Работа с ключевыми носителями

Данное руководство предназначено для администраторов предприятий и поможет ознакомиться с подготовкой и использованием устройств JaCarta, eToken и IDPrime MD в Indeed Certificate Manager.

Indeed CM взаимодействует с устройствами с помощью компонента IndeedCM.Middleware.

Для работы с ключевыми носителями установите на рабочие станции операторов и пользователей Indeed CM следующие компоненты:

• Единый клиент JaCarta для устройств JaCarta,
• SafeNet Authentication Client для устройств eToken.

Работа с устройствами JaCarta

Особенности работы с ГОСТ-областью

При использовании устройств JaCarta с PKI/ГОСТ-областями и JaCarta-2 с PKI/ГОСТ1/ГОСТ2-областями следует учитывать следующие особенности:

JaCarta PKI/ГОСТ

• PIN-код администратора области ГОСТ по умолчанию меняется на случайный после добавления устройства в Indeed Certificate Manager. При удалении устройства из Indeed CM с подключением устройства к рабочей станции случайный PIN-код администратора области ГОСТ меняется на значение, указанное в разделе Конфигурация→Типы устройств.
• PIN-код пользователя для области ГОСТ можно установить и изменить только при инициализации устройства после выпуска устройства.
• При изъятии у пользователя устройства с подключением к рабочей станции нужно ввести PIN-код пользователя для области ГОСТ. Если PIN-код пользователя для области ГОСТ неизвестен, то такое устройство изымается у пользователя без подключения к рабочей станции. Чтобы выпустить такое устройство повторно, устройство нужно инициализировать, и будет задан новый PIN-код пользователя для области ГОСТ, известный пользователю и/или оператору.
• При разблокировке области ГОСТ PIN-код пользователя не меняется. На счетчике попыток ввода PIN-кода до блокировки устройства устанавливается 10 попыток.

Для PIN-кода пользователя области ГОСТ в политиках Indeed CM не поддерживаются следующие опции:

• парольная политика в разделе Выпуск→Инициализация устройства.
• опция Пользователь должен поменять PIN-код при первом входе в разделе Выпуск.

Для PIN-кода пользователя области ГОСТ в политиках Indeed CM поддерживаются следующие опции:

• опция Установить случайный PIN-код пользователя в разделе Выпуск. При этом случайный PIN-код будет одинаковым для областей PKI и ГОСТ.
• опция Блокировать устройство в разделе Выпуск.
• установка PIN-кода в параметрах инициализации устройства.

JaCarta-2 PKI/ГОСТ1/ГОСТ2

• Управление PIN-кодами пользователей областей ГОСТ1 и ГОСТ2 в Indeed CM происходит синхронно, т.е. смена PIN-кода ГОСТ1 повлечет за собой смену и PIN-кода ГОСТ2 и наоборот. Аналогично и для прочих операций (сброс, разблокировка).

• PIN-коды пользователя для обоих ГОСТ-областей можно установить или изменить только при инициализации устройства (при выпуске смарт-карты с включенной опцией Инициализировать устройство), при этом содержимое устройства для ГОСТ2-области не будет очищено. Новое значение PIN-кода необходимо указать в параметрах инициализации для устройств JaCarta-2.

• Для добавления устройства в Indeed CM PIN-код администратора ГОСТ1 должен совпадать с PUK-кодом области ГОСТ2. Таким образом, изменить PIN-код администратора ГОСТ1 при выпуске устройства нельзя, т.е. все устройства JaCarta-2 после добавления в Indeed CM будут иметь PIN-код администратора, заданный производителем (1234567890).

  Чтобы сменить PIN-код администратора ГОСТ1:

  • измените PUK-код через АРМ-администратора JaCarta (предоставляется разработчиком устройств JaCarta),
  • измените PIN-код администратора ГОСТ1 через АРМ или Единый клиент.

  Для работы в Indeed CM c новым PIN-кодом администратора ГОСТ1 необходимо:

  • прописать новые значения в типе устройства JaCarta.
  • выпустить устройство с включенными опциями Добавлять устройства автоматически и Инициализировать устройство через Indeed CM.

• Для PKI-области инициализация проходит с очисткой содержимого и изменением PIN-кодов администратора и пользователя согласно заданным политикам инициализации в Indeed CM.

Добавление различных моделей JaCarta

При добавлении в Indeed Certificate Manager устройства JaCarta не разделяются по моделям.

Чтобы разделить устройства по моделям и установить параметры инициализации для каждой модели, выполните следующие действия:

1. Откройте файл JaCarta-pin.xml из дистрибутива сервера Indeed CM (\Misc\CardTypes).
2. Раскомментируйте секцию <models> удалив тег <!- - ... - ->.

<models>
    <model name="JaCarta PKI/ГОСТ/Flash" rawModel="JC216" hasGostApplet="true"/>
    <model name="JaCarta PKI/ГОСТ" rawModel="JC205|JC305|JC005|JC005-123J.J01 v3.0" hasGostApplet="true"/>
    <model name="JaCarta-2 PKI/ГОСТ" rawModel="JC207-12.F27 v4.0" hasGostApplet="true"/>
    <model name="JaCarta-2 SE" rawModel="JC267-1236J.J01Q01|JC267-1236.Q01" hasGostApplet="true"/>
    <model name="JaCarta PKI" rawModel="JC000|JC200|JC300" hasGostApplet="false"/>
    <model name="JaCarta PKI/Flash" rawModel="JC210" hasGostApplet="false"/>
    <model name="JaCarta PKI/BIO" rawModel="JC303" hasGostApplet="false"/>
</models>

info

Обратитесь в службу технической поддержки компании Индид, если моделей устройств JaCarta, используемых в вашей организации, нет в списке.

