактировать данные пользователя и проверить их повторно;
   • Одобрить данные пользователя, чтобы принудительно подтвердить корректность данных;
   • Закрыть, чтобы продолжить проверку в фоновом режиме. Данные, введенные при проверке, сохраняются.

Результат проверки отобразится при следующей попытке выпуска или обновления устройства. Результат можно проверить в журнале событий.

Одобрение данных пользователя

Опция Одобрить данные пользователя позволяет принудительно подтвердить корректность данных, когда в СМЭВ еще не поступили недавно измененные персональные данные пользователя – например, при смене фамилии или замене паспорта.

Опция появляется в двух случаях:

• если проверка занимает больше 15 минут;
• если проверка завершилась с ошибкой.

Информация

Опция доступна для администраторов и операторов Indeed CM c привилегией Одобрение данных запроса СМЭВ. Привилегия назначается в разделе Конфигурация→Роли.

Публикация выпущенных сертификатов

Сертификаты, выпущенные и записанные на устройство, можно опубликовать в различные хранилища.

Чтобы настроить публикацию сертификатов в хранилища, в разделе Конфигурация откройте настройки политики использования устройств, перейдите в раздел Шаблоны и нажмите напротив нужного шаблона сертификата. Включите следующие опции:

• Устанавливать сертификат в локальное хранилище, чтобы опубликовать сертификат в локальное хранилище сертификатов пользователя на рабочей станции.
• Публиковать сертификат в каталоге пользователей, чтобы опубликовать сертификат в каталог пользователей в Active Directory.
• Публиковать сертификат в ЕСИА, чтобы опубликовать сертификат в Единой системе идентификации и аутентификации (ЕСИА).
• Публиковать сертификат в файловое хранилище, чтобы опубликовать сертификат в файловое хранилище.
• Публиковать сертификат в ЦФТ, чтобы опубликовать сертификат в базе приложений ЦФТ.