Skip to main content
Version: Indeed Certificate Manager 7.1

Мастер настройки

Мастер настройки позволяет автоматически заполнить файлы конфигурации для каждого сервиса Indeed CM.

Установка и аутентификация

Мастер настройки является независимым компонентом и устанавливается отдельно. Выберите инструкцию в зависимости от ОС, где установлен сервер Indeed CM.

  1. Запустите файл IndeedCM.Wizard-<номер версии>.x64.ru-ru.msi из каталога IndeedCM.WindowsServer дистрибутива Indeed CM и выполните установку. Мастер настройки устанавливается в каталог C:\inetpub\wwwroot\cm\wizard.
  2. Получите код аутентификации. Запустите пул приложения IIS IndeedCM Wizard, код сохранится в файл wizard_authentication_code.txt в каталоге C:\inetpub\wwwroot\cm\wizard\logs.
  3. Откройте файл wizard_authentication_code.txt и скопируйте код аутентификации.
  4. Откройте браузер и перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard.
  5. Введите код в поле Код аутентификации и нажмите Войти.
Информация

Если вы не смогли получить код аутентификации через запуск пула приложения IndeedCM Wizard, перезапустите службу IIS.

Функции системы

В разделе Общие функции выберите настройки Консоли управления и Сервиса самообслуживания.

Журнал событий

Настройте работу журнала событий.

  1. Укажите атрибут, по значению которого выполняется поиск пользователей в журнале событий. Значение по умолчанию: CN (Сommon name).
  2. Выберите опцию:
  • Использовать локальный журнал Windows, чтобы записывать события с одного или нескольких серверов в единый журнал Windows.
  • Использовать Log Server, чтобы записывать события с нескольких серверов Indeed CM в единый журнал Windows, SysLog, базу данных Microsoft SQL или PostgreSQL.
Использовать локальный журнал Windows

События будут записываться в локальный журнал Windows.

Если в инфраструктуре развернуто несколько серверов Indeed CM, вы можете использовать компонент Indeed CM Event Log Proxy, чтобы все серверы записывали события в единый журнал Windows:

  1. Установите и настройте приложение Indeed CM Event Log Proxy. Инструкция по установке Indeed CM Event Log Proxy
  2. Включите опцию Включить Event Log Proxy.
  3. Укажите URL подключения к Event Log Proxy. Например, https://server.demo.local/cm/eventlogproxy.
  4. Если сервер Indeed CM установлен на ОС Windows, введите данные учетной записи с правами на доступ к единому журналу событий (из секции authorization файла Web.config приложения Event Log Proxy).
    Если сервер Indeed CM установлен на ОС Linux, в поле Отпечаток сертификата укажите отпечаток клиентского сертификата, который предъявляет сервер Indeed CM для подключения к Event Log Proxy (из параметра allowedCertificateThumbprints файла appsettings.json приложения Event Log Proxy).
Использовать Log Server

Если в инфраструктуре развернуто несколько серверов Indeed CM, вы можете использовать приложение Indeed Log Server, чтобы все серверы записывали события в единый журнал Windows, SysLog, базу данных Microsoft SQL или PostgreSQL.

  1. Установите и настройте приложение Indeed Log Server. Инструкция по установке Indeed Log Server
  2. Укажите URL подключения к Indeed Log Server. Например, https://server.demo.local/ls/api для ОС Windows, https://server.demo.local/api для ОС Linux.

Журнал учета СКЗИ

Если в вашей организации ведется учет СКЗИ, включите опцию Вести журнал учета СКЗИ.

При необходимости укажите дополнительные атрибуты для полей, которые будут отображаться в журнале учета СКЗИ.

Удостоверяющие центры

Настройте параметры работы с удостоверяющими центрами.

Microsoft CA

Включите опцию Включить интеграцию с Microsoft Enterprise CA.

Вы можете дополнительно Разрешить выпуск сертификатов для пользователей внешнего сопоставленного каталога Active Directory и указать атрибут Active Directory, по которому можно получить дополнительный e-mail пользователя.

КриптоПро УЦ 2.0

Включите опцию Включить интеграцию с КриптоПро УЦ 2.0. Дополнительно можно настроить опции:

  • Отображать привязку пользователя к КриптоПро УЦ в сервисе самообслуживания;
  • Разрешить выпуск сертификатов на имя общей учетной записи;
  • Публиковать сертификаты пользователей КриптоПро УЦ 2.0 в базе приложений ЦФТ.

