Indeed CM Middleware

Indeed CM Middleware – клиентский компонент, необходимый для работы с устройствами.

Примечание

Для работы компонента Indeed CM Middleware установите на рабочие станции пользователей драйверы и сервисные утилиты устройств и считывателей. Данное ПО не входит в комплект поставки Indeed CM.

Установка для ОС Windows

Для разных типов устройств предусмотрены разные файлы Indeed CM Middleware.

Запустите файл Cm.<имя типа устройства>.Middleware.<номер версии>.ru-ru.msi из каталога CM.Client дистрибутива Indeed CM и следуйте указаниям мастера.

Таблица соответствия производителей, моделей устройств и файлов Indeed CM Middleware

Производитель	Модели устройств	Middleware
Аладдин Р.Д.	JaCarta PKI JaCarta PKI/Flash JaCarta PKI/BIO JaCarta PKI/ГОСТ JaCarta PKI/ГОСТ/Flash JaCarta-2 PKI/ГОСТ JaCarta-2 PKI/ГОСТ/Flash JaCarta-2 SE	IndeedCM.JaCarta.Middleware-<номер версии>.ru-ru.msi
Компания «Актив»	Рутокен PKI 1800 Рутокен Lite 1000 Рутокен Lite 1010 Рутокен S Рутокен ЭЦП Рутокен ЭЦП 2.0 2000 Рутокен ЭЦП 2.0 2100 Рутокен ЭЦП 2.0 3000 Рутокен ЭЦП 2.0 Flash 4500 Рутокен 2151 Рутокен ЭЦП 3.0 3100 Рутокен ЭЦП 3.0 NFC 3100 Рутокен ЭЦП 3.0 3100 SAM Рутокен ЭЦП 3.0 3120 Рутокен ЭЦП 3.0 3150 Рутокен ЭЦП 3.0 3220	IndeedCM.Rutoken.Middleware-<номер версии>.ru-ru.msi
Компания Индид	Cетевая смарт-карта AirCard	IndeedCM.AirCard.Middleware-<номер версии>.ru-ru.msi
ACS	ACOS5-64	IndeedCM.ACOS.Middleware-<номер версии>.ru-ru.msi
Avest	Avest Key 256A	IndeedCM.Avest.Middleware-<номер версии>.ru-ru.msi
Bit4id	ID-One Cosmo	IndeedCM.Bit4Id.Middleware-<номер версии>.ru-ru.msi
CRYPTAS	TicTok V2/V3	IndeedCM.TicTok.Middleware-<номер версии>.ru-ru.msi
Cryptovision	ePasslet Suite v3.0, JCOP V3.0	IndeedCM.Cryptovision.Middleware-<номер версии>.ru-ru.msi
Feitian	ePass2003 (A1+, A2) BioPass2003	IndeedCM.ePass.Middleware-<номер версии>.ru-ru.msi
HID	Crescendo C1150 Series Crescendo C1300 Series Crescendo C2300 Series	IndeedCM.HID.Middleware-<номер версии>.ru-ru.msi
ISBC	ESMART Token USB 64K ESMART Token USB 192K ESMART Token USB ГОСТ ESMART Token CARD 64K ESMART Token CARD 192K ESMART Token CARD ГОСТ	IndeedCM.ESMART.Middleware-<номер версии>.ru-ru.msi
Kaztoken	Kaztoken, Kaztoken SC	IndeedCM.Kaztoken.Middleware-<номер версии>.ru-ru.msi
Microsoft	Реестр Локального компьютера Реестр Пользователя	IndeedCM.Registry.Middleware-<номер версии>.ru-ru.msi
	TPM Virtual Smart Card (Microsoft VSC)	IndeedCM.TPM.Middleware-<номер версии>.ru-ru.msi
	Windows Hello for Business (WHfB)	IndeedCM.WHfB.Middleware-<номер версии>.ru-ru.msi
RSA	RSA SecurID 800	IndeedCM.RSA.Middleware-<номер версии>.ru-ru.msi
Thales (SafeNet и Gemalto)	SafeNet eToken PRO 32k SafeNet eToken PRO 64k eToken PRO Java 72K OS755 SafeNet eToken 5105 SafeNet eToken 5110 IDCore30B eToken 1.7.7	IndeedCM.eToken.Middleware-<номер версии>.ru-ru.msi
	IDPrime MD 830 FIPS IDPrime MD 830B FIPS IDPrime MD 840B IDPrime 930 IDPrime 930nc IDPrime 940 IDPrime 940B IDPrime MD 3810 IDPrime MD 3811 IDPrime 3930 IDPrime 3940 IDPrime 3940 FIDO SafeNet eToken 5300 SafeNet eToken Fusion SafeNet eToken Fusion CC SafeNet eToken 5110 CC (940)	IndeedCM.IDPrime.Middleware-<номер версии>.ru-ru.msi
Yubico	YubiKey 5 Series	IndeedCM.YubiKey.Middleware-<номер версии>.ru-ru.msi

