Валидата УЦ

Для настройки работы Indeed Certificate Manager с Валидата УЦ:

1. Настройте режим работы с Валидата УЦ:
   • офлайн – в УЦ обрабатываются запросы пользователей в формате PKCS#10, после чего сертификаты выдаются пользователям.
   • онлайн – сервер Indeed CM заменяет АРМ Оператора ЦР Валидата.
2. Настройте шаблоны сертификатов пользователей.

Режим работы

Офлайн

Для работы Indeed Certificate Manager с Валидата УЦ в офлайн-режиме предоставьте доступ на чтение и запись к каталогу для обмена файлами с Центром Регистрации Валидата УЦ. Каталог должен содержать следующее:

• корневой и промежуточные сертификаты Валидата УЦ;
• актуальный файл Списка Отозванных Сертификатов (СОС);
• подкаталог для входящих незащищенных запросов пользователей в формате PKCS#10;
• подкаталог сертификатов для выдачи конечным пользователям.

Информация

Запросы в формате PKCS#10 можно обработать только в ручном режиме на АРМ Администратора ЦР.

Онлайн

Для работы Indeed Certificate Manager с Валидата УЦ в онлайн-режиме:

1. Предоставьте доступ на чтение и запись к каталогу для обмена файлами с Центром Сертификации Валидата.
2. Настройте подключение к АРМ Администратора Центра Регистрации Валидата УЦ с помощью сертификата Оператора ЦР.

Информация

Сертификат Оператора ЦР используется как при подключении к сервису ЦР для выполнения аутентификации по протоколу TLS, так и для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя.
Сертификат Оператора ЦР должен содержать значения Оператор Центра Регистрации (OID: 1.3.6.1.4.1.10244.6.1) и Проверка подлинности TLS клиента (OID: 1.3.6.1.5.5.7.3.2).

Сертификат Оператора ЦР можно выпустить с помощью Валидата CSP или КриптоПро CSP.

Выпуск сертификата Оператора ЦР с помощью Валидата CSP

1. Чтобы создать шаблон сертификата, в основном меню АРМ Администратора ЦР выберите пункт Центр Регистрации→Сформировать запрос на сертификат абонента.
2. В появившемся окне выберите шаблон, если он был подготовлен ранее, и нажмите Далее.
3. Заполните атрибуты сертификата для построения Имени Владельца сертификата, установите опцию Разрешить генерацию ключа шифрования, если требуется, и нажмите Далее.
4. Выберите область применения ключа: Оператор ЦР и Проверка подлинности TLS клиента и нажмите Далее.
5. Выберите регламент сертификата и нажмите Далее.
6. Выберите дополнения для сертификата и нажмите Далее.
7. Задайте атрибуты Альтернативного имени Владельца сертификата, если требуется, и нажмите Готово.

Преобразование закрытого ключа сертификата

Если сертификат был выпущен с помощью Валидата CSP, то необходимо преобразовать его закрытый ключ из Validata GOST R 34.10-2012 CSP в Crypto-Pro GOST R 34.10-2012 CSP:

1. Запустите от имени администратора приложение Validata CSP.
2. Перейдите на вкладку Ключи. В поле Преобразовать выберите соответствующие поля:
   • Из: Validata GOST R 34.10-2012 CSP
   • В: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider.
3. Следуя подсказкам мастера, преобразуйте закрытый ключ сертификата Оператора ЦР в Сrypto-Pro GOST R 34.10-2012 CSP.
4. Установите преобразованный ключ и сертификат Оператора ЦР в контейнер локального хранилища рабочей станции (сервера Indeed CM).
5. Выдайте системе права на чтение закрытого ключа сертификата Оператора, который был установлен на предыдущем шаге:
   1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
   2. Нажмите правой кнопкой мыши на сертификате, выберите Все задачи (All tasks)→Управление закрытыми ключами... (Manage Private Keys...).
   3. Нажмите Добавить (Add), укажите сервер в меню Размещение (Location), укажите локальную группу IIS_IUSRS в поле Введите имена выбранных объектов (Enter the object names to select), нажмите Проверить имена (Check Names) и ОК.
   4. Выставите права Полный доступ (Full Control) и Чтение (Read).
   5. Нажмите Применить (Apply).
6. Установите сертификат корневого центра сертификации Валидата УЦ в хранилище Локального компьютера (Local computer), на котором установлен сервер Indeed CM, в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
7. Установите сертификат промежуточного центра сертификации и список отозванных сертификатов (CRL) Валидата УЦ в хранилище Локального компьютера (Local Computer), на котором установлен сервер Indeed CM в Промежуточные Центры Сертификации (Intermediate Certification Authorities).