При необходимости укажите информацию о расположении пользователей в Центре Регистрации:

  1. Нажмите Добавить.
  2. Введите имя УЦ, которое отображается в Консоли управления ЦР в разделе Центры сертификации.
  3. Введите идентификатор папки с пользователями. Идентификатор отображается в Консоли управления ЦР в колонке Идентификатор папки.
КриптоПро DSS

Включите опцию Включить интеграцию с КриптоПро DSS.

Чтобы в Сервисе самообслуживания отображалась информация о связи пользователя с каталогом КриптоПро DSS, включите опцию Отображать привязку пользователя к КриптоПро DSS в сервисе самообслуживания.

Валидата УЦ

Включите опцию Включить интеграцию с Валидата УЦ.

AirCard Enterprise

Укажите настройки интеграции с Indeed AirCard Enterprise:

  1. Включите опцию Включить интеграцию c Indeed AirCard Enterprise.
  2. Введите URL подключения к серверу AirCard Enterprise, например, https://aircard.demo.local:3002. Убедитесь, что указанный порт открыт для входящих подключений на сервере AirCard.
  3. Укажите отпечаток клиентского сертификата, чтобы установить защищенное соединение сервера Indeed CM и сервера AirCard Enterprise.
  4. Укажите время существования незарегистрированных смарт-карт AirCard (в секундах). По истечении указанного времени служба Card Monitor автоматически удалит незарегистрированные смарт-карты AirCard. Значение по умолчанию – 120 секунд.

Подробнее в документации Indeed AirCard Enterprise

Клиентский агент

Настройте параметры работы клиентских агентов Indeed CM.

  1. Установите и настройте компонент Indeed CM Agent. Инструкция по установке Indeed CM Agent.

  2. Включите опцию Разрешить использование клиентских агентов.

  3. Выберите способ идентификации агента в домене и вне домена для регистрации в Indeed CM:

    • Не задано. Значение по умолчанию.
    • Использовать машинный GUID. Использовать значение MachineGuid рабочей станции.
    • Генерировать новый GUID. Выберите данную опцию, если у нескольких рабочих станций одно значение MachineGuid.
    • Использовать доменный SID компьютера.
    • Использовать SID компьютера. Выберите данную опцию, если агент установлен на внедоменную рабочую станцию. Идентификатору агента присваивается строковое значение MachineGuid из ветки реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] рабочей станции.
    Смена стратегии генерации идентификатора агента

    Если вам нужно сменить cтратегию генерации идентификатора агента после первоначальной настройки Indeed CM, выполните следующее:

    1. Остановите сервисы агентов agentregistrationapi и agentserviceapi на сервере Indeed CM.
    2. Удалите все клиентские агенты в разделе Агенты Консоли управления или выполните запрос в базу данных Indeed CM, чтобы удалить зарегистрированные агенты и их сессии.
    3. Примените изменения в Мастере настройки и распространите измененный файл конфигурации сервиса agentregistrationapi на сервере Indeed CM.
    4. Запустите сервисы агентов agentregistrationapi и agentserviceapi.

  4. Чтобы регистрировать агенты без подтверждения администратора, включите опцию Автоматическая регистрация Агентов. После установки и настройки агента на рабочей станции он появится в разделе Агенты Консоли управления Indeed CM со статусом Зарегистрирован.

  5. Загрузите сертификат агента – файл корневого сертификата сервисов агента с закрытым ключом в формате JSON agent_root_ca.json.

  6. Выберите Уровень журналирования событий агентом.

  7. Укажите Периодичность получения данных с сервера и Интервал повторного выполнения отмененной пользователем задачи.

  8. Имя заголовка HTTP-запроса сертификата указано по умолчанию. Если Indeed CM используется с балансировщиком нагрузки, включите опцию Передавать только поле 'Субъект' сертификата агента в заголовках HTTP-запросов, чтобы снизить трафик.

Каталог пользователей

Настройте подключение к каталогу пользователей Indeed CM. Можно использовать несколько каталогов пользователей. Как создать каталог пользователей

Нажмите Добавить и выберите тип каталога пользователей: Active Directory, FreeIPA или ALD Pro.

  1. Укажите данные учетной записи, у которой есть права на доступ к каталогу пользователей: имя в формате DOMAIN\UserName или UserName@DNSDomainName и пароль.
  2. Укажите NetBIOS-имя домена.
  3. Укажите DNS-имя домена или контроллера домена.
  4. Укажите путь к контейнеру с пользователями в формате Distinguished Name. Для работы со всеми пользователями выберите корень домена.
  5. Если вы используете протокол LDAPS для доступа к каталогам, включите опцию Использовать LDAPS.
  6. Если необходимо, выберите имя атрибута Active Directory, который содержит фотографию пользователя, чтобы отображать ее в интерфейсе Indeed CM или напечатать на смарт-карте.
  7. Нажмите Сохранить.

