Skip to main content

Настройки PKI

Настройте параметры входа в операционную систему:

  • Импортировать сертификаты УЦ

Если опция включена, то при выпуске устройства на него будет записан корневой сертификат или цепочка сертификатов удостоверяющего центра (УЦ). Такие сертификаты не удаляются с устройства при его изъятии из Indeed CM.

info

Убедитесь, что устройство поддерживает запись корневого сертификата или цепочки сертификатов.

  • Требовать логон по смарт-карте

Если опция включена, то при выпуске устройства в параметрах учетной записи пользователя в Active Directory применится настройка Для интерактивного входа в сеть нужна смарт-карта (Smart card is required for interactive logon).

caution

  • Сервисная учетная запись для работы с каталогом пользователей должна обладать правами на Запись:userAccountControl (Write userAccountControl) в Active Directory (см. раздел Настройка каталога пользователей в Active Directory).

  • Если включить опцию Для интерактивного входа в сеть нужна смарт-карта (Smart card is required for interactive logon) в профиле пользователя Active Directory, доменный пароль пользователя будет изменен на случайный, и срок действия этого пароля будет неограничен. Подробнее на сайте компании Microsoft.

  • Перед настройкой опции Требовать логон по смарт-карте убедитесь, что шаблон для сертификата Вход со смарт-картой (Smartсard Logon) добавлен в политику использования устройств.

Удостоверяющие центры

В разделе Удостоверяющие центры задаются УЦ, с которыми будет работать Indeed Certificate Manager.

Indeed CM поддерживает работу с множеством УЦ. Вы можете добавить несколько УЦ для одной политики или создать несколько политик и для каждой указать свой УЦ.

tip

Раздел доступен для настройки при активированной опции Включить интеграцию с Microsoft CA Enterprise в разделе Microsoft CA Мастера настройки Indeed CM.

Выберите инструкцию в зависимой от операционной системы, где установлен сервер Indeed CM:

Чтобы добавить УЦ, выполните следующие действия:

  1. Нажмите Добавить УЦ.
  2. В поле Адрес задайте адрес УЦ, если он не определился автоматически.
  3. Укажите данные сервисной учетной записи, обладающей сертификатом Агент регистрации (Enrollment Agent).
  4. Нажмите Добавить.
caution

Наличие пользователя с сертификатом Агент регистрации (Enrollment Agent) является обязательным условием для работы Indeed CM с УЦ. От имени этого пользователя будут отправляться запросы в указанный УЦ на выдачу сертификатов пользователям Indeed CM. Учетные данные этого пользователя можно изменить после добавления УЦ в Indeed CM.

Для изменения учетных данных пользователя с сертификатом Агент регистрации (Enrollment Agent) выберите нужный удостоверяющий центр и нажмите  справа от имени пользователя.

Для удаления УЦ нажмите .

Чтобы добавить УЦ, расположенный за пределами домена пользователей Indeed CM, выполните следующие действия:

  1. Нажмите Добавить УЦ.
  2. В поле Адрес укажите URL-адрес приложения Indeed CM MSCA Proxy.
info

Если Indeed CM развернут в лесу доменов, использовать Indeed CM MSCA Proxy необязательно. В этом случае в поле Адрес укажите имя УЦ.

  1. Укажите данные учетной записи пользователя (логин в формате ДОМЕН\ИМЯ и пароль), обладающего сертификатом Агент регистрации (Enrollment Agent) на УЦ, расположенном вне домена с каталогом пользователей Indeed CM.
  2. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.
  3. В поле Путь (LDAP) укажите путь к каталогу пользователей Indeed CM внешнего домена.
Пример

Indeed CM развернут в домене demo.local. Сертификаты пользователям этого домена выпускаются в УЦ, развернутом в этом домене. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Indeed CM есть еще одна доменная учетная запись, и на имя которой добавляемый УЦ будет выпускать сертификаты.

Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных в УЦ, расположенных в независимых доменах.

caution

Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене demo.local должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

  1. В поле Имя пользователя укажите учетную запись (в формате ДОМЕН\ИМЯ), обладающую правами на чтение всех свойств пользователей во внешнем домене. Для этого можно использовать учетную запись, указанную в п.3.
tip

Для настройки разрешения на чтение только необходимого набора свойств перейдите в раздел Настройка каталога пользователей в Active Directory.

  1. В поле Атрибут сопоставления каталогов укажите атрибут (Общее имя (CN), E-mail или Логин (sAMAccountName)), по которому Indeed CM будет определять уникальность пользователя, для которого созданы учетные записи в каждом домене.
Пример настроек для внешнего Microsoft CA с опцией выпуска сертификатов для пользователей сопоставленного каталога

Шаблоны сертификатов

В разделе Шаблоны задаются шаблоны для сертификатов пользователей.

caution

Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены и добавлены в центр сертификации Microsoft CA. См. разделы Настройка шаблонов сертификатов и Добавление шаблонов сертификатов.

Чтобы создать шаблон сертификата, нажмите Создать шаблон сертификата, задайте необходимые Параметры шаблона сертификата и нажмите Создать.

info

Indeed CM позволяет создать множество разных шаблонов сертификатов для одной политики (при условии, что эти шаблоны не повторяются). Просмотреть список созданных шаблонов можно в разделе Шаблоны выбранной политики.

Для редактирования шаблона выберите его и нажмите . Для удаления шаблона из политики нажмите.

Параметры шаблонов сертификатов

Настройте шаблоны сертификатов для используемых удостоверяющих центров.

ПараметрОписание
ИмяИмя шаблона сертификата
УЦИмя удостоверяющего центра.
Шаблон сертификата УЦЗагружается из выбранного удостоверяющего центра.
Префикс имени ключаЕсли префикс не задан, то имя контейнера, содержащего ключевую пару, будет сформировано случайным образом.

