Выпуск устройства

Вы можете получить уже готовое к работе устройство или выпустить устройство самостоятельно, если администратор или оператор Indeed CM выдал вам пустое устройство.

Если вы получили готовое к работе устройство, то при входе в Сервис самообслуживания отобразится вся информация об этом устройстве.

Дополнительные опции:

• Установить секретные вопросы и ответы на них. Опция доступна при первом входе в Сервис самообслуживания перед выпуском устройства. Количество секретных вопросов и необходимость установки ответов задает администратор Indeed CM в разделах Поведение и Аутентификация политики использования устройств.

• Выпустить устройство самостоятельно. Опция доступна, если выпущенных устройств нет, и администратор разрешил вам выпускать устройства.

Процедура выпуска

1. Нажмите Выпустить устройство.

2. Если администратор задал опцию Разрешить пользователю выбор необязательных сертификатов при выпуске устройства в разделе Поведение политики использования устройств, отобразится окно выбора шаблонов сертификатов.
   Выберите шаблоны, по которым будут сформированы сертификаты для записи на устройство.

3. Если администратор настроил интеграцию в разделе СМЭВ политики использования устройств и сертификат выпускается по шаблону для КриптоПро УЦ 2.0 или Валидата УЦ, отобразится форма проверки СМЭВ.
   Вы можете проверить данные на соответствие и изменить их, если администратор задал опцию Разрешить пользователю редактирование данных в форме проверки в СМЭВ в разделе Поведение.

4. Если устройство поддерживает аппаратную криптографию, не добавлено в Indeed CM, и администратор включил опцию Разрешить пользователю добавление устройства в разделе Поведение, то в окне выпуска устройства отобразится поле Номер и дата документа.
   Выставите данные о документе, на основании которого будет изготовлено СКЗИ с информацией об устройстве.

5. Если администратор задал опцию Инициализировать устройство в разделе Выпуск и настроил параметры инициализации в разделе Инициализация устройства политики использования устройств, устройство будет инициализировано.

   Выпуск с инициализацией

   предупреждение

   При выпуске устройства с инициализацией все данные на устройстве будут удалены.

   1. Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Indeed CM и администратор включил опцию Разрешить пользователю добавление устройства в разделе Поведение.
      Информация

      Если поле PIN-код администратора оставить пустым, то установится значение, указанное администратором в разделе Типы устройств.
      Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

   2. Нажмите Выпустить.

   Выпуск без инициализации

   1. Введите PIN-код пользователя.
   2. Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Indeed CM и администратор включил опцию Разрешить пользователю добавление устройства в разделе Поведение.
      Информация

      Если поля PIN-код администратора и PIN-код пользователя оставить пустыми, то установятся значения, указанные администратором в разделе Типы устройств.
      Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

   3. Нажмите Выпустить.
   4. Если устройство содержит сторонние сертификаты, Indeed CM может их обнаружить и внести информацию о таких сертификатах в систему – отследить.
      Вы можете выбрать сертификаты для отслеживания, если администратор задал опции Включить отслеживание сертификатов и Разрешить пользователю выбор сертификатов для отслеживания в разделе Поведение политики использования устройств.

6. Если администратор задал опцию Установить случайный PIN-код пользователя в разделе Выпуск политики использования устройств, то после выпуска устройства вы увидите свой PIN-код.
   Если администратор настроил рассылку уведомлений по электронной почте в разделе Уведомления, PIN-код можно отправить на вашу электронную почту или почту руководителя.

7. По завершении выпуска устройства нажмите Закрыть.

В Сервисе самообслуживания появится раздел Ваши устройства, где отображаются сведения о выпущенном устройстве – тип, серийный номер, имя, статус.

Если вы не задали секретные вопросы при выпуске, перейдите к их настройке.

Одобрение выпуска

Выпуск устройства может быть приостановлен, если регламент вашей организации предусматривает проверку документов для получения цифровых сертификатов – одобрение.

В окне выпуска устройства появится сообщение Выпуск устройства ожидает решения. Устройству присваивается статус В ожидании. Это означает, что ваш запрос на выпуск устройства перешел в стадию рассмотрения.

