Валидата УЦ

Настройте подключение к Валидата УЦ и создайте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу Валидата УЦ:

1. Запустите Мастер настройки.
2. Перейдите в раздел Удостоверяющие центры.
3. Включите интеграцию с Валидата УЦ.

Добавление УЦ

Офлайн-режим

1. Нажмите Добавить УЦ.

2. Укажите Каталог для обмена файлами с ЦР/ЦС – каталог для обмена файлами Indeed CM c Центром Регистрации.

   Примечание

   В каталоге должны присутствовать цепочка сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или СОС).

3. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к выбранному каталогу.

   • Укажите Подкаталог для запросов – подкаталог для входящих незащищенных запросов пользователей в формате PKCS#10. Обработка запросов в формате PKCS#10 выполняется в ручном режиме на АРМ Администратора ЦР.
   • Укажите Подкаталог для сертификатов – подкаталог сертификатов для выдачи конечным пользователям.

4. Нажмите Добавить.

Онлайн-режим

В онлайн-режиме Indeed CM заменяет АРМ Оператора ЦР Валидата. Для работы в данном режиме необходимо Разрешить удаленное подключение к сервису в настройках Центра Регистрации.

1. Нажмите Добавить УЦ.

2. В поле Адрес сервера ЦР укажите адрес и порт RPC сервера Центра Регистрации:

   ncacn_ip_tcp:<ip>[<port>]

3. Выберите Клиентский сертификат – сертификат Оператора Центра Регистрации.

   Примечание

   Поле Улучшенный ключ сертификата должно содержать значения Оператор Центра Регистрации (OID 1.3.6.1.4.1.10244.6.1) и Проверка подлинности TLS клиента (OID 1.3.6.1.5.5.7.3.2).

   Клиентский сертификат используется:

   • при подключении к сервису ЦР, чтобы выполнить аутентификацию по протоколу TLS;
   • для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя.

4. Укажите Каталог для обмена файлами с ЦР/ЦС – каталог для обмена файлами Indeed CM c Центром Регистрации. В каталоге должны присутствовать цепочка сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или САС).

5. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к выбранному каталогу.

6. В поле Подкаталог для запросов укажите подкаталог запросов в формате CMS/PKCS#7 для Центра Сертификации, обработанных Оператором ЦР.

7. В поле Подкаталог для сертификатов укажите подкаталог сертификатов в формате CMS/PKCS#7, обработанных Центром Сертификации.

8. Нажмите Добавить.

Создание шаблонов сертификатов

Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены и добавлены в Валидата УЦ. Как настроить шаблоны сертификатов в Валидата УЦ

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Параметр	Описание
Имя	Укажите имя шаблона сертификата.
УЦ	Укажите имя удостоверяющего центра.
Шаблон сертификата Валидата УЦ	Загрузите файл шаблона сертификата.
Префикс имени ключа	Если префикс не задан, то имя контейнера, содержащего ключевую пару, будет сформировано случайным образом. Если указан префикс, то он добавится перед именем контейнера. Значение префикса отображается в системе (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.). Имя контейнера с префиксом может не поддерживаться устройством.
Использовать аппаратную криптографию, если поддерживается	При выпуске и обновлении сертификата ключевая пара создается с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то будет использоваться КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя.
Создавать резервную копию ключа	Когда на устройстве генерируется ключевая пара, ее резервная копия сохраняется на сервере Indeed CM. Копию ключевой пары можно сохранить только один раз. Если опция выключена, то ключевая пара генерируется сразу на устройстве.
Записывать копию ключа при временной замене устройства	Копии сертификатов и закрытых ключей записываются на устройство при временной замене.
Импортировать сертификат, если существует	Indeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется.
Не удалять сертификат при обновлении/очистке устройства	При обновлении или очистке устройства истекающий/истекший сертификат не удаляется с устройства и не отзывается в УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве/выключении устройства	Сертификаты пользователя отзываются при выключении или отзыве устройства.
Устанавливать сертификат в локальное хранилище	При выпуске и обновлении устройства в Сервисе самообслуживания записанные на него сертификаты добавятся в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в каталоге пользователей	Выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства. Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Публиковать сертификат в ЕСИА	Выпущенный квалифицированный сертификат регистрируется в Единой системе идентификации и аутентификации (ЕСИА). Опция доступна, если в Мастере настройки в разделе Общие функции включена Интеграция со СМЭВ.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя при изменении которых необходимо обновление сертификата: Общее имя, E-mail, UPN-имя пользователя. Изменение е-mail приводит к обновлению сертификата, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name). Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки Indeed CM.
Шаблон печати запроса на сертификат, сертификата, запроса на отзыв сертификата	Загрузите шаблоны документов сертификата в разделе Конфигурация→Шаблоны печати. Если шаблонов нет, используются стандартные шаблоны печати.
Период обновления (дней)	Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификат	При выпуске устройства появится возможность выбрать, какие сертификаты из списка необязательных записать на устройство. Если опция выключена, сертификат записывается на устройство по умолчанию.