Если указан префикс, то он добавится перед именем контейнера.

Значение префикса отображается в системе (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.).

Имя контейнера с префиксом может не поддерживаться устройством.
Включить в имя субъектаУкажите атрибуты для формирования имени субъекта (Subject) сертификата:

- Полное различающееся имя (значение по умолчанию);
- Общее имя(CN);
- Имя;
- Фамилия;
- Инициалы;
- E-mail;
- Должность;
- Подразделение;
- Организация;
- Адрес;
- Город;
- Область;
- Страна.

Для формирования имени субъекта (Subject) и альтернативного имени субъекта (Subject Alternative Name) сертификата из списка атрибутов в свойствах шаблона Microsoft CA на вкладке Имя субъекта (Subject Name) укажите Предоставляется в запросе (Supply in the request).
Включить в альтернативное имя субъектаУкажите атрибуты для формирования альтернативного имени субъекта (Subject Alternative Name) сертификата:

- E-mail;
- Дополнительные e-mail адреса;
- UPN-имя пользователя.

Атрибут пользователя Active Directory, из которого вычитываются дополнительные e-mail адреса, указывается в разделе Microsoft CA Мастера настройки Indeed CM.
Атрибут по умолчанию: proxyAddresses.
Создать резервную копию ключаЕсли опция включена, то при генерации ключевой пары на смарт-карте будет применена опция её архивации. Это значит, что ключевая пара будет сгенерирована на смарт-карте и ее копия (открытый и закрытый ключи) будут отправлены на сервер Indeed CM и затем в хранилище системы. Архивация ключевой пары возможна только один раз.

Если опция выключена, то ключевая пара сразу генерируется на устройстве.
Записывать копию ключа при временной замене устройстваЕсли опция включена, то копии сертификатов и закрытых ключей будут записаны на временное устройство при замене, как и в случае с постоянной заменой.

Если опция выключена, то копии сертификатов и закрытых ключей не будут записаны на временное устройство при замене.
Использовать ключи повторноЕсли опция включена, то при обновлении сертификатов, записанных на устройство, существующий ключ шифрования будет использован повторно.
Импортировать сертификат, если существуетЕсли опция включена, то система будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей. Импорт сертификата невозможен, если устройство будет инициализировано перед выпуском.
Не удалять сертификат при обновлении/очистке устройстваЕсли опция включена, то при обновлении или очистке устройства истекающий/истекший сертификат не будет удален с устройства и отозван на УЦ.

В процессе обновления будет запрошен новый сертификат с новым закрытым ключом и записан на устройство.

Если включена опция Использовать ключи повторно, то при обновлении устройства истекающий/истекший сертификат будет удален с устройства. На устройство будет запрошен и записан новый сертификат со старым закрытым ключом.
Истекающий/истекший сертификат будет удален, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве или выключении устройстваЕсли опция включена, то сертификаты пользователя будут отозваны при выключении или отзыве устройства.

Если опция выключена, то при выключении или отзыве устройства сертификаты не будут отозваны.
Устанавливать сертификат в локальное хранилищеЕсли опция включена, то при выпуске (обновлении) устройства через Сервис самообслуживания записанные на него сертификаты добавятся в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в файловое хранилищеЕсли опция включена, то выпущенный сертификат будет помещен в сетевое хранилище (папку). При отзыве устройства сертификаты из хранилища не удаляются.

Опция доступна при включении Публикация сертификатов в файловое хранилище в разделе Общие функции Мастера настройки Indeed CM.
Публиковать список отозванных сертификатовЕсли опция включена, то при выключении, включении и отзыве устройств список отозванных сертификатов (CRL) опубликуется вне очереди. Таким образом пользователь не сможет подписывать документы отозванным сертификатом.

Опция доступна, если сервисная учетная запись для работы с Microsoft CA имеет разрешение Управлять ЦС.
Автоматически одобрять запрос на сертификатЕсли опция включена, то запросы на сертификат будут автоматически одобрены.

Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос будет отклонен.
Автоматически одобрять подписанный запрос на обновление сертификатаЕсли опция включена, то запрос на обновление сертификата будет одобрен автоматически.

Если опция выключена, то для обновления сертификата потребуется дождаться одобрения запроса на УЦ.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройстваЕсли опция включена, то сертификат будет записан на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата.

После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Отслеживаемые атрибуты пользователяУкажите атрибуты пользователя, при изменении которых необходимо обновление сертификата:

- Общее имя(CN);
- E-mail;
- UPN-имя пользователя.

Изменение е-mail приводит к обновлению сертификата, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name).

Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки Indeed CM.
Шаблон печати запроса на сертификатЕсли параметр не задан, то используется стандартный шаблон печати запроса на сертификат.

Если в систему добавлены Шаблоны печати запроса сертификата, то выберите шаблон из выпадающего меню.
Шаблон печати сертификатаЕсли параметр не задан, то используется стандартный шаблон печати сертификата.

Если в систему добавлены Шаблоны печати сертификата, то выберите шаблон из выпадающего меню.
Шаблон печати запроса на отзыв сертификатаЕсли параметр не задан, то используется стандартный шаблон печати запроса на отзыв сертификата.

Если в систему добавлены Шаблоны печати запроса на отзыв сертификата, то выберите шаблон из выпадающего меню.
Использовать по умолчаниюЕсли опция включена, то сертификат отмечается как используемый по умолчанию для входа в операционную систему Windows XP.
Необязательный сертификатЕсли опция включена, то при выпуске устройства появится возможность выбора сертификатов для записи из числа отмеченных, как необязательные.

Если опция выключена, то сертификат считается обязательным для записи на устройство.