Skip to main content

Валидата УЦ

Для настройки работы Indeed Certificate Manager с Валидата УЦ выполните следующие действия:

  1. Настройте режим работы с Валидата УЦ: офлайн или онлайн.

В офлайн-режиме в УЦ обрабатываются запросы пользователей в формате PKCS#10, после чего сертификаты выдаются пользователям. В онлайн-режиме работы с Валидата УЦ сервер Indeed CM заменяет собой АРМ Оператора ЦР Валидата.

  1. Настройте шаблоны сертификатов пользователей.

Офлайн-режим работы

Для работы Indeed Certificate Manager с Валидата УЦ в офлайн-режиме необходимо предоставить доступ на чтение и запись к каталогу для обмена файлами с Центром Регистрации Валидата УЦ. Данный каталог должен содержать следующее:

  • корневой и промежуточные сертификаты Валидата УЦ
  • актуальный файл Списка Отозванных Сертификатов (СОС)
  • подкаталог для входящих незащищённых запросов пользователей (в формате PKCS#10)
  • подкаталог сертификатов для выдачи конечным пользователям
caution

Обработка запросов в формате PKCS#10 может быть выполнена исключительно в ручном режиме на АРМ Администратора ЦР.

Онлайн-режим работы

Для работы Indeed Certificate Manager с Валидата УЦ в онлайн-режиме необходимо предоставить доступ на чтение и запись к каталогу для обмена файлами с Центром Сертификации Валидата и настроить подключение к АРМ Администратора Центра Регистрации Валидата УЦ с помощью сертификата Оператора ЦР.

info

Сертификат Оператора ЦР используется как при подключении к сервису ЦР для выполнения аутентификации по протоколу TLS, так и для подписания XML шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя, и должен содержать значения Оператор Центра Регистрации (OID: 1.3.6.1.4.1.10244.6.1) и Проверка подлинности TLS клиента (OID: 1.3.6.1.5.5.7.3.2).

Сертификат Оператора ЦР можно выпустить с использованием Валидата CSP или с помощью КриптоПро CSP.

Ниже описан процесс выпуска сертификата Оператора ЦР в Центре Регистрации Валидата УЦ с использованием Валидата CSP:

  1. Для создания шаблона сертификата выберите пункт меню Центр Регистрации - Сформировать запрос на сертификат абонента из основного меню АРМ Администратора ЦР.
  2. В появившемся окне выберите шаблон, если он был подготовлен ранее, и нажмите Далее.
  3. Заполните атрибуты сертификата для построения Имени Владельца сертификата, установите опцию Разрешить генерацию ключа шифрования, если требуется, и нажмите Далее.
  4. Выберите область применения ключа: Оператор ЦР и Проверка подлинности TLS клиента и нажмите Далее.
  5. Выберите регламент сертификата и нажмите Далее.
  6. Выберите дополнения для сертификата и нажмите Далее.
  7. Задайте атрибуты альтернативного имени Владельца сертификата, если это требуется, и нажмите Готово.

Если сертификат был выпущен с помощью Валидата CSP, то необходимо преобразовать его закрытый ключ из Validata GOST R 34.10-2012 CSP в Crypto-Pro GOST R 34.10-2012 CSP:

  1. Запустите от имени администратора приложение Validata CSP.
  2. Перейдите на вкладку Ключи. В поле Преобразовать выберите соответствующие поля:
  • Из: Validata GOST R 34.10-2012 CSP
  • В: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider:
  1. Следуя подсказкам мастера, преобразуйте закрытый ключ сертификата Оператора ЦР в Сrypto-Pro GOST R 34.10-2012 CSP.
  2. Установите преобразованный ключ и сертификат Оператора ЦР в контейнер локального хранилища рабочей станции (сервера Indeed CM).
  3. Выдайте системе права на чтение закрытого ключа сертификата Оператора, который был установлен на предыдущем шаге:
    1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
    2. Нажмите правой кнопкой мыши на сертификате, выберите Все задачи (All tasks)→Управление закрытыми ключами... (Manage Private Keys...).
    3. Нажмите Добавить (Add), укажите сервер в меню Размещение (Location), укажите локальную группу IIS_IUSRS в поле Введите имена выбранных объектов (Enter the object names to select), нажмите Проверить имена (Check Names) и ОК.
    4. Выставите права Полный доступ (Full Control) и Чтение (Read).
    5. Нажмите Применить (Apply).
  4. Установите сертификат корневого центра сертификации Валидата УЦ в хранилище Локального компьютера (Local computer), на котором установлен сервер Indeed CM, в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
  5. Установите сертификат промежуточного центра сертификации и список отозванных сертификатов (CRL) Валидата УЦ в хранилище Локального компьютера (Local Computer), на котором установлен сервер Indeed CM в Промежуточные Центры Сертификации (Intermediate Certification Authorities).

