Skip to main content

КриптоПро DSS 2.0

ПАК "КриптоПро DSS" версии 2.0 предназначен для защищенного хранения закрытых ключей пользователей и для удаленного выполнения операций по созданию электронной подписи.

Интеграция c Indeed Certificate Manager позволяет выпускать средства облачной аутентификации и вести их централизованный учёт. Для работы с электронной подписью не требуется устройство (USB-токен или смарт-карта), ключи генерируются и хранятся в хранилище КриптоПро DSS, для доступа и использования электронной подписи применяется облачный криптопровайдер КриптоПро Cloud CSP.

Предварительные условия

Для интеграции Indeed Certificate Manager c КриптоПро DSS в окружении компании должны быть развернуты:

  • Сервер Indeed CM версии 5.1 и выше.
  • ПАК "КриптоПро УЦ" 2.0
  • ПАК "КриптоПро DSS" 2.0
  • ПАКМ "КриптоПро HSM"
  • КриптоПро CSP 5.0
  • Настроенная интеграция КриптоПро УЦ 2.0 с КриптоПро DSS
info

Интеграция УЦ и DSS необходима для управления пользователями и их сертификатами в удостоверяющем центре. КриптоПро DSS выступает в роли привилегированного пользователя по отношению к КриптоПро УЦ 2.0. Создание и обновление пользователей, запрос сертификатов и прочие действия на УЦ в этом случае выполняются от имени Оператора DSS. Подробная инструкция по интеграции входит в комплект поставки ПАК "КриптоПро DSS".

Настройка интеграции

Для работы с КриптоПро DSS используется учётная запись Оператор DSS, сертификат которой должен храниться на сервере Indeed CM. Для установки сертификата Оператора DSS выполните следующие действия:

  1. Добавьте сертификат Оператора DSS в локальное хранилище компьютера (Local Computer) на сервере Indeed CM.
  2. Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Indeed CM.
  3. Выдайте системе права на чтение закрытого ключа сертификата Оператора DSS.
    1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
    2. Нажмите правой кнопкой мыши на сертификат, выберите Все задачи (All tasks)→Управление закрытыми ключами...(Manage Private Keys...).
    3. Нажмите Добавить (Add), укажите сервер в меню Размещение (Location), укажите локальную группу IIS_IUSRS в поле Введите имена выбранных объектов (Enter the object names to select), нажмите Проверить имена (Check Names) и ОК.
    4. Выдайте право Полный доступ (FullControl).
    5. Нажмите Применить (Apply).
  4. Выдайте права на папку с пользователями в КриптоПро УЦ 2.0 для учётной записи Оператор DSS:
    1. Создайте группу безопасности, например DSS Operators, и добавьте в неё учётную запись Оператор DSS.
    2. Откройте свойства папки, где будут располагаться пользователи DSS, перейдите на вкладку Безопасность и добавьте созданную группу DSS Operators.
    3. Выдайте группе следующие права:
Права для сервисной группы пользователей DSS Operators
Наименование разрешенияТип объектаКомментарий
Чтение свойствПапка, ПользовательЧтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту.
Запрос регистрацииПапкаСоздание запроса на регистрацию пользователя
Запрос сертификатаПользователь, шаблонСоздание запроса сертификата для пользователя
Запрос аннулированияПользовательСоздание запроса на аннулирование сертификата пользователя
Запрос приостановленияПользовательСоздание запроса на приостановление сертификата пользователя
Запрос возобновленияПользовательСоздание запроса на возобновление сертификата пользователя
Одобрение регистрацииПапкаОдобрение запроса на регистрацию пользователя
Одобрение сертификатаПользователь, шаблонОдобрение запроса сертификата для пользователю
Одобрение аннулированияПользовательОдобрение запроса на аннулирование сертификата пользователя
Одобрение приостановленияПользовательОдобрение запроса на приостановление сертификата пользователя
Одобрение возобновленияПользовательОдобрение запроса на возобновление сертификата пользователя
Передача запросовПользовательПередача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос.
Запрос переименованияПользовательСоздание запроса на изменение данных пользователя.
Одобрение переименованияПользовательОдобрение запроса на изменение данных пользователя.