Выпуск устройства
Во время процедуры выпуска устройство персонализируется для пользователя. В соответствии с настройками назначенной политики устройство инициализируется, генерируются ключевые пары, выпускаются сертификаты и записываются в память устройства.
Процесс получения сертификата включает следующие шаги:
- Пользователь создает запрос на сертификат по заданному шаблону и генерирует на устройстве пару ключей (открытый и закрытый) с использованием криптопровайдера (CSP).
- Пользователь формирует запрос на сертификат, в который записывается открытый ключ.
- Пользователь подписывает запрос закрытым ключом.
- Оператор удостоверяющего центра (УЦ) подписывает запрос ключом сервисной учетной записи с необходимыми правами, которыми владеет сервер Indeed CM.
- Запрос отправляется в УЦ.
- УЦ одобряет или отклоняет запрос. После одобрения в УЦ выпущенный сертификат записывается на носитель с помощью криптопровайдера.
Процедура выпуска
Чтобы выпустить устройство пользователю, выполните следующие действия:
Перейдите на вкладку Пользователи в Консоли управления и выполните поиск пользователя.
Нажмите на логин и перейдите в карточку пользователя.
Нажмите Выпустить устройство.
Выберите шаблоны, по которым будут сформированы сертификаты для записи на устройство. Обязательные сертификаты запишутся на устройство автоматически.
Если в политике использования устройств настроена Интеграция со СМЭВ и сертификат выпускается по шаблону для КриптоПро УЦ 2.0 или Валидата УЦ, отобразится форма проверки СМЭВ. Проверьте данные пользователя.
Подключите устройство к компьютеру и задайте следующие настройки:
Инициализировать устройство
Опция Инициализировать устройство позволяет отключить и включить инициализацию для конкретного устройства.
При выпуске устройства с инициализацией все данные на устройстве будут удалены.
Параметры инициализации настраиваются в разделе Выпуск политики использования устройств.
Имя устройства
Имя устройства выставится автоматически, если в разделе Выпуск политики использования устройств задана опция Генерировать имя устройства автоматически.
Комментарий к устройству
Указание комментария обязательно, если в разделе Выпуск политики использования устройств задана опция Требовать указания комментария к устройству.
Если в параметрах шаблона сертификата КриптоПро УЦ 2.0 включена опция Использовать комментарий устройства в качестве комментария пользователя к запросу на сертификат, то текст комментария будет добавлен в запрос.
Теги
Номер и дата документа
Выставите данные о документе, на основании которого будет изготовлено СКЗИ с информацией об устройстве.
Поле Номер и дата документа отображается, если:
- устройство поддерживает аппаратную криптографию;
- устройство не добавлено в Indeed CM, и в разделе Поведение политики использования устройств задана опция Добавлять устройство автоматически.
Раздел Дополнительно отображается, если устройство не было ранее добавлено в Indeed CM. Введите нужный PIN-код в зависимости от настроек инициализации:
- Выпуск с инициализацией
- Выпуск без инициализации
Устройство будет инициализировано, если задать опцию Инициализировать устройство (шаг 6) и настроить параметры инициализации при выпуске. Все данные на устройстве будут удалены.
- Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Indeed CM и в разделе Поведение политики использования устройств задана опция Добавлять устройство автоматически.info
Если поле PIN-код администратора оставить пустым, то установится значение, указанное в разделе Типы устройств.
Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta. - Если вы выпускаете устройство eToken со встроенной защитой от форматирования, то укажите ключ инициализации.
- Нажмите Выпустить.
- Введите PIN-код пользователя.
- Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Indeed CM и в разделе Поведение политики использования устройств задана опция Добавлять устройство автоматически.info
Если поля PIN-код администратора и PIN-код пользователя оставить пустыми, то установятся значения, указанные в разделе Типы устройств.
Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta. - Нажмите Выпустить.
- Если устройство содержит сторонние сертификаты, Indeed CM может их обнаружить и внести информацию о таких сертификатах в систему – отследить.
Окно выбора сертификатов для отслеживания отображается, если в разделе Поведение политики использования устройств задана опция Включить отслеживание сертификатов.
