Валидата УЦ

Добавьте информацию о Валидата УЦ и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу Валидата:

1. Запустите Мастер настройки.
2. Перейдите в раздел Валидата УЦ.
3. Включите опцию Включить интеграцию с Валидата УЦ.

Добавление УЦ

Офлайн-режим

1. Нажмите Добавить УЦ.

2. Укажите Каталог для обмена файлами с ЦР/ЦС – каталог для обмена файлами Indeed CM c Центром Регистрации.

   Информация

   В каталоге должны присутствовать цепочка сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или СОС).

3. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к выбранному каталогу.

   • Укажите Подкаталог для запросов – подкаталог для входящих незащищенных запросов пользователей в формате PKCS#10. Обработка запросов в формате PKCS#10 выполняется в ручном режиме на АРМ Администратора ЦР.
   • Укажите Подкаталог для сертификатов – подкаталог сертификатов для выдачи конечным пользователям.

4. Нажмите Добавить.

Онлайн-режим

В онлайн-режиме Indeed CM заменяет АРМ Оператора ЦР Валидата. Для работы в данном режиме необходимо Разрешить удаленное подключение к сервису в настройках Центра Регистрации.

1. Нажмите Добавить УЦ.

2. В поле Адрес сервера ЦР укажите адрес и порт RPC сервера Центра Регистрации:

   ncacn_ip_tcp:<ip>[<port>]

3. Выберите Клиентский сертификат – сертификат Оператора Центра Регистрации.

   Информация

   Поле Улучшенный ключ сертификата должно содержать значения Оператор Центра Регистрации (OID 1.3.6.1.4.1.10244.6.1) и Проверка подлинности TLS клиента (OID 1.3.6.1.5.5.7.3.2).

   Клиентский сертификат используется:

   • при подключении к сервису ЦР, чтобы выполнить аутентификацию по протоколу TLS;
   • для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя.

4. Укажите Каталог для обмена файлами с ЦР/ЦС – каталог для обмена файлами Indeed CM c Центром Регистрации. В каталоге должны присутствовать цепочка сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или САС).

5. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к выбранному каталогу.

   • В поле Подкаталог для запросов укажите подкаталог запросов в формате CMS/PKCS#7 для Центра Сертификации, обработанных Оператором ЦР.
   • В поле Подкаталог для сертификатов укажите подкаталог сертификатов в формате CMS/PKCS#7, обработанных Центром Сертификации.

6. Нажмите Добавить.

Настройка шаблонов сертификатов

Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены и добавлены в Валидата УЦ. Как настроить шаблоны сертификатов в Валидата УЦ

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Параметр	Описание
Имя	Имя шаблона сертификата.
УЦ	Имя удостоверяющего центра.
Шаблон сертификата УЦ	Загружается из выбранного удостоверяющего центра.
Префикс имени ключа	Если префикс не задан, то имя контейнера, содержащего ключевую пару, будет сформировано случайным образом. Если указан префикс, то он добавится перед именем контейнера. Значение префикса отображается в системе (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.). Имя контейнера с префиксом может не поддерживаться устройством.
Использовать аппаратную криптографию, если поддерживается	Если опция включена, то при выпуске сертификата ключевая пара будет создаваться с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то будет использоваться КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя.
Создавать резервную копию ключа	Если опция включена, то при генерации ключевой пары на смарт-карте будет применена опция ее архивации. Это значит, что ключевая пара будет сгенерирована на смарт-карте и ее копия (открытый и закрытый ключи) будут отправлены на сервер Indeed CM и затем в хранилище системы. Архивация ключевой пары возможна только один раз. Если опция выключена, то ключевая пара сразу генерируется на устройстве.
Записывать копию ключа при временной замене устройства	Если опция включена, то копии сертификатов и закрытых ключей будут записаны на временное устройство при замене, как и в случае с постоянной заменой. Если опция выключена, то копии сертификатов и закрытых ключей не будут записаны на временное устройство при замене.
Импортировать сертификат, если существует	Если опция включена, то система будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей. Импорт сертификата невозможен, если устройство будет инициализировано перед выпуском.
Не удалять сертификат при обновлении/очистке устройства	Если опция включена, то при обновлении или очистке устройства истекающий/истекший сертификат не будет удален с устройства и отозван на УЦ. В процессе обновления будет запрошен новый сертификат с новым закрытым ключом и записан на устройство. Истекающий/истекший сертификат будет удален, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве или выключении устройства	Если опция включена, то сертификаты пользователя будут отозваны при выключении или отзыве устройства. Если опция выключена, то при выключении или отзыве устройства сертификаты не будут отозваны.
Устанавливать сертификат в локальное хранилище	Если опция включена, то при выпуске (обновлении) устройства через Сервис самообслуживания записанные на него сертификаты добавятся в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в каталоге пользователей	Если опция включена, то выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства. Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory.
Публиковать сертификат в ЕСИА	Если опция включена, то выпущенный квалифицированный сертификат будет зарегистрирован в Единой системе идентификации и аутентификации (ЕСИА). Опция доступна при включении Интеграция со СМЭВ в разделе Общие функции Мастера настройки Indeed CM.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя при изменении которых необходимо обновление сертификата: Общее имя, E-mail, UPN-имя пользователя. Изменение е-mail приводит к обновлению сертификата, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name). Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки Indeed CM.
Шаблон печати запроса на сертификат	Если параметр не задан, то используется стандартный шаблон печати запроса на сертификат. Если в систему добавлены Шаблоны печати запроса сертификата, то выберите шаблон из выпадающего меню.
Шаблон печати сертификата	Если параметр не задан, то используется стандартный шаблон печати сертификата. Если в систему добавлены Шаблоны печати сертификата, то выберите шаблон из выпадающего меню.
Шаблон печати запроса на отзыв сертификата	Если параметр не задан, то используется стандартный шаблон печати запроса на отзыв сертификата. Если в систему добавлены Шаблоны печати запроса на отзыв сертификата, то выберите шаблон из выпадающего меню.
Период обновления (дней)	Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификат	Если опция включена, то при выпуске устройства появится возможность выбора сертификатов для записи из числа отмеченных, как необязательные. Если опция выключена, то сертификат считается обязательным для записи на устройство.