Отправьте документы для получения сертификата:

• с помощью Indeed CM, если настроена функция внутреннего электронного документооборота Indeed CM ЭДО;
• вне Indeed CM любым другим способом, принятым в вашей организации. Например, по электронной почте.

Обмен документами в Indeed CM

Если в Indeed CM настроена функция внутреннего электронного документооборота Indeed CM ЭДО, вы можете отправить документы администратору в Сервисе самообслуживания.

подсказка

Настройки одобрения задает администратор в разделе Шаблоны политики использования устройств.

В зависимости от настроек, заданных администратором, вам необходимо подписать и загрузить в Indeed CM следующие документы:

Запрос на сертификат

Предоставьте подписанную форму запроса на сертификат для одобрения в удостоверяющем центре (УЦ). Администратор может предварительно проверить запрос на сертификат перед отправкой запроса в УЦ.

Выполните следующие действия:

1. Загрузите подписанный запрос на сертификат в Indeed CM:
   1. Распечатайте запрос на сертификат. Перейдите на вкладку Содержимое в карточке устройства и нажмите напротив шаблона сертификата.
   2. Подпишите запрос на сертификат и добавьте в Indeed CM. Как подписать и загрузить документ
2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.
3. Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если запрос отклонен, отзовите и очистите устройство самостоятельно или обратитесь к администратору, после чего начните выпуск устройства заново.

Информация

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, вы получите уведомление о статусе одобрения – Одобрение документа, Одобрение выпуска устройства или Отклонение выпуска устройства.

Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Сертификат

Если регламент получения сертификата проверки электронной подписи, принятый в вашей организации, предусматривает дополнительную проверку документа о сертификате, то администратор может проверить документ перед записью сертификата на устройство.

В этом сценарии УЦ одобряет сертификат автоматически. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – Действителен. Это означает, что сертификат выпущен в УЦ, но еще не записан на устройство.

Выполните следующие действия:

1. Загрузите подписанную форму сертификата в Indeed CM:
   1. Распечатайте форму сертификата. Перейдите на вкладку Содержимое в карточке устройства, нажмите напротив шаблона сертификата и выберите Сертификат.
   2. Подпишите форму сертификата и добавьте в Indeed CM. Как подписать и загрузить документ
2. Дождитесь одобрения документа от администратора.
3. Если администратор одобрил документ, то сертификат записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если администратор отклонил документ, отредактируйте его, подпишите и заново загрузите в Indeed CM.

Информация

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение документа.

Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Запрос на сертификат и сертификат

Чтобы продолжить выпуск устройства и записать на него сертификат:

1. Предоставьте подписанную форму запроса на сертификат и дождитесь одобрения запроса в УЦ.
2. Предоставьте подписанную форму сертификата и дождитесь одобрения документа от администратора.

Выполните следующие действия:

1. Загрузите подписанную форму запроса на сертификат в Indeed CM:

   1. Распечатайте запрос на сертификат. Перейдите на вкладку Содержимое в карточке устройства и нажмите напротив шаблона сертификата.
   2. Подпишите запрос на сертификат и добавьте в Indeed CM. Как подписать и загрузить документ

2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.

3. Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Действителен. Это означает, что сертификат выпущен в УЦ, но еще не записан на устройство. Загрузите подписанную форму сертификата в Indeed CM для проверки администратора:

   1. Распечатайте форму сертификата. Перейдите на вкладку Содержимое в карточке устройства, нажмите напротив шаблона сертификата и выберите Сертификат.
   2. Подпишите форму сертификата и добавьте в Indeed CM.

   Если запрос отклонен в УЦ, отзовите и очистите устройство самостоятельно или обратитесь к администратору, после чего начните выпуск устройства заново.

4. Если администратор одобрил подписанную форму сертификата, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если администратор отклонил документ, отредактируйте его, подпишите и заново загрузите в Indeed CM.

Информация

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение выпуска устройства, Одобрение документа или Отклонение выпуска устройства.

