SafeTech CA

Настройте подключение к SafeTech CA и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу SafeTech CA:

1. Запустите Мастер настройки.
2. Перейдите в раздел Удостоверяющие центры.
3. Включите интеграцию с SafeTech CA.

Добавление УЦ

1. Нажмите Добавить УЦ.

2. Введите Адрес веб-службы CA Gateway. Например, https://<имя сервера УЦ>:9443/ca-core/api/v1.

3. Укажите данные для получения токена доступа в сервисе авторизации:

   • Адрес веб-службы авторизации — URL-адрес Realm (области) Keycloak, в которой находятся клиенты и пользователи (st-ca по умолчанию).
     Например, https://<имя сервера УЦ>:8443/realms/st-ca.

   • Идентификатор клиента — значение параметра Client ID.
     Например, ca-gateway. Убедитесь, что у клиента есть роль Администратора или Оператора УЦ. Как создать клиент в KeyCloak

   • Клиентский секрет — значение параметра Client Secret.
     Например, vtG4VuWYbG6t4SxbIzsTCyxpMmqr4RPy.

     Как найти Client ID и Client Secret в KeyCloak

     Client ID доступен в параметрах клиента на вкладке Settings в разделе General settings.
     Client Secret доступен в параметрах клиента на вкладке Credentials.

   • Имя пользователя — имя сервисной учетной записи. Как создать сервисную учетную запись

   • Пароль — пароль сервисной учетной записи.

4. Нажмите Добавить.

Создание шаблонов сертификатов

Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены в SafeTech CA. Как настроить шаблоны сертификатов в SafeTech CA

Чтобы создать шаблон сертификата:

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Имя	Укажите имя шаблона сертификата.
УЦ	Укажите имя удостоверяющего центра.
Шаблон сертификата SafeTech CA	Выберите шаблон сертификата. Шаблоны загружаются автоматически из УЦ.
Алгоритм ключа	Настройка алгоритма ключа отображается, если добавленный УЦ является ГОСТ-экземпляром ST CA. Выберите алгоритм, по которому формируется ключ шифрования: ГОСТ-2012 (256) ГОСТ-2012 (512) RSA Длина RSA-ключа настраивается в шаблоне сертификата SafeTech CA в поле Минимальная длина ключа.
Префикс имени ключа	Если префикс имени ключа не указан, то имя контейнера с ключевой парой формируется случайным образом. Если префикс имени ключа указан, он добавится перед именем контейнера с ключевой парой. Значение префикса отображается в Indeed CM (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств). Устройства могут не поддерживать отображение имени контейнера с префиксом.
Использовать аппаратную криптографию, если поддерживается	Опция отображается, если: Добавленный УЦ является ГОСТ-экземпляром ST CA. В настройке Алгоритм ключа выбран алгоритм ГОСТ-2012 (256) или ГОСТ-2012 (512). При выпуске сертификата ключевая пара создается с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то используется КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя.
Включить в имя субъекта	Выберите атрибуты для формирования имени субъекта (Subject) сертификата. Список атрибутов Полное различающееся имя (значение по умолчанию) Общее имя Имя Фамилия Инициалы E-mail Должность Подразделение Организация Адрес Город Область Страна Если добавленный УЦ является ГОСТ-экземпляром ST CA, вы можете дополнительно выбрать следующие атрибуты: СНИЛС ИНН ИНН ЮЛ ОГРН ОГРНИП Для каталогов пользователей ALD Pro и FreeIPA Выберите атрибуты Общее имя, Имя, Фамилия для корректного формирования имени субъекта (Subject) сертификата.
Включить в альтернативное имя субъекта	Выберите атрибуты для формирования альтернативного имени субъекта (Subject Alternative Name) сертификата. Список атрибутов E-mail Дополнительные e-mail адреса UPN-имя пользователя
Создавать резервную копию ключа	Когда на устройстве генерируется ключевая пара, ее резервная копия сохраняется на сервере Indeed CM. Копию ключевой пары можно сохранить только один раз. Если опция выключена, то ключевая пара генерируется сразу на устройстве.
Записывать копию ключа при временной замене устройства	Копии сертификатов и закрытых ключей записываются на устройство при временной замене.
Импортировать сертификат, если существует	Indeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется.
Не удалять сертификат при обновлении/очистке устройства	При обновлении или очистке устройства истекающий/истекший сертификат не удаляется с устройства и не отзывается в УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве или выключении устройства	Сертификаты отзываются при отзыве или выключении устройства.
Устанавливать сертификат в локальное хранилище	При выпуске и обновлении устройства в Сервисе самообслуживания записанные на устройство сертификаты добавляются в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в каталоге пользователей	Выпущенный сертификат помещается в каталоге пользователей. При отзыве устройства сертификаты не удаляются из каталога.
Удалять опубликованный сертификат при отзыве устройства	При отзыве устройства из каталога пользователей удаляется опубликованный сертификат.
Публиковать список отозванных сертификатов	При выключении, включении и отзыве устройства список отозванных сертификатов (CRL) опубликуется вне очереди. Таким образом пользователь не сможет подписывать документы отозванным сертификатом. Опция доступна, если сервисная учетная запись для работы с SafeTech CA имеет разрешение на управление УЦ.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройства	Сертификат записывается на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата. После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя, при изменении которых требуется обновить сертификат: Общее имя, E-mail, UPN-имя пользователя. Изменение е-mail приводит к обновлению сертификата, если этот атрибут выбран в опции Включить в альтернативное имя субъекта. Дополнительный список отслеживаемых атрибутов пользователей задается в Мастере настройки в разделе Обновляемые атрибуты.
Шаблоны печати запроса на сертификат, сертификата, запроса на отзыв сертификата	Загрузите шаблоны документов сертификата в разделе Конфигурация→Шаблоны печати. Если шаблонов нет, используются стандартные шаблоны печати.
Период обновления (дней)	Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификат	При выпуске устройства появится возможность выбрать, какие сертификаты из списка необязательных записать на устройство. Если опция выключена, сертификат записывается на устройство по умолчанию.