КриптоПро DSS 2.0
ПАК "КриптоПро DSS" версии 2.0 предназначен для защищенного хранения закрытых ключей пользователей и для удаленного выполнения операций по созданию электронной подписи.
Интеграция c Indeed Certificate Manager позволяет выпускать средства облачной аутентификации и вести их централизованный учёт. Для работы с электронной подписью не требуется устройство (USB-токен или смарт-карта), ключи генерируются и хранятся в хранилище КриптоПро DSS, для доступа и использования электронной подписи применяется облачный криптопровайдер КриптоПро Cloud CSP.
Предварительные условия
Для интеграции Indeed Certificate Manager c КриптоПро DSS в окружении компании должны быть развернуты:
- Сервер Indeed CM версии 5.1 и выше.
- ПАК "КриптоПро УЦ" 2.0
- ПАК "КриптоПро DSS" 2.0
- ПАКМ "КриптоПро HSM"
- КриптоПро CSP 5.0
- Настроенная интеграция КриптоПро УЦ 2.0 с КриптоПро DSS
Интеграция УЦ и DSS необходима для управления пользователями и их сертификатами в удостоверяющем центре. КриптоПро DSS выступает в роли привилегированного пользователя по отношению к КриптоПро УЦ 2.0. Создание и обновление пользователей, запрос сертификатов и прочие действия на УЦ в этом случае выполняются от имени Оператора DSS. Подробная инструкция по интеграции входит в комплект поставки ПАК "КриптоПро DSS".
Настройка интеграции
Для работы с КриптоПро DSS используется учётная запись Оператор DSS, сертификат которой должен храниться на сервере Indeed CM. Для установки сертификата Оператора DSS выполните следующие действия:
- Добавьте сертификат Оператора DSS в локальное хранилище компьютера (Local Computer) на сервере Indeed CM.
- Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Indeed CM.
- Выдайте системе права на чтение закрытого ключа сертификата
Оператора DSS.
- Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
- Нажмите правой кнопкой мыши на сертификат, выберите Все задачи (All tasks)→Управление закрытыми ключами...(Manage Private Keys...).
- Нажмите Добавить (Add), укажите сервер в меню Размещение (Location), укажите локальную группу IIS_IUSRS в поле Введите имена выбранных объектов (Enter the object names to select), нажмите Проверить имена (Check Names) и ОК.
- Выдайте право Полный доступ (FullControl).
- Нажмите Применить (Apply).
- Выдайте права на папку с пользователями в КриптоПро УЦ 2.0 для учётной записи Оператор DSS:
- Создайте группу безопасности, например DSS Operators, и добавьте в неё учётную запись Оператор DSS.
- Откройте свойства папки, где будут располагаться пользователи DSS, перейдите на вкладку Безопасность и добавьте созданную группу DSS Operators.
- Выдайте группе следующие права:
Права для сервисной группы пользователей DSS Operators
| Наименование разрешения | Тип объекта | Комментарий |
|---|---|---|
| Чтение свойств | Папка, Пользователь | Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту. |
| Запрос регистрации | Папка | Создание запроса на регистрацию пользователя |
| Запрос сертификата | Пользователь, шаблон | Создание запроса сертификата для пользователя |
| Запрос аннулирования | Пользователь | Создание запроса на аннулирование сертификата пользователя |
| Запрос приостановления | Пользователь | Создание запроса на приостановление сертификата пользователя |
| Запрос возобновления | Пользователь | Создание запроса на возобновление сертификата пользователя |
| Одобрение регистрации | Папка | Одобрение запроса на регистрацию пользователя |
| Одобрение сертификата | Пользователь, шаблон | Одобрение запроса сертификата для пользователю |
| Одобрение аннулирования | Пользователь | Одобрение запроса на аннулирование сертификата пользователя |
| Одобрение приостановления | Пользователь | Одобрение запроса на приостановление сертификата пользователя |
| Одобрение возобновления | Пользователь | Одобрение запроса на возобновление сертификата пользователя |
| Передача запросов | Пользователь | Передача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос. |
| Запрос переименования | Пользователь | Создание запроса на изменение данных пользователя. |
| Одобрение переименования | Пользователь | Одобрение запроса на изменение данных пользователя. |