Выберите сертификаты для отслеживания, если они есть на устройстве, и нажмите ОК.
Если в разделе Выпуск политики использования устройств задана опция Установить случайный PIN-код пользователя, то после выпуска устройства отобразится PIN-код пользователя.
Как передать PIN-код пользователю
Если в разделе Уведомления настроена рассылка уведомлений по электронной почте, PIN-код можно отправить на электронную почту пользователя и его руководителя.
PIN-код можно распечатать и отправить в конверте. Нажмите . PIN-код будет сохранен в файле PinEnvelope.pdf.
infoПараметры печати содержатся в шаблоне C:\inetpub\wwwroot\cm\mc\wwwroot\content\pinenvelope.xsl.
По умолчанию на печать выводится информация о пользователе (имя и email) и устройстве (тип, серийный номер и PIN-код пользователя). Для изменения шаблона печати отредактируйте файл pinenvelope.xsl.
По завершении выпуска устройства нажмите Закрыть.
После выпуска устройства в разделе Назначенные устройства карточки пользователя отобразятся сведения об устройстве.
Контроль выпуска
Выпуск устройства можно приостановить, если регламент вашей организации предусматривает проверку запроса на сертификат в УЦ.
Чтобы настроить проверку запроса на сертификат в УЦ, перейдите в настройки шаблонов сертификатов используемых УЦ и отключите опцию Автоматически одобрять запрос на сертификат.
В окне выпуска устройства появится сообщение Выпуск устройства ожидает решения. Устройству присваивается статус В ожидании. Это означает, что запрос на выпуск устройства перешел в стадию рассмотрения.
Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Одобрен и записывается на устройство. Нажмите Продолжить выпуск устройства в карточке устройства.
Если запрос отклонен в УЦ, отзовите и очистите устройство, после чего начните выпуск устройства заново.
Если в политике настроена автоматическая рассылка уведомлений по электронной почте, то вам придет уведомление о статусе одобрения. Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить обновление устройства в карточке устройства.
Если на устройство одновременно записываются несколько сертификатов, устройство можно выпустить, когда оба запроса на сертификат одобрены в УЦ.
Если один из сертификатов был одобрен автоматически (статус Действительный), он будет записан на устройство вместе со вторым сертификатом.
Проверка данных пользователя в СМЭВ
Проверка данных пользователя в системе межведомственного электронного взаимодействия (СМЭВ) доступна в карточке пользователя (опция Проверить пользователя в СМЭВ), а также при выпуске или обновлении устройства, если в политике использования устройств настроена Интеграция со СМЭВ и требуется выпустить или обновить квалифицированный сертификат КриптоПро УЦ 2.0 или Валидата УЦ согласно политике использования устройств.
- Выберите Тип пользователя, данные которого необходимо проверить в СМЭВ: физическое лицо, юридическое лицо или индивидуальный предприниматель.
- Введите данные пользователя и нажмите Далее.
- Проверка данных пользователя может занять несколько часов. Нажмите Проверить повторно, чтобы редактировать данные пользователя и проверить их повторно, или Закрыть, чтобы продолжить проверку в фоновом режиме. Данные, введенные при проверке, сохраняются.
Результат проверки отобразится при следующей попытке выпуска или обновления устройства. Результат можно проверить в Журнале событий.
Если проверка прошла успешно, выберите:
- Проверить повторно, чтобы повторно проверить данные пользователя в СМЭВ. Например, если паспортные данные пользователя изменились с момента последней проверки.
- Далее, чтобы продолжить выпуск/обновление устройства.
- Отмена, чтобы отменить выпуск/обновление устройства.
Если проверка завершилась ошибкой, выберите:
- Проверить повторно, чтобы редактировать данные пользователя и проверить их повторно.
- Одобрить данные пользователя, чтобы принудительно подтвердить корректность данных.
- Отмена, чтобы отменить выпуск/обновление устройства.
Выберите опцию Одобрить данные пользователя, если в СМЭВ ещё не поступили недавно изменённые персональные данные пользователя (например, при смене фамилии или замене паспорта).
