Skip to main content
Version: Indeed Certificate Manager 7.1

КриптоПро DSS 2.0

Добавьте информацию о КриптоПро DSS и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу КриптоПро DSS:

  1. Запустите Мастер настройки.
  2. Перейдите в раздел КриптоПро DSS.
  3. Включите опцию Включить интеграцию с КриптоПро DSS.

Добавление УЦ

Чтобы установить подключение к серверу КриптоПро DSS:

  1. Перейдите в раздел КриптоПро DSSСерверы.
  2. Нажмите Добавить сервер.
  3. Укажите параметры подключения:
    • Имя – произвольное имя сервера.
    • URL-адрес веб-службы СЭП – адрес службы электронной подписи DSS.
    • URL-адрес веб-службы ЦИ – адрес центра идентификации DSS.
    • URL-адрес прокси-сервера. Если для соединения с сервером DSS используется прокси сервер, укажите имя сервера и порт. Например, https://proxy.company.com:8080.
    • Идентификатор клиента OAuth – идентификатор клиента (client_id) для взаимодействия через API.
    • Адрес возврата – укажите адрес возврата (redirect_uri), если он отличается от значения по умолчанию.
    • Клиентский сертификат – выберите сертификат оператора DSS.
  4. С помощью опции Устанавливать привязку между пользователем DSS и пользователем каталога определите настройки связи между пользователем DSS и пользователем каталога при выпуске или обновлении устройства:
    • Устанавливать привязку автоматически
      Связь между пользователем каталога и пользователем DSS устанавливается автоматически. При необходимости можно Создавать пользователя DSS, если он не существует.
    • Обновлять учетные данные пользователя DSS
      При обновлении или выпуске устройства обновляются данные пользователя DSS.
  5. Нажмите Добавить.

Настройка шаблонов сертификатов

  1. Перейдите в раздел Шаблоны.
  2. Нажмите Создать шаблон сертификата.
  3. Заполните параметры и нажмите Создать.
ПараметрОписание
ИмяИмя шаблона сертификата.
СерверИмя сервера DSS.
УЦИмя удостоверяющего центра.
Шаблон сертификата УЦЗагружается из выбранного удостоверяющего центра.
Импортировать сертификат, если существуетЕсли опция включена, то система будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей.

Импорт сертификата невозможен, если устройство будет инициализировано перед выпуском.
Отзывать сертификат при отзыве или выключении устройстваЕсли опция включена, то сертификаты пользователя будут отозваны при выключении или отзыве устройства.

Если опция выключена, то при выключении или отзыве устройства сертификаты не будут отозваны.
Публиковать сертификат в каталоге пользователейЕсли опция включена, то выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства.

Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Автоматически одобрять запрос на сертификатЕсли опция включена, то запросы на сертификат будут автоматически одобрены.

Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос будет отклонен.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройстваЕсли опция включена, то сертификат будет записан на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата.

После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Период обновления (дней)Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификатЕсли опция включена, то при выпуске устройства появится возможность выбора сертификатов для записи из числа отмеченных, как необязательные.

Если опция выключена, то сертификат считается обязательным для записи на устройство.