Шаблоны сертификатов пользователей

Для работы с Indeed Certificate Manager необходимо предварительно подготовить шаблоны сертификатов в Центре Регистрации Валидата УЦ в формате XML, которые будут использоваться для выпуска сертификатов конечным пользователям.

Процесс настройки шаблона сертификата пользователя в Центре Регистрации Валидата УЦ:

1. В основном меню АРМ Оператора или Администратора ЦР выберите пункт Центр Регистрации→Создать новый шаблон сертификата.
2. В появившемся окне укажите Наименование шаблона и нажмите Далее.
3. Заполните атрибуты сертификата для построения Имени Владельца сертификата. При необходимости установите опцию Разрешить генерацию ключа шифрования, чтобы создать ключ шифрования для сертификата. Если опция не выбрана, то пользователю, для которого создается сертификат, будет запрещено иметь ключ шифрования.

Поддерживаемые атрибуты для построения Х.500-имени пользователя

• Должность (T)
• Неструктурированное имя (unstructuredName)
• Неструктурированный адрес (unstructuredAddress)
• ОГРН (OGRN)
• ОГРНИП (ORGNIP)
• СНИЛС (SNILS)
• ИНН (INN)
• ИНН юридического лица (INNLE)
• Фамилия (SN)
• Приобретенное имя (GN)
• Общее имя (CN)
• Организация (O)
• Название улицы, номер дома (street)
• Населенный пункт (L)
• Город, область (ST)
• Страна (С)
• Почтовый адрес RFC822 (Email)
• Подразделение (OU)

4. Выберите область применения ключа и нажмите Далее.
5. Выберите регламент для сертификата и нажмите Далее.
6. Выберите дополнения для сертификата и нажмите Далее.
7. Задайте альтернативное имя владельца сертификата и нажмите Готово.

Поддерживаемые атрибуты для построения альтернативного имени владельца сертификата

• email;
• описание;
• имя участника-пользователя (User Principal Name).

Чтобы использовать созданный шаблон в Indeed CM, очистите значения заполненных атрибутов в текстовом редакторе и перекодируйте шаблон в UTF-8 при сохранении.

Пример отредактированного шаблона

<?xml version="1.0" encoding="UTF-8" ?>
<pkiUser>
    <templateName>Квалифицированный сертификат</templateName>
    <templateSubject>
        <INN></INN>
        <INNLE></INNLE>
        <OGRNIP></OGRNIP>
        <OGRN></OGRN>
        <SNILS></SNILS>
        <T></T>
        <SN></SN>
        <GN></GN>
        <Email></Email>
        <CN></CN>
        <OU></OU>
        <O></O>
        <street></street>
        <L></L>
        <ST></ST>
        <C></C>
    </templateSubject>
    <subjectAltName>
        <UPN></UPN>
        <emailAddress></emailAddress>
        <description>СЗ № $docNumber от $docDate</description>
    </subjectAltName>
    <ExtKeyUsage>1.3.6.1.5.5.7.3.2</ExtKeyUsage>
    <ExtKeyUsage>1.3.6.1.5.5.7.3.4</ExtKeyUsage>
    <Policy>
        <OID>1.2.643.100.113.1</OID>
        <UserNotice>Класс средства ЭП КС1</UserNotice>
        <Org>Минкомсвязь России</Org>
    </Policy>
    <Policy>
        <OID>1.2.643.100.113.2</OID>
        <UserNotice>Класс средства ЭП КС2</UserNotice>
        <Org>Минкомсвязь России</Org>
    </Policy>
    <Extension>
        <OID>1.2.643.100.111</OID>
        <Type>ASN1_UTF8STRING</Type>
        <Value></Value>
    </Extension>
    <Encipherment>yes</Encipherment>
    <IdentificationKind>0</IdentificationKind>
</pkiUser>