Установка для ОС Linux

В Indeed CM для OC Linux поддерживаются устройства Рутокен, JaCarta, ESMART и SafeNet eToken. Для всех типов устройств предусмотрен единый Indeed CM Middleware.

RHEL-based

Установите Indeed CM Middleware из пакета cm.middleware-<номер версии>.x86_64.rpm:

sudo rpm -i cm.middleware-<номер версии>.x86_64.rpm

Debian-based

Установите Indeed CM Middleware из пакета cm.middleware-<номер версии>_amd64.deb:

sudo dpkg -i cm.middleware_<номер версии>_amd64.deb

Таблица моделей устройств, поддерживаемых Indeed CM в ОС Linux

Производитель	Модели устройств
Аладдин Р.Д.	JaCarta PKI JaCarta PKI/Flash JaCarta PKI/BIO JaCarta PKI/ГОСТ JaCarta PKI/ГОСТ/Flash JaCarta-2 PKI/ГОСТ JaCarta-2 PKI/ГОСТ/Flash JaCarta-2 SE
Компания «Актив»	Рутокен PKI 1800 Рутокен ЭЦП Рутокен ЭЦП 2.0 2000 Рутокен ЭЦП 2.0 2100 Рутокен ЭЦП 2.0 3000 Рутокен ЭЦП 2.0 Flash 4500 Рутокен 2151 Рутокен ЭЦП 3.0 3100 Рутокен ЭЦП 3.0 NFC 3100 Рутокен ЭЦП 3.0 3100 SAM Рутокен ЭЦП 3.0 3120 Рутокен ЭЦП 3.0 3150 Рутокен ЭЦП 3.0 3220
ISBC	ESMART Token USB 64K ESMART Token USB 192K ESMART Token USB ГОСТ ESMART Token CARD 64K ESMART Token CARD 192K ESMART Token CARD ГОСТ
Thales (SafeNet и Gemalto)	SafeNet eToken PRO 32k SafeNet eToken PRO 64k eToken PRO Java 72K OS755 SafeNet eToken 5105 SafeNet eToken 5110 IDCore30B eToken 1.7.7

Установка браузерного расширения

Для доступа к веб-приложениям Indeed CM установите расширение Indeed CM Middleware в браузеры на рабочих станциях администраторов, операторов и пользователей.

Google Chrome, Chromium, Яндекс.Браузер

Расширение можно установить следующими способами:

• через интернет-магазин Chrome
• через файл CRX из каталога CM.Client

Чтобы установить расширение через файл CRX:

1. Запустите браузер и откройте страницу со списком расширений:
   • chrome://extensions для Google Chrome и Chromium,
   • browser://extensions для Яндекс.Браузера.
2. Откройте каталог CM.Client-v<номер версии>\cm.middleware.chrome.extension.
3. Перетащите файл CRX на страницу браузера со списком расширений.
4. Во всплывающем окне нажмите Установить расширение.

Mozilla Firefox

1. Запустите браузер и откройте страницу со списком расширений about:addons.
2. Нажмите и выберите Установить дополнение из файла….
3. Выберите файл cm.middleware-1.0.xpi из каталога CM.Client-v<номер версии>\cm.middleware.chrome.extension и нажмите Открыть.
4. Нажмите Добавить во всплывающем окне.

