Перейти к основному содержимому
Версия: Indeed Certificate Manager 7.2

КриптоПро DSS 2.0

Настройте подключение к КриптоПро DSS и создайте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу КриптоПро DSS:

  1. Запустите Мастер настройки.
  2. Перейдите в раздел Удостоверяющие центры.
  3. Включите интеграцию с КриптоПро DSS.

Добавление УЦ

В разделе Серверы задаются серверы DSS, с которыми будет работать Indeed Certificate Manager.

  1. Перейдите в раздел КриптоПро DSSСерверы.

  2. Нажмите Добавить сервер, чтобы добавить удостоверяющий центр.

  3. Укажите параметры подключения:

    • Имя – произвольное имя добавляемого сервера;
    • Адрес веб-службы СЭП – адрес службы электронной подписи DSS.

  4. Укажите данные для получения токена доступа в сервисе авторизации:

    • Адрес веб-службы ЦИ – адрес центра идентификации DSS.
    • Адрес прокси-сервера. Если для соединения с сервером DSS используется прокси-сервер, укажите его параметры (имя сервера и порт). Например, https://proxy.company.com:8080.
    • Идентификатор клиента – клиентский идентификатор (client_id) для взаимодействия через API.
    • Адрес возврата – укажите адрес возврата (redirect_uri), если он отличается от дефолтного значения.
    • Клиентский сертификат – сертификат оператора DSS.

  5. Чтобы установить связь между пользователями КриптоПро DSS и пользователями каталога Indeed CM, включите опцию Устанавливать привязку между пользователем DSS и пользователем каталога.

    Подробнее о работе опции

    Установите связь между пользователями УЦ и пользователями каталога Indeed CM, если они не совпадают. Такая ситуация может быть в следующих сценариях использования:

    • Indeed CM работает с пользователями домена Windows и запрашивает для них сертификаты КриптоПро DSS. В КриптоПро DSS есть свой каталог пользователей, который не связан с каталогом пользователей Indeed CM.
    • Indeed CM работает с пользователями КриптоПро DSS, но этим пользователям необходимо выдавать сертификаты других УЦ, кроме сертификатов собственного УЦ.

    При необходимости определите следующие параметры работы с УЦ:

    • Устанавливать привязку автоматически
      Если в каталоге УЦ есть пользователь, для которого выпускается устройство, связь устанавливается автоматически.
    • Создавать пользователя УЦ, если он не существует
      Если в каталоге УЦ нет пользователя, для которого выпускается устройство с сертификатом, пользователь создается автоматически. По умолчанию пользователи создаются в корневом каталоге Центра Регистрации. Чтобы создавать пользователей во вложенной папке, укажите имя папки.
    • Обновлять учетные данные пользователя УЦ
      Если в профиле пользователя в каталоге изменились данные, они обновятся автоматически в каталоге УЦ.
      Чтобы данные обновились, пользователь каталога должен быть связан с пользователем Центра Регистрации. Если привязка не установлена, в каталоге ЦР создается новый пользователь.

  6. Нажмите Добавить.

Создание шаблонов сертификатов

  1. Перейдите в раздел Шаблоны.
  2. Нажмите Создать шаблон сертификата.
  3. Заполните параметры и нажмите Создать.
ПараметрОписание
ИмяУкажите имя шаблона сертификата.
СерверУкажите имя сервера DSS.
УЦУкажите имя удостоверяющего центра.
Шаблон сертификата КриптоПро DSSВыберите шаблон сертификата. Шаблоны загружаются автоматически из УЦ.
Импортировать сертификат, если существуетIndeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется.
Отзывать сертификат при отзыве или выключении устройстваСертификаты пользователя отзываются при выключении или отзыве устройства.
Публиковать сертификат в каталоге пользователейВыпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства.

Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Автоматически одобрять запрос на сертификатЗапрос на сертификат одобряется автоматически.

Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос отклонен.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройстваСертификат запишется на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата.

После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Период обновления (дней)Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификатПри выпуске и обновлении устройства появится возможность записать на устройство сертификаты из списка необязательных.

Если опция выключена, сертификат записывается на устройство по умолчанию.