Шаблоны сертификатов пользователей

Для работы с Indeed Certificate Manager необходимо предварительно подготовить шаблоны сертификатов в Центре Регистрации Валидата УЦ в формате XML, которые будут использоваться для выпуска сертификатов конечным пользователям.

Процесс настройки шаблона сертификата пользователя в Центре Регистрации Валидата УЦ:

  1. Выберите пункт меню Центр Регистрации - Создать новый шаблон сертификата из основного меню АРМ Оператора или Администратора ЦР.
  2. В появившемся окне укажите Наименование шаблона и нажмите Далее.
  3. Заполните атрибуты сертификата для построения Имени Владельца сертификата. При необходимости установите опцию Разрешить генерацию ключа шифрования, чтобы создать ключ шифрования для сертификата. Если опция не выбрана, то пользователю, для которого создается сертификат, будет запрещено иметь ключ шифрования.
Поддерживаемые атрибуты для построения Х.500-имени пользователя
  • Должность (T)
  • Неструктурированное имя (unstructuredName)
  • Неструктурированный адрес (unstructuredAddress)
  • ОГРН (OGRN)
  • ОГРНИП (ORGNIP)
  • СНИЛС (SNILS)
  • ИНН (INN)
  • ИНН юридического лица (INNLE)
  • Фамилия (SN)
  • Приобретенное имя (GN)
  • Общее имя (CN)
  • Организация (O)
  • Название улицы, номер дома (street)
  • Населенный пункт (L)
  • Город, область (ST)
  • Страна (С)
  • Почтовый адрес RFC822 (Email)
  • Подразделение (OU)

  1. Выберите область применения ключа и нажмите Далее.
  2. Выберите регламент для сертификата и нажмите Далее.
  3. Выберите дополнения для сертификата и нажмите Далее.
  4. Задайте альтернативное имя владельца сертификата и нажмите Готово.
Поддерживаемые атрибуты для построения альтернативного имени владельца сертификата
  • email
  • описание
  • имя участника-пользователя (User Principal Name)

Чтобы использовать созданный шаблон в Indeed CM, очистите значения заполненных атрибутов в текстовом редакторе и перекодируйте шаблон в UTF-8 при сохранении.

Пример отредактированного шаблона
<?xml version="1.0" encoding="UTF-8" ?>
<pkiUser>
<templateName>Квалифицированный сертификат</templateName>
<templateSubject>
<INN></INN>
<INNLE></INNLE>
<OGRNIP></OGRNIP>
<OGRN></OGRN>
<SNILS></SNILS>
<T></T>
<SN></SN>
<GN></GN>
<Email></Email>
<CN></CN>
<OU></OU>
<O></O>
<street></street>
<L></L>
<ST></ST>
<C></C>
</templateSubject>
<subjectAltName>
<UPN></UPN>
<emailAddress></emailAddress>
<description>СЗ № $docNumber от $docDate</description>
</subjectAltName>
<ExtKeyUsage>1.3.6.1.5.5.7.3.2</ExtKeyUsage>
<ExtKeyUsage>1.3.6.1.5.5.7.3.4</ExtKeyUsage>
<Policy>
<OID>1.2.643.100.113.1</OID>
<UserNotice>Класс средства ЭП КС1</UserNotice>
<Org>Минкомсвязь России</Org>
</Policy>
<Policy>
<OID>1.2.643.100.113.2</OID>
<UserNotice>Класс средства ЭП КС2</UserNotice>
<Org>Минкомсвязь России</Org>
</Policy>
<Extension>
<OID>1.2.643.100.111</OID>
<Type>ASN1_UTF8STRING</Type>
<Value></Value>
</Extension>
<Encipherment>yes</Encipherment>
<IdentificationKind>0</IdentificationKind>
</pkiUser>