Если автоматическая рассылка уведомлений не настроена, дождитесь статуса сертификата Одобрен.

Обмен документами вне Indeed CM

Предоставьте документы администратору согласно регламенту получения сертификата проверки электронной подписи, принятому в вашей организации.

Выполните следующие действия:

1. Предоставьте администратору подписанную форму запроса на сертификат для одобрения в удостоверяющем центре (УЦ).
2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.
3. Если запрос на сертификат одобрен, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если запрос отклонен, вам необходимо отозвать и очистить устройство самостоятельно или обратиться к администратору, после чего начать выпуск устройства заново.

Информация

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение выпуска устройства или Отклонение выпуска устройства.

Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Выпуск специализированных устройств

В Indeed CM можно выпустить следующие специализированные устройства:

• Registry;
• TPM Virtual Smart Card (VSC);
• Windows Hello for Business;
• AirСard.

Registry

Инструкция для администратора по настройке выпуска устройств Registry

1. Настройте поддержку устройств Registry.
2. Добавьте тип устройства Registry.xml в конфигурацию Indeed CM.
3. Установите компонент Cm.Registry.Middleware на рабочую станцию пользователя.

Особенности выпуска устройств Registry

• поддерживается выпуск только RSA сертификатов;
• не поддерживается работа с PIN-кодами;
• не поддерживается инициализация устройства.

Чтобы выпустить устройство Registry, выполните следующие действия:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. В поле Устройство выберите:
   • Registry - Machine: Registry, чтобы выпустить сертификат в хранилище сертификатов локального компьютера;
   • Registry - User: Registry, чтобы выпустить сертификат в хранилище сертификатов текущего пользователя.
4. Нажмите Выпустить. Indeed CM отправит запрос на сертификат в УЦ.
5. Создайте пароль для контейнера закрытого ключа в окне создания приватного RSA-ключа.
   Это необходимо, если в настройках шаблона сертификата в Microsoft CA администратор задал опцию При регистрации выводить запрос и требовать от пользователя ответ, если используется закрытый ключ (Prompt the user during enrollment and require user input when the private key is used) на вкладке Обработка запроса (Request Handling).
   1. Нажмите Выбор уровня безопасности.. (Set security Level..) и задайте пароль, удовлетворяющий требованиям безопасности вашей организации.
   2. Нажмите Finish и ОК.

Сертификаты с закрытыми ключами запишутся в хранилище сертификатов пользователя или компьютера.

предупреждение

Сбросить пароль на контейнер при его утере невозможно. Перевыпустите сертификат.

TPM Virtual Smart Card

Инструкция для администратора по настройке выпуска устройств TPM VSC

1. Запустите Мастер настройки Indeed CM, перейдите в раздел Общие функции и включите опцию Работа с TPM Virtual Smart Card.
2. Добавьте тип устройства Tpm.xml в конфигурацию Indeed CM.

Настройки разблокировки устройств TPM

Чтобы иметь возможность разблокировать устройство TPM, при добавлении типа устройства в Indeed CM PIN-код администратора должен меняться на случайный или на любой неслучайный Triple DES.

3. Установите Доверенный платформенный модуль 2.0 (Trusted Platform Module) на рабочую станцию пользователя.
4. Установите компонент Cm.TPM.Middleware на рабочую станцию пользователя.

Особенности выпуска устройств TPM VSC

• поддерживается выпуск только RSA сертификатов;
• не поддерживается инициализация устройства.

Чтобы выпустить устройство TPM VSC, выполните следующие действия:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. Выберите Cоздать виртуальное устройство TPM или выберите уже созданное устройство.
4. Нажмите Выпустить.

Indeed CM создаст виртуальную карту. Виртуальную карту TPM можно использовать как аппаратное устройство на вашей рабочей станции. Например, для аутентификации в домене.