3. Сохраните изменения в файле.

4. Добавьте файл JaCarta-pin.xml в раздел Конфигурация→Типы устройств Консоли управления Indeed CM (включите опцию Заменить существующий, если устройства JaCarta использовались в Indeed CM ранее).

5. При редактировании типа устройства JaCarta нажмите Добавить настройки модели устройства, выберите модель и нажмите Добавить.

6. Установите параметры для выбранной модели и нажмите Сохранить.

caution

Для применения фильтрации устройств по моделям все ранее добавленные в Indeed CM устройства JaCarta должны быть выведены из системы и добавлены повторно.

Если модель добавляемого устройства не найдена, либо если настройки моделей отсутствуют, то к устройству будут применены настройки по умолчанию.

Добавление различных моделей eToken и IDPrime MD

При добавлении в Indeed Certificate Manager некоторые устройства eToken и IDPrime MD не разделяются по моделям, так как имеют общее свойство ATR (Answer-to-Reset).

Вы можете разделить устройства по моделям и установить параметры инициализации для каждой модели. Для этого выполните следующие действия:

1. Откройте файл конфигурации eTokenProJava72K.xml и IDPrimeMD.xml из дистрибутива Indeed CM (\Misc\CardTypes) в текстовом редакторе, например, в Блокноте.
2. Удалите тег <!- - ... - -> из секции models и сохраните изменения.

eToken PRO Java 72K:
<models>
    <model name="eToken PRO Java 72K OS755" rawModel="eToken PRO Java 72K OS755" hasGostApplet="false" />
    <model name="SafeNet eToken 5105" rawModel="SafeNet eToken 510x" hasGostApplet="false" />
    <model name="SafeNet eToken 5110" rawModel="SafeNet eToken 5110" hasGostApplet="false" />
    <model name="IDCore 30B" rawModel="IDCore30B eToken 1.7.7" hasGostApplet="false" />
</models>
  
IDPrime MD:
<models>
    <model name="IDPrime MD 830-FIPS" rawModel="IDPrime MD 830-FIPS" hasGostApplet="false" />
    <model name="IDPrime MD 830-FIPS Rev B" rawModel="IDPrime MD 830-FIPS Rev B" hasGostApplet="false" />
    <model name="IDPrime MD 840 B" rawModel="IDPrime MD 840 B" hasGostApplet="false" />
    <model name="IDPrime MD 3810" rawModel="IDPrime MD 3810" hasGostApplet="false" />
    <model name="IDPrime MD 3811 Mifare-Desfire" rawModel="IDPrime MD 3811 Mifare-Desfire" hasGostApplet="false" />     
</models>

3. Откройте Консоль управления Indeed CM и перейдите в раздел Конфигурация→Типы устройств.
4. Нажмите Добавить тип устройства и загрузите файлы eTokenProJava72K.xml и IDPrimeMD.xml. Включите опцию Заменить существующий, если устройства eToken или IDPrime MD уже использовались в Indeed CM.
5. Нажмите напротив добавленного типа устройства eToken или IDPrime MD.

6. Нажмите Добавить настройки модели устройства, выберите модель и нажмите Добавить.

7. Установите параметры для выбранной модели и нажмите Сохранить.

caution

Чтобы устройства eToken или IDPrime MD фильтровались по моделям, удалите из системы Indeed CM все добавленные устройства eToken или IDPrime MD и добавьте их повторно. Если модель добавляемого устройства не найдена или настройки моделей отсутствуют, то устройство будет настроено по умолчанию.

Изменение иконок устройства

В Indeed Certificate Manager существует набор изображений, который отображает форм-фактор устройства: USB-токен; Смарт-карта.

Для изменения иконок необходимо:

1. Подготовить изображение в формате PNG c максимальным размером 20x20 px.

2. Для формирования имени файла воспользуйтесь следующим шаблоном <Название типа устройства>_<Название модели>, где:

   • Название типа устройства - имя, указанное в конфигурационном файле устройства.xml. Название типа находится в секции <name>...</name> 

   • Название модели - если в конфигурационном файле XML есть данные о нескольких устройствах, то необходимо указать точное название модели. Название модели находится в секции <models>...</models>>

caution

В названии файла запрещены символы: /, \, :, *, ?, ", <, >, |. Если они встречаются в названии типа устройства или модели, то их необходимо удалить. Все пробелы необходимо заменить символом подчеркивания "_".

Пример:

• Rutoken_S.png - изменение иконки для устройств Rutoken S
• eToken_PRO_Java_72K_eToken_PRO_Java_72K_OS755.png - изменение иконки для устройств типа eToken PRO Java 72K, модели eToken PRO Java 72K OS755.

3. Скопируйте изображение в:

   • C:\inetpub\wwwroot\mc\Content\images
   • C:\inetpub\wwwroot\mcremote\Content\images
   • C:\inetpub\wwwroot\mcservice\Content\images

4. Откройте Консоль управления (Management Console) и перейдите в раздел Устройства.