Опция доступна для администраторов и операторов Indeed CM c привилегией Одобрение данных запроса СМЭВ. Привилегия назначается на вкладке Конфигурация в разделе Роли.
Состояния сертификатов
Состояние сертификата | Описание |
---|---|
Действительный | Срок действия сертификата еще не истек. Сертификат пригоден для использования. |
Отозван | Сертификат отозван. Отзыв может быть временным или окончательным. Если отзыв временный (после выключения устройства), срок действия сертификата приостанавливается на период выключения устройства. После включения устройства сертификат снова становится действительным, если его срок действия не истек, пока устройство было выключено. В случае окончательного отзыва (после отзыва или изъятия устройства), сертификат нельзя использовать. |
Истекает | Срок действия сертификата скоро закончится. Обновите сертификат, если планируете его использовать. |
Ключ истекает | Срок действия закрытого ключа сертификата КриптоПро УЦ скоро закончится. Обновите сертификат, если планируете его использовать. Закрытый ключ также будет обновлен. |
Истек | Срок действия сертификата истек. Сертификат непригоден для использования. Срок действия сертификата можно продлить на период, равный сроку его действия, заданный в шаблоне сертификата на УЦ (см. раздел Обновление устройства). |
Ошибка | Состояние сертификата не удалось определить. Возможно, центр сертификации недоступен. Сертификат непригоден для использования. |
Одобрен | Администратор одобрил запрос на сертификат, но сертификат еще не выпущен пользователю. |
Отклонен | Администратор отклонил запрос на сертификат. |
В ожидании | Запрос на сертификат ожидает рассмотрения оператором УЦ. |
Публикация выпущенных сертификатов
Сертификаты, выпущенные и записанные на устройство, можно опубликовать в следующие хранилища:
- Локальное хранилище сертификатов пользователя на рабочей станции. Опция Устанавливать сертификат в локальное хранилище в Параметрах шаблона сертификата политики использования устройств.
- Каталог пользователей в Active Directory. Опция Публиковать сертификат в каталоге пользователей.
- Единая система идентификации и аутентификации (ЕСИА). Опция Публиковать сертификат в ЕСИА.
- Файловое хранилище. Опция Публиковать сертификат в файловое хранилище.
- База приложений ЦФТ. Опция Публиковать сертификат в ЦФТ.
Печать персонального сертификата и запроса сертификата
Печатные формы запроса на сертификат, сертификата и запроса на отзыв сертификата можно сохранить в формате PDF и отправить пользователю по электронной почте.
Для печати нажмите , выберите нужную форму и сохраните файл.
Для изменения стандартных шаблонов печати, общих для всех шаблонов сертификатов, добавленных в политику использования устройств, отредактируйте в Консоли управления и в Сервисе самообслуживания следующие файлы:
Консоль управления:
- C:\inetpub\wwwroot\cm\mc\wwwroot\content\request_ru.xsl – шаблон печати запроса;
- C:\inetpub\wwwroot\cm\mc\wwwroot\content\cert_ru.xsl – шаблон печати сертификата;
- C:\inetpub\wwwroot\cm\mc\wwwroot\content\revocationRequest_ru.xsl– шаблон печати запроса на отзыв сертификата.
Сервис самообслуживания:
- C:\inetpub\wwwroot\cm\ss\wwwroot\content\request_ru.xsl – шаблон печати запроса;
- C:\inetpub\wwwroot\cm\ss\wwwroot\content\cert_ru.xsl – шаблон печати сертификата;
- C:\inetpub\wwwroot\cm\ss\wwwroot\content\revocationRequest_ru.xsl – шаблон печати запроса на отзыв сертификата.
Вы можете использовать разные шаблоны печати сертификата, запроса на сертификат или запроса на отзыв сертификата для шаблонов сертификатов, добавленных в политику выпуска устройств. Для этого отредактируйте шаблоны и загрузите их на вкладке Конфигурация Консоли управления в разделе Шаблоны печати, и выберите в Настройках шаблонов сертификатов.