Работа с устройствами в ОС Astra Linux SE в режиме ЗПС

Indeed CM поддерживает работу с устройствами в ОС Astra Linux SE в режиме замкнутой программной среды (ЗПС). Для поддержки режима ЗПС исполняемые файлы компонента Indeed CM Middleware подписаны встроенной подписью.

Предварительные настройки

Для работы с устройствами в режиме ЗПС необходимо наличие следующих компонентов:

• Indeed CM Middleware для OC Linux
• подписанные версии драйверов и сервисных утилит устройств и считывателей
• подписанная версия пакета libssl1.1 (openssl1.1)

libssl1.1

В Astra Linux SE 1.7 пакет libssl1.1 установлен по умолчанию. Для работы с устройствами в Astra Linux SE 1.8 установите подписанную версию пакета libssl1.1.

Как установить libssl1.1 в Astra Linux SE 1.8

1. Откройте файл с репозиториями:

sudo nano /etc/apt/sources.list

2. Добавьте репозиторий с пакетом libssl1.1 в файл с репозиториями:

deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free

3. Установите libssl1.1:

sudo apt update && sudo apt install libssl1.1

Проверка подписи

Чтобы подпись прошла проверку для работы в режиме ЗПС:

1. Установите пакет cm.digsig.key_1.0.0-1_all.deb, содержащий публичный открытый ключ:

   sudo dpkg -i cm.digsig.key_1.0.0-1_all.deb

   После установки пакета ключ находится по пути /etc/digsig/keys.

2. Перезагрузите систему, чтобы ключ стал доверенным.

Поддержка устройств Registry

Настройте поддержку устройств Registry через групповые политики или реестр Windows (для рабочих станций вне домена Windows).

Групповые политики

Чтобы разрешить пользователям Indeed CM выпускать устройства Registry с записью сертификатов в локальное хранилище компьютера и/или пользователя через Сервис самообслуживания, настройте групповую политику. Политика должна распространяться на рабочие станции пользователей Indeed CM.

Добавьте административные шаблоны:

1. Скопируйте содержимое каталога CM.Client\Misc\ в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.

   Примечание

   При использовании локального хранилища ADMX-файлов поместите шаблоны в C:\Windows\PolicyDefinitions.

2. Откройте консоль Управление групповой политикой (Group Policy Management).

3. В дереве окна консоли создайте новый объект групповой политики или выберите существующий.

4. Вызовите контекстное меню и выберите пункт Изменить (Edit). Откроется окно Редактор управления групповыми политиками (Group Policy Management Editor).

5. Выберите Конфигурация компьютера (Computer Configuration) → Политики (Policies) → Административные шаблоны (Administrative Templates) → Indeed CM → Client.

6. Включите политики:

   • Включить устройство 'Реестр' (компьютер) (Enable 'Registry' card (Machine)), если требуется выпуск сертификатов в локальное хранилище рабочей станции.
   • Включить устройство 'Реестр' (пользователь) (Enable 'Registry' card (User)), если требуется выпуск сертификатов в хранилище пользователя.

   

7. Свяжите объект политики с группой, членами которой являются рабочие станции пользователей Indeed CM.

8. Нажмите Применить (Apply) и обновите политики.

Реестр Windows

Если сервер Indeed CM и рабочие станции пользователей находятся вне домена Windows, задайте возможность выпуска устройств Registry в реестре каждой клиентской рабочей станции.

Создайте файл реестра REG со следующим содержанием:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\CM\Client]
"MachineRegistryCardEnabled"=dword:00000000
"UserRegistryCardEnabled"=dword:00000000

• MachineRegistryCardEnabled: установите значение 1 (dword:00000001), если требуется выпуск сертификатов в локальное хранилище рабочей станции.
• UserRegistryCardEnabled: установите значение 1 (dword:00000001), если требуется выпуск сертификатов в хранилище пользователя рабочей станции.

Пример файла REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\CM\Client]
"MachineRegistryCardEnabled"=dword:00000001
"UserRegistryCardEnabled"=dword:00000001

В примере включена возможность выпускать устройства Registry в хранилище компьютера и пользователя.