Дополнительные атрибуты внутреннего каталога

Чтобы настроить дополнительные атрибуты внутреннего каталога пользователей:

  1. Нажмите Добавить.
  2. Введите имя атрибута в каталоге пользователей и отображаемое имя атрибута.
  3. Чтобы атрибут отображался при создании и редактировании пользователя в Indeed CM, включите опцию Отображать в форме создания/редактирования пользователя.
  4. Чтобы сделать атрибут обязательным для заполнения при создании и редактировании пользователя в Indeed CM, включите опцию Обязательный для заполнения.
  5. Выберите тип атрибута:
  • Текст
    Для текстового атрибута можно указать следующие настройки:
    • максимальная длина текста – максимальное количество символов.
    • формат текста – регулярное выражение, с помощью которого будет проверяться корректность текстового значения атрибута. Например, проверка корректности ввода отчества, при которой допустимы русские буквы, пробел и дефис: ^[А-ЯЁ][а-яё]{0,30}(( |-)([а-яё]{0,30})){0,2}$.
    • сообщение о неверном формате – текст сообщения, который будет отображаться при вводе текстового значения, не отвечающего требованиям регулярного выражения.
  • Целочисленный. Для целочисленного атрибута можно указать минимальное и максимальное значение. Например, для ввода информации о возрасте.
  • Логический. Атрибут может принимать значение true или false.
  • Справочник значений. Укажите справочник, который будет использоваться при выборе значений атрибута. Формат: <значение атрибута #1>, <отображаемое значение атрибута #1>; <значение атрибута #2>, <отображаемое значение атрибута #2>;.... Например, red, Красный цвет; green, Зеленый цвет.
  1. Нажмите Сохранить.

Вы можете настроить соответствие между атрибутами удостоверяющего центра и атрибутами пользователей в каталоге.

Если настроено соответствие атрибутов, в удостоверяющем центре можно зарегистрировать нового пользователя при выпуске устройства для этого пользователя в Indeed CM.

Обновляемые атрибуты

Вы можете настроить список атрибутов пользователя Active Directory, при изменении которых необходимо обновить сертификат на устройстве.

Изменения можно отслеживать только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.

Информация

В параметрах шаблонов сертификатов Microsoft CA и КриптоПро УЦ 2.0 по умолчанию отслеживаются атрибуты Общее имя, E-mail и UPN-имя пользователя.

Чтобы отслеживать атрибут:

  1. Нажмите Добавить.
  2. Укажите имя атрибута в каталоге пользователей.
  3. Укажите отображаемое имя атрибута.
  4. Укажите имя X.500 или OID атрибута в сертификате. По указанному значению выполняется поиск атрибута в сертификате.
  5. Нажмите Сохранить.

Контроль доступа

Выберите способ контроля доступа к сервисам Indeed CM:

  • Аутентификация Windows
    Этот способ позволяет аутентифицироваться через учетные данные пользователя в ОС Windows и используется для инсталляций Indeed CM на доменной рабочей станции под управлением ОС Windows.

  • Аутентификация OpenID Connect
    Этот способ позволяет аутентифицироваться через сервер OpenID Connect и используется для инсталляций Indeed CM на доменной или внедоменной рабочей станции под управлением ОС Linux или ОС Windows.
    Перейдите в раздел OpenID Connect и укажите параметры подключения к серверу OpenID Connect.

caution

Убедитесь, что вы выбрали тот же способ аутентификации при установке сервера Indeed CM на ОС Windows.

Администратор ролей

Укажите UPN-имя администратора ролей – учетной записи, которой выдается право на управление ролями в Indeed CM. При первом запуске вам необходимо войти в Консоль управления от имени указанной учетной записи.

Указанная учетная запись должна иметь атрибут User Principal Name (UPN) и входить в каталог пользователей.

