КриптоПро УЦ 2.0
Для настройки работы Indeed Certificate Manager с КриптоПро УЦ 2.0 выполните следующие действия:
- Создайте сервисную группу пользователей в Центре Регистрации.
- Создайте сервисную учетную запись для работы с КриптоПро УЦ 2.0.
- Настройте шаблон сертификата агента подачи заявок.
- Выпустите сертификат агента подачи заявок сервисной учетной записи.
Если каталог пользователей расположен только в Центре Регистрации КриптоПро УЦ 2.0, то выполните настройку аутентификации в веб-сервисах Indeed CM по сертификатам.
Cоздание сервисной учетной записи для работы с КриптоПро УЦ
Описанный ниже вариант создания сервисной учетной записи является рекомендуемым, но не единственным. Вы можете создать учетную запись пользователя и выпустить сертификат непосредственно в Центре Регистрации и затем экспортировать его для установки на сервер Indeed Certificate Manager.
- Запустите от имени администратора браузер Internet Explorer, Google Chrome, Chromium или Яндекс.Браузер на сервере Indeed CM и откройте корневую страницу КриптоПро УЦ 2.0 (https://<имя сервера УЦ>/UI/).
- Подайте заявку на регистрацию сервисной учетной записи:
- Укажите в заявке имя сервисной учетной записи и e-mail.
- Запомните или запишите выданный ЦР идентификатор и временный пароль.
- Укажите дополнительную информацию, если необходимо или пропустите этот шаг.
- Завершите регистрацию.
- Одобрите запрос на регистрацию нового пользователя в Консоли управления ЦР.
- Добавьте созданного пользователя в группу безопасности Indeed CM Service Users.
Создание шаблона сертификата для сервисной учетной записи
Для сервисной учетной записи системы Indeed Certificate Manager необходимо создать шаблон сертификата, на основе которого впоследствии будет выпущен сертификат агента подачи заявок. Для этого:
- Откройте узел Шаблоны сертификатов в утилите Диспетчер УЦ.
- Создайте шаблон сертификата Indeed CM Service User на основе шаблона Пользователь:
- Укажите Cрок действия сертификата.
- В разделе Параметры создания ключа выберите Ключ принадлежит: Компьютеру и включите опцию Разрешить экспорт ключа.
- В разделе Настройка расширений сертификата выберите Улучшенный ключ (2.5.29.37) и нажмите Изменить....
- Нажмите Изменить... в окне Настройки расширения.
- Поставьте отметку напротив пункта Агент запроса сертификата и два раза нажмите OK.
- Примените изменения в шаблоне.
- Нажмите правой кнопкой мыши по корневому узлу Роли УЦ и нажмите Обновить.
Выпуск сертификата агента подачи заявок сервисной учетной записи
Чтобы выпустить сертификат агента подачи заявок сервисной учетной записи:
- С рабочей станции, на которой установлен сервер Indeed Certificate Manager, выполните вход в личный кабинет пользователя КриптоПро УЦ по идентификатору и временному паролю сервисной учетной записи.
- Создайте запрос на сертификат, указав шаблон Indeed CM Service User и криптопровайдер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider.
Поддерживаются и крипто-провайдеры RSA.
- Дождитесь одобрения запроса Оператором Центра Регистрации.
- Перейдите в раздел Запросы→Изготовление личного кабинета пользователя КриптоПро.
- Загрузите и сохраните изготовленный сертификат.
Если сервера Indeed CM и КриптоПро УЦ имеют общее хранилище данных, то сертификат сервисного пользователя необходимо выпустить с экспортируемым закрытым ключом. Этот сертификат и его контейнер закрытого ключа необходимо переносить на каждый сервер Indeed CM.
- Установите сертификат в контейнер локального хранилища рабочей станции.
- Выдайте системе права на чтение закрытого ключа сертификата сервисной учетной записи, который был установлен на предыдущем шаге.
- Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
- Нажмите правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
- Нажмите Добавить (Add), укажите сервер в меню Размещение (Location), укажите локальную группу IIS_IUSRS в поле Введите имена выбранных объектов (Enter the object names to select), нажмите Проверить имена (Check Names) и ОК.
- Выставите права Полный доступ (Full Control) и Чтение (Read).
- Нажмите Применить (Apply).
- В хранилище Локального компьютера (Local computer), на котором установлен сервер Indeed CM, установите сертификат корневого центра сертификации КриптоПро УЦ 2.0 в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
- В хранилище Локального компьютера (Local Computer), на котором установлен сервер Indeed CM, установите список отозванных сертификатов (CRL) центра сертификации КриптоПро УЦ 2.0 в Промежуточные Центры Сертификации (Intermediate Certification Authorities).
Настройка аутентификации в веб-сервисах Indeed CM по сертификатам
Для настройки аутентификации в веб-сервисах Indeed Certificate Manager по сертификатам cоздайте сертификат аутентификации сервера КриптоПро УЦ 2.0:
- Зарегистрируйте нового пользователя КриптоПро УЦ. В качестве имени пользователя укажите полное имя рабочей станции, на которой установлен сервер Indeed CM.
- С сервера Indeed CM войдите в личный кабинет пользователя Крипто Про УЦ по идентификатору и временному паролю учетной записи сервера.
- Создайте запрос на сертификат. Укажите шаблон Веб-сервер, криптопровайдер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider, использование ключа – Подпись.
- Дождитесь одобрения запроса оператором Центра Регистрации.
- Перейдите в раздел Запросы→Изготовление личного кабинета пользователя КриптоПро.
- Загрузите и сохраните изготовленный сертификат.
- Установите полученный сертификат в личное хранилище компьютера используя КриптоПро CSP (Сервис→Установить личный сертификат...).
- Укажите путь к файлу сертификата. Убедитесь в том, что выбран сертификат рабочей станции, имя которой было указано в п.1.
- Укажите, что введенное имя задает ключевой контейнер компьютера и отметьте опцию Найти контейнер автоматически. После этого в качестве хранилища контейнера определится Реестр, нажмите Далее и завершите установку сертификата.
- Выдайте системе Indeed CM права на чтение закрытого ключа
сертификата сервисной учетной записи, который был установлен на
предыдущем шаге.
- Запустите оснастку Сертификаты (Certificates) для локального компьютера на сервере Indeed CM.
- Перейдите в раздел Личные (Personal)→Сертификаты (Certificates).
- Нажмите правой кнопкой мыши на сертификат, установленный при помощи КриптоПро CSP, выберите Все задачи (All tasks)→Управление закрытыми ключами...(Manage Private Keys...).
- Нажмите Добавить (Add), укажите сервер в меню Размещение (Location), укажите локальную группу IIS_IUSRS в поле Введите имена выбранных объектов (Enter the object names to select), нажмите Проверить имена (Check Names) и ОК.
- Выставите права Полный доступ (Full Control).
- Нажмите Применить (Apply).