КриптоПро УЦ 2.0

Для настройки работы Indeed Certificate Manager с КриптоПро УЦ 2.0:

1. Создайте сервисную группу пользователей в Центре Регистрации.
2. Создайте сервисную учетную запись для работы с КриптоПро УЦ 2.0.
3. Выпустите сертификат агента подачи заявок.

Если каталог пользователей расположен только в Центре Регистрации КриптоПро УЦ 2.0, настройте аутентификацию в веб-сервисах Indeed CM по сертификатам.

Cоздание сервисной учетной записи для работы с КриптоПро УЦ

Описанный ниже вариант создания сервисной учетной записи является рекомендуемым, но не единственным. Вы можете создать учетную запись пользователя и выпустить сертификат в Центре Регистрации, затем экспортировать его, чтобы установить на сервер Indeed CM.

1. Запустите браузер от имени администратора на сервере Indeed CM.
2. Откройте веб-портал Центра Регистрации КриптоПро УЦ 2.0: https://<имя сервера УЦ>/UI/.
3. На начальной странице выберите Регистрация. Откроется форма регистрации пользователя.
4. Укажите Имя и E-mail сервисной учетной записи.
5. Сохраните выданный ЦР логин и временный пароль.
6. При необходимости укажите дополнительную информацию.
7. Завершите регистрацию.
8. В Консоли управления ЦР одобрите запрос на регистрацию нового пользователя.
9. Добавьте созданного пользователя в группу безопасности Indeed CM Service Users.

Выпуск сертификата агента подачи заявок для сервисной учетной записи

Чтобы выпустить сертификат агента подачи заявок:

1. Создайте шаблон сертификата агента подачи заявок для сервисной учетной записи Indeed CM.
2. Получите сертификат.
3. Установите сертификат в хранилище корневых сертификатов компьютера.

Создание шаблона сертификата

1. Запустите утилиту Диспетчер УЦ.
2. В разделе Сервер ЦС выберите Шаблоны сертификатов.
3. Создайте шаблон сертификата Indeed CM Service User на основе шаблона Пользователь. Откроется окно свойств шаблона.
4. При необходимости укажите Cрок действия сертификата.
5. В разделе Параметры создания ключа выберите Ключ принадлежит: Компьютеру и убедитесь, что включена опция Разрешить экспорт ключа.
6. В разделе Настройка расширений сертификата выберите Улучшенный ключ (2.5.29.37) и нажмите Изменить....
7. В окне Настройки расширения нажмите Изменить....
8. Поставьте отметку напротив пункта Агент запроса сертификата и два раза нажмите OK.
9. Нажмите Применить.

Получение сертификата

1. На рабочей станции, где установлен сервер Indeed CM, выполните вход в личный кабинет пользователя КриптоПро УЦ по логину и временному паролю сервисной учетной записи.
2. Создайте запрос на сертификат:
   1. Откройте вкладку Сертификаты.
   2. В верхней панели меню выберите Создать. Откроется окно запроса на сертификат.
   3. Выберите шаблон сертификата Indeed CM Service User.
   4. Выберите криптопровайдер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider. Также поддерживаются криптопровайдеры RSA.
   5. Нажмите Создать.
3. Дождитесь, когда Оператор Центра Регистрации одобрит запрос.
4. В личном кабинете пользователя КриптоПро перейдите в раздел Запросы→Изготовление. После выпуска сертификата статус запроса изменится на Завершен. Изготовленный сертификат отобразится на вкладке Сертификаты→Действительные.
5. Сохраните сертификат – выделите его и в правой части строки нажмите Скачать.

Для инсталляций с несколькими серверами Indeed CM

Если в инфраструктуре развернуто несколько серверов Indeed CM, то сертификат сервисной учетной записи необходимо выпустить с экспортируемым закрытым ключом. Перенесите этот сертификат и его контейнер закрытого ключа на каждый сервер Indeed CM.

Установка сертификата в личное хранилище компьютера

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат.

ОС Windows

Чтобы установить сертификат в личное хранилище компьютера:

1. Откройте приложение КриптоПро CSP.
2. Перейдите на вкладку Сервис.
3. В разделе Личный сертификат нажмите Установить личный сертификат.... Откроется Мастер установки личного сертификата.
4. Укажите путь к файлу сертификата. Выберите сертификат агента подачи заявок. Нажмите Далее.
   caution

   Не устанавливайте пароль на контейнер закрытого ключа сертификата агента подачи заявок при установке сертификата.

5. Включите опцию Найти контейнер автоматически. В качестве хранилища контейнера определится Реестр.
6. В блоке Введенное имя задает ключевой контейнер выберите Компьютера и нажмите Далее.
7. Завершите установку сертификата.

Выдайте Indeed CM права на чтение закрытого ключа сертификата сервисной учетной записи:

1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
2. Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
3. Нажмите Добавить (Add).
4. в меню Размещение (Location) укажите сервер.
5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
6. Выставите права Полный доступ (Full Control) и Чтение (Read).
7. Нажмите Применить (Apply).
8. В хранилище Локального компьютера (Local computer), на котором установлен сервер Indeed CM, установите сертификат корневого центра сертификации КриптоПро УЦ 2.0 в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
9. В хранилище Локального компьютера (Local Computer), на котором установлен сервер Indeed CM, установите список отозванных сертификатов (CRL) центра сертификации КриптоПро УЦ 2.0 в Промежуточные Центры Сертификации (Intermediate Certification Authorities).