Windows Hello for Business

Инструкция для администратора по настройке выпуска устройств Windows Hello for Business

1. Разверните инфраструктуру Windows Hello for Business по инструкции Microsoft.
2. Запустите Мастер настройки Indeed CM, перейдите в раздел Общие функции и включите опцию Работа с Windows Hello for Business.
3. Добавьте тип устройства Whfb.xml в конфигурацию системы.
4. Установите Доверенный платформенный модуль 2.0 (Trusted Platform Module) на рабочую станцию пользователя.
5. Установите компонент Cm.WHfB.Middleware на рабочую станцию пользователя.

Особенности выпуска устройств Windows Hello for Business

• поддерживается выпуск сертификатов RSA 2048;
• для пользователя на компьютере можно создать только одно устройство WHfB;
• максимальное количество устройств WHfB на одном компьютере с Windows 10 - 10;
• не поддерживается инициализация устройства.

Чтобы выпустить устройство Windows Hello for Business, выполните следующие действия:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. Выберите Настроить WHfB.
4. Нажмите Выпустить.
5. Настройте PIN-код в окне настройки PIN-кода для Windows Hello:
   1. Нажмите Задать PIN-код (Set up PIN).
   2. Введите учетные данные для основной и пользовательской проверки подлинности (с помощью Indeed CM MFA адаптера) и нажмите Submit.
   3. Создайте PIN-код и нажмите ОК.

После создания PIN-кода Indeed CM продолжит выпуск устройства.

Windows Hello for Business может использоваться как аппаратное устройство на вашей рабочей станции пользователя. Например, для аутентификации в домене.

AirCard

Инструкция для администратора по настройке выпуска устройств AirCard

1. Задайте опцию Разрешить пользователю выпуск AirCard устройств в разделе Поведение политики использования устройств.
2. Добавьте тип устройства AirCard.xml в конфигурацию системы.
3. Установите компоненты Cm.AirCard.Middleware и Cm.AirCard.Runtime на рабочую станцию пользователя.
4. Настройте сетевую доступность сервера Indeed AirCard Enterprise с рабочей станции пользователя.

Особенности выпуска устройств AirCard

Поддерживается выпуск только RSA сертификатов.

После установки Indeed AirCard Runtime в области уведомлений панели задач Windows появится индикатор подключенных устройств AirCard.

Чтобы выпустить виртуальную смарт-карту AirCard, выполните следующие действия:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. Выберите Cоздать новое устройство AirCard или выберите уже созданное устройство.
4. Нажмите Выпустить.

После выпуска устройство AirCard автоматически привяжется к вашей рабочей станции. Список разрешенных компьютеров для подключения выпущенного устройства отображается в карточке устройства AirCard.

Покдлючение AirCard к рабочей станции

AirCard можно подключить двумя способами:

• автоматически в Indeed CM;
• вручную в панели управления Indeed AirCard Enterprise.

Indeed CM

После выпуска устройство AirCard автоматически подключится к разрешенным компьютерам, если они находятся в корпоративной сети предприятия.

Indeed AirCard Enterprise

Применяется, если устройство нельзя подключить автоматически (например, если компьютер находится за пределами корпоративной сети предприятия). В этом случае устройство может выпустить только администратор Indeed CM.

Добавьте устройство вручную в приложении Indeed AirCard Enterprise и подключите его к рабочей станции:

1. Откройте панель управления Indeed AirCard Enterprise.
2. Нажмите  и .
3. В поле Код введите код, полученный от администратора, выпустившего устройство. Нажмите Добавить. Код действителен в течение часа, его можно использовать только один раз. Адрес сервера Indeed AirCard Enterprise подставляется автоматически.

После добавления устройство AirCard отобразится в панели управления. Для удаления устройства нажмите .

В разделе Активные смарт-карты панели управления Indeed AirCard Enterprise можно просмотреть устройства, автоматически подключенные к рабочей станции. Для каждого устройства указан ID (серийный номер), который отображается в сервисах Indeed CM.

подсказка

Индикатор подключенных устройств AirCard находится в области уведомлений панели задач Windows. Если к рабочей станции не подключено ни одного устройства, или связь с Indeed AirCard Enterprise Server не установлена, то индикатор будет серого цвета, если подключено хотя бы одно устройство – красного.