КриптоПро DSS 2.0
ПАК "КриптоПро DSS" версии 2.0 предназначен для защищенного хранения закрытых ключей пользователей и для удаленного выполнения операций по созданию электронной подписи.
Интеграция c Indeed Certificate Manager позволяет выпускать средства облачной аутентификации и вести их централизованный учет. Для работы с электронной подписью не требуется устройство (USB-токен или смарт-карта), ключи генерируются и хранятся в хранилище КриптоПро DSS. Для доступа и использования электронной подписи применяется облачный криптопровайдер КриптоПро Cloud CSP.
Предварительные настройки
Для интеграции Indeed Certificate Manager c КриптоПро DSS настройте следующее:
- сервер Indeed CM версии 5.1 и выше;
- ПАК "КриптоПро УЦ" 2.0;
- ПАК "КриптоПро DSS" 2.0;
- ПАКМ "КриптоПро HSM";
- КриптоПро CSP 5.0;
- интеграция КриптоПро УЦ 2.0 с КриптоПро DSS.
Интеграция КриптоПро УЦ 2.0 и КриптоПро DSS необходима для управления пользователями и их сертификатами в удостоверяющем центре. КриптоПро DSS выступает в роли привилегированного пользователя по отношению к КриптоПро УЦ 2.0. Создание и обновление пользователей, запрос сертификатов и прочие действия на УЦ в этом случае выполняются от имени Оператора DSS. Подробная инструкция по интеграции входит в комплект поставки ПАК "КриптоПро DSS".
Настройка интеграции
Для работы с КриптоПро DSS используется учетная запись Оператор DSS, сертификат которой должен храниться на сервере Indeed CM.
Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат Оператора DSS.
Чтобы установить сертификат Оператора DSS:
- ОС Windows
- ОС Linux
- Добавьте сертификат Оператора DSS в Локальное хранилище компьютера (Local Computer) на сервере Indeed CM.
- Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Indeed CM.
- Выдайте системе права на чтение закрытого ключа сертификата Оператора DSS:
- Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
- Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
- Нажмите Добавить (Add).
- в меню Размещение (Location) укажите сервер.
- В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
- Выставите права Полный доступ (Full Control) и Чтение (Read).
- Нажмите Применить (Apply).
- Выдайте права на папку с пользователями в КриптоПро УЦ 2.0 для учетной записи Оператор DSS:
- Создайте группу безопасности, например, DSS Operators, и добавьте в нее учетную запись Оператор DSS.
- Откройте свойства папки, где будут располагаться пользователи DSS, перейдите на вкладку Безопасность (Security) и добавьте созданную группу DSS Operators.
- Выдайте группе следующие права:
Права для сервисной группы пользователей DSS Operators
| Наименование разрешения | Тип объекта | Комментарий |
|---|---|---|
| Чтение свойств | Папка, Пользователь | Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту. |
| Запрос регистрации | Папка | Создание запроса на регистрацию пользователя |
| Запрос сертификата | Пользователь, шаблон | Создание запроса сертификата для пользователя |
| Запрос аннулирования | Пользователь | Создание запроса на аннулирование сертификата пользователя |
| Запрос приостановления | Пользователь | Создание запроса на приостановление сертификата пользователя |
| Запрос возобновления | Пользователь | Создание запроса на возобновление сертификата пользователя |
| Одобрение регистрации | Папка | Одобрение запроса на регистрацию пользователя |
| Одобрение сертификата | Пользователь, шаблон | Одобрение запроса сертификата для пользователю |
| Одобрение аннулирования | Пользователь | Одобрение запроса на аннулирование сертификата пользователя |
| Одобрение приостановления | Пользователь | Одобрение запроса на приостановление сертификата пользователя |
| Одобрение возобновления | Пользователь | Одобрение запроса на возобновление сертификата пользователя |
| Передача запросов | Пользователь | Передача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос. |
| Запрос переименования | Пользователь | Создание запроса на изменение данных пользователя. |
| Одобрение переименования | Пользователь | Одобрение запроса на изменение данных пользователя. |
Выполните вход в систему с учетной записью, от имени которой будет запускаться Indeed CM. По умолчанию это пользователь www-data.
Проверьте наличие пользователя www-data:
cat /etc/passwd | grep www-dataПример вывода, если пользователь www-data существуетwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologinЕсли пользователя www-data не существует, создайте его:
sudo useradd -m -d /var/www -s /usr/sbin/nologin www-dataВыполните вход от имени пользователя www-data:
sudo su -s /bin/sh www-data
Установите сертификат Оператора DSS в формате PFX с помощью утилиты certmgr.exe:
/opt/cprocsp/bin/amd64/certmgr -install -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>Поместите корневой сертификат DSS в локальное хранилище корневых сертификатов пользователя:
/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в список доверенных корневых сертификатов:
- RHEL-based
- Debian-based
- Поместите корневые сертификаты в хранилище доверенных корневых сертификатов:
sudo cp <путь к файлу1.crt> <путь к файлу2.crt> /etc/pki/ca-trust/source/anchors/ - Обновите хранилище доверенных корневых сертификатов:
sudo update-ca-trust extract - Перезапустите систему:
sudo reboot
- Поместите корневые сертификаты в хранилище доверенных корневых сертификатов:
sudo cp <путь к файлу1.crt> <путь к файлу2.crt> /usr/local/share/ca-certificates/ - Перенастройте список доверенных корневых сертификатов:
sudo dpkg-reconfigure ca-certificates - Перезапустите систему:
sudo reboot
3. Выдайте группе следующие права:
Права для сервисной группы пользователей DSS Operators
| Наименование разрешения | Тип объекта | Комментарий |
|---|---|---|
| Чтение свойств | Папка, Пользователь | Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту. |
| Запрос регистрации | Папка | Создание запроса на регистрацию пользователя |
| Запрос сертификата | Пользователь, шаблон | Создание запроса сертификата для пользователя |
| Запрос аннулирования | Пользователь | Создание запроса на аннулирование сертификата пользователя |
| Запрос приостановления | Пользователь | Создание запроса на приостановление сертификата пользователя |
| Запрос возобновления | Пользователь | Создание запроса на возобновление сертификата пользователя |
| Одобрение регистрации | Папка | Одобрение запроса на регистрацию пользователя |
| Одобрение сертификата | Пользователь, шаблон | Одобрение запроса сертификата для пользователю |
| Одобрение аннулирования | Пользователь | Одобрение запроса на аннулирование сертификата пользователя |
| Одобрение приостановления | Пользователь | Одобрение запроса на приостановление сертификата пользователя |
| Одобрение возобновления | Пользователь | Одобрение запроса на возобновление сертификата пользователя |
| Передача запросов | Пользователь | Передача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос. |
| Запрос переименования | Пользователь | Создание запроса на изменение данных пользователя. |
| Одобрение переименования | Пользователь | Одобрение запроса на изменение данных пользователя. |