ОС Linux

1. Выполните вход в систему с учетной записью, от имени которой будет запускаться Indeed CM. По умолчанию это пользователь www-data.

   1. Проверьте наличие пользователя www-data:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует

      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

   2. Если пользователя www-data не существует, создайте его:

      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data

   3. Выполните вход от имени пользователя www-data:

      sudo su -s /bin/sh www-data

2. Установите сертификат в формате PFX с помощью утилиты certmgr.exe:

   /opt/cprocsp/bin/amd64/certmgr -install -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>

3. Поместите корневой сертификат в локальное хранилище корневых сертификатов пользователя:

   /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>

4. Добавьте корневой сертификат в список доверенных корневых сертификатов:

   RHEL-based

   1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/
   2. Обновите хранилище доверенных корневых сертификатов:

      sudo update-ca-trust extract
   3. Перезапустите систему:

      sudo reboot

   Debian-based

   1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /usr/local/share/ca-certificates/
   2. Перенастройте список доверенных корневых сертификатов:

      sudo dpkg-reconfigure ca-certificates
   3. Перезапустите систему:

      sudo reboot

Настройка аутентификации в веб-сервисах Indeed CM по сертификатам

Чтобы настроить аутентификацию в веб-сервисах Indeed Certificate Manager по сертификатам:

1. Получите сертификат аутентификации сервера КриптоПро УЦ 2.0.
2. Установите сертификат в личное хранилище компьютера.

Получение сертификата

1. Зарегистрируйте нового пользователя КриптоПро УЦ. В качестве имени пользователя укажите FQDN сервера Indeed CM.
2. На рабочей станции, где установлен сервер Indeed CM, войдите в личный кабинет пользователя КриптоПро УЦ по идентификатору и временному паролю.
3. Создайте запрос на сертификат:
   1. Откройте вкладку Сертификаты.
   2. В верхней панели меню выберите Создать. Откроется окно запроса на сертификат.
   3. Выберите шаблон сертификата Веб-сервер.
   4. Выберите криптопровайдер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider. Также поддерживаются криптопровайдеры RSA.
   5. В параметре Ключ будет использоваться для выберите Подпись.
   6. Нажмите Создать.
4. Дождитесь, когда Оператор Центра Регистрации одобрит запрос.
5. В личном кабинете пользователя КриптоПро перейдите в раздел Запросы→Изготовление. После выпуска сертификата статус запроса изменится на Завершен. Изготовленный сертификат отобразится на вкладке Сертификаты→Действительные.
6. Сохраните сертификат – выделите его и в правой части строки нажмите Скачать.

Установка сертификата в личное хранилище компьютера

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат.

ОС Windows

Чтобы установить сертификат в личное хранилище компьютера:

1. Откройте приложение КриптоПро CSP.
2. Перейдите на вкладку Сервис.
3. В разделе Личный сертификат нажмите Установить личный сертификат.... Откроется Мастер установки личного сертификата.
4. Укажите путь к файлу сертификата. Выберите сертификат рабочей станции, на которой установлен сервер Indeed CM. Нажмите Далее.
   caution

   Не устанавливайте пароль на контейнер закрытого ключа при установке сертификата.

5. Включите опцию Найти контейнер автоматически. В качестве хранилища контейнера определится Реестр.
6. В блоке Введенное имя задает ключевой контейнер выберите Компьютера и нажмите Далее.
7. Завершите установку сертификата.

Выдайте Indeed CM права на чтение закрытого ключа сертификата:

1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM.
2. Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
3. Нажмите Добавить (Add).
4. в меню Размещение (Location) укажите сервер.
5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
6. Выставите права Полный доступ (Full Control) и Чтение (Read).
7. Нажмите Применить (Apply).

ОС Linux

1. Выполните вход в систему с учетной записью, от имени которой будет запускаться Indeed CM. По умолчанию это пользователь www-data.

   1. Проверьте наличие пользователя www-data:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует, и вход запрещен

      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

   2. Если пользователь www-data существует, и вход запрещен, смените оболочку на /bin/bash:

      sudo usermod -s /bin/bash www-data

      Если пользователя www-data не существует, выполните:

      sudo useradd -m -d /var/www -s /bin/bash www-data

   3. Проверьте результат:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует, и можно выполнить вход

      www-data:x:33:33:www-data:/var/www:/bin/bash

   4. Выполните вход от имени пользователя www-data:

      sudo su www-data

2. Установите сертификат в формате PFX с помощью утилиты certmgr.exe:

   /opt/cprocsp/bin/amd64/certmgr -install -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>

3. Поместите корневой сертификат в локальное хранилище корневых сертификатов пользователя:

   /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>

4. Добавьте корневой сертификат в список доверенных корневых сертификатов:

   RHEL-based

   1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/
   2. Обновите хранилище доверенных корневых сертификатов:

      sudo update-ca-trust extract
   3. Перезапустите систему:

      sudo reboot

   Debian-based

   1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /usr/local/share/ca-certificates/
   2. Перенастройте список доверенных корневых сертификатов:

      sudo dpkg-reconfigure ca-certificates
   3. Перезапустите систему:

      sudo reboot