КриптоПро УЦ 2.0

Настройте подключение к КриптоПро УЦ 2.0 и создайте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу КриптоПро УЦ 2.0:

1. Запустите Мастер настройки.
2. Перейдите в раздел Удостоверяющие центры.
3. Включите интеграцию с КриптоПро УЦ 2.0.

Добавление УЦ

1. Нажмите Добавить УЦ.

2. Выберите тип API в зависимости от используемого варианта исполнения КриптоПро УЦ 2.0:

   • SOAP для вариантов исполнений 5, 6, 9, 10 для ОС Windows;
   • REST для вариантов исполнений 15, 16 для ОС Windows и ОС Astra Linux SE.

3. Введите Адрес сервера ЦР. В зависимости от используемого варианта исполнения КриптоПро УЦ 2.0 укажите:

   • URL-адрес в полном или сокращенном виде для вариантов исполнений 5, 6, 9, 10 для ОС Windows:

   https://<host_name>/ra/RegAuthLegacyService.svc
   https://<host_name>/ra
   • URL-адрес для вариантов исполнений для вариантов исполнений 15 и 16 для ОС Windows и ОС Astra Linux SE:

   https://<host_name>

4. Оставьте пустым поле Имя ЦС, если на рабочей станции развернута только одна роль Центра Сертификации (ЦС). Имя определяется автоматически. Если ролей ЦС несколько, укажите имя ЦС, к которому необходимо подключиться.

5. В поле Адрес прокси-сервера укажите имя сервера и порт, если для соединения с УЦ используется прокси-сервер. Например, http://proxy.company.com:8080.

6. В поле Клиентский сертификат выберите сертификат клиентской аутентификации для подключения к УЦ (Indeed CM Service User). Как получить сертификат

7. Для вариантов исполнений 15, 16 в поле Сертификат подписи выберите сертификат для подписи запросов в УЦ.

8. Чтобы установить связь между пользователями УЦ и пользователями каталога Indeed CM, включите опцию Устанавливать привязку между пользователем УЦ и пользователем каталога.

   Подробнее о работе опции

   Установите связь между пользователями УЦ и пользователями каталога Indeed CM, если они не совпадают. Такая ситуация может быть в следующих сценариях использования:

   • Indeed CM работает с пользователями домена Windows и запрашивает для них сертификаты КриптоПро УЦ. В КриптоПро УЦ есть свой каталог пользователей, который не связан с каталогом пользователей Indeed CM.
   • Indeed CM работает с пользователями КриптоПро УЦ, но этим пользователям необходимо выдавать сертификаты других УЦ, кроме сертификатов собственного УЦ.

   При необходимости определите следующие параметры работы с УЦ:

   • Устанавливать привязку автоматически
     Если в каталоге УЦ есть пользователь, для которого выпускается устройство, связь устанавливается автоматически.
   • Создавать пользователя УЦ, если он не существует
     Если в каталоге УЦ нет пользователя, для которого выпускается устройство с сертификатом, пользователь создается автоматически. По умолчанию пользователи создаются в корневом каталоге Центра Регистрации. Чтобы создавать пользователей во вложенной папке, укажите имя папки.
   • Обновлять учетные данные пользователя УЦ
     Если в профиле пользователя в каталоге изменились данные, они обновятся автоматически в каталоге УЦ.
     Чтобы данные обновились, пользователь каталога должен быть связан с пользователем Центра Регистрации. Если привязка не установлена, в каталоге ЦР создается новый пользователь.

9. Нажмите Добавить.

Создание шаблонов сертификатов

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Параметр	Описание
Имя	Укажите имя шаблона сертификата.
УЦ	Укажите имя удостоверяющего центра.
Шаблон сертификата КриптоПро УЦ 2.0	Выберите шаблон сертификата. Шаблоны загружаются автоматически из УЦ.
Префикс имени ключа	Если префикс не задан, то имя контейнера, содержащего ключевую пару, будет сформировано случайным образом. Если указан префикс, то он добавится перед именем контейнера. Значение префикса отображается в системе (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.). Имя контейнера с префиксом может не поддерживаться устройством.
Использовать аппаратную криптографию, если поддерживается	При выпуске сертификата ключевая пара будет создаваться с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то будет использоваться КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя.
Создавать резервную копию ключа	Когда на устройстве генерируется ключевая пара, ее резервная копия сохраняется на сервере Indeed CM. Копию ключевой пары можно сохранить только один раз. Если опция выключена, то ключевая пара генерируется сразу на устройстве.
Записывать копию ключа при временной замене устройства	Копии сертификатов и закрытых ключей записываются на устройство при временной замене.
Импортировать сертификат, если существует	Indeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется.
Не удалять сертификат при обновлении/очистке устройства	При обновлении или очистке устройства истекающий/истекший сертификат не удаляется с устройства и не отзывается в УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве или выключении устройства	Сертификаты пользователя отзываются при выключении или отзыве устройства.
Устанавливать сертификат в локальное хранилище	При выпуске и обновлении устройства в Сервисе самообслуживания записанные на него сертификаты сохраняются в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в каталоге пользователей	Выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства. Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Публиковать сертификат в ЕСИА	Выпущенный квалифицированный сертификат будет зарегистрирован в Единой системе идентификации и аутентификации (ЕСИА). Опция доступна, если в Мастере настройки в разделе Общие функции включена Интеграция со СМЭВ.
Публиковать сертификат в файловое хранилище	Выпущенный сертификат сохраняется в сетевом хранилище (папке). При отзыве устройства сертификаты не удаляются из хранилища. Опция доступна, если в Мастере настройки в разделе Общие функции включена Публикация сертификатов в файловое хранилище.
Публиковать сертификат в ЦФТ	Выпущенный сертификат сохраняется в базе приложений ЦФТ. При отзыве устройства сертификаты не удаляются из базы приложений ЦФТ. Опция доступна, если в Мастере настройки в разделе Удостоверяющие центры включена опция Публиковать сертификаты пользователей КриптоПро УЦ 2.0 в базе приложений ЦФТ.
Публиковать список отозванных сертификатов	При выключении, включении и отзыве устройств список отозванных сертификатов (CRL) опубликуется вне очереди. Пользователь не сможет подписывать документы отозванным сертификатом.
Использовать комментарий устройства в качестве комментария пользователя к запросу на сертификат	В поле Заметки пользователя запроса сертификата отображается текст комментария устройства.
Автоматически одобрять запрос на сертификат	Запросы на сертификат одобряются автоматически. Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос будет отклонен.
Автоматически одобрять подписанный запрос на обновление сертификата	Запрос на обновление сертификата одобряется автоматически. Если опция выключена, то для обновления сертификата потребуется дождаться одобрения запроса на УЦ.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройства	Сертификат запишется на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата. После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя, при изменении которых необходимо обновление сертификата: - Общее имя; - E-mail; - UPN-имя пользователя. Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки Indeed CM.
Шаблон печати запроса на сертификат, сертификата, запроса на отзыв сертификата	Загрузите шаблоны документов сертификата в разделе Конфигурация→Шаблоны печати. Если шаблонов нет, используются стандартные шаблоны печати.
Период обновления (дней)	Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификат	При выпуске и обновлении устройства появится возможность выбрать, какие сертификаты из списка необязательных, записать на устройство. Если опция выключена, сертификат записывается на устройство по умолчанию.