Хранилище данных

Настройте подключение к хранилищу данных. Как создать хранилище данных

  1. Выберите тип хранилища данных в зависимости от окружения, в котором развернут Indeed CM:
    • Microsoft SQL;
    • PostgreSQL.
  2. Настройте подключение к хранилищу. Введите имя сервера, имя экземпляра (для Microsoft SQL), номер порта и имя базы данных.
  3. Выберите способ аутентификации для подключения к серверу базы данных:
    • Microsoft SQL: аутентификация Windows или SQL Server. Для подключения к SQL Server введите имя пользователя и пароль.
    • PostgreSQL: введите имя пользователя и пароль.
  4. При необходимости настройте дополнительные параметры:
    • минимальный размер пула;
    • максимальный размер пула;
    • время ожидания подключения;
    • время жизни соединения;
    • число повторов подключения;
    • интервал повтора подключения.
  5. Перейдите на вкладку Ключ шифрования. Выберите алгоритм шифрования и сгенерируйте ключ.
  6. Нажмите Сохранить резервную копию ключа шифрования.

Служба Card Monitor

Определите настройки Card Monitor – службы для контроля использования устройств.

Подробнее о работе службы Card Monitor

Card Monitor устанавливается автоматически вместе с сервером Indeed CM и выполняет следующие операции:

  • отзыв и изъятие устройств пользователей, учетные записи которых удалены из каталога пользователей;
  • отзыв временных устройств с истекшим сроком действия;
  • выключение устройств пользователей, учетные записи которых были отключены;
  • удаление учетных записей из каталога пользователей, учетные записи которых были отключены;
  • установка или сброс статуса содержимого устройства;
  • регистрация события Длительное отсутствие связи с агентом в журнале событий;
  • удаление агентов, которые были неактивны в течение настраиваемого периода времени;
  • рассылка почтовых уведомлений администраторам и пользователям о следующих событиях:
    • истечение срока действия сертификатов пользователей, хранящихся на устройстве;
    • одобрение/отклонение выпуска устройства;
    • одобрение/отклонение обновления сертификатов на устройстве;
    • одобрение/отклонение замены устройства;
    • изменение политики, действующей на пользователя.
  1. Для регулярного запуска службы Card Monitor укажите учетную запись, которая состоит в группе Администраторов (Administrators) на сервере Indeed CM и имеет разрешение на Вход в качестве пакетного задания (Log on as a batch job) в политике Active Directory.
  2. Настройте время запуска службы Card Monitor.
  3. В разделе Операции с пользователями можно настроить следующее:
    • Выключить устройства отключенных пользователей. Card Monitor выключит устройства пользователей, учетные записи которых были отключены в каталоге пользователей. Если в параметрах шаблонов сертификатов используемого УЦ дополнительно включить опцию Отзывать сертификат при отзыве или выключении устройства, то срок действия сертификатов, записанных на устройства, будет приостановлен в УЦ, и сертификаты будут отозваны.
    • Настроить фильтр поведения отключенных пользователей как удаленных. Отключенные учетные записи, попадающие под условие фильтра, считаются удаленными из каталога пользователей. Устройства у удаленных пользователей отзываются.
      Укажите атрибут пользователя и значение атрибута. Например, атрибут DistinguishedName со значением OU=Fired users,DC=demo,DC=local.
    • Изъять устройства у удаленных пользователей. Устройства у удаленных пользователей изымаются и переходят в состояние Пустое. При изъятии устройство не очищается.
  4. В разделе Операции с агентами можно настроить следующее:
    • Занести событие в журнал, если агент неактивен больше (мин.). При отсутствии связи агента с сервером Card Monitor регистрирует это событие в системном журнале по истечении указанного времени.
    • Удалить агент, если он неактивен больше (дней). При отсутствии связи агента с сервером Card Monitor удаляет агент из базы данных по истечении указанного времени.

Для работы службы Card Monitor необходима отдельная сервисная роль. Подробнее о роли для работы Card Monitor

Подтверждение

  1. Проверьте настройки всех разделов Мастера.
  2. Нажмите Применить.

Все настроенные параметры записываются в файлы конфигурации приложений и сохраняются в каталог C:\inetpub\wwwroot\cm\wizard\configs для ОС Windows и /opt/indeed/cm/wizard/configs/ для ОС Linux. Файлы конфигурации нужно применить на сервере Indeed CM.

Результаты

Включите опцию Сохранить файлы конфигурации, чтобы выгрузить файлы в архив.

Если вы устанавливаете Indeed CM впервые, рекомендуем сохранить копию настроенных параметров. Включите опцию Сохранить резервную копию параметров конфигурации и задайте пароль от файла.

Резервная копия настроек содержит все параметры, определенные при установке для всех сервисов, а также алгоритм и ключ шифрования базы данных. Храните файл резервной копии в защищенном месте.

Восстановление настроек

Вы можете восстановить настройки конфигурации Indeed CM из резервной копии, если вам необходимо:

  • обновить сервер Indeed CM;
  • перенести сервер на новую рабочую станцию;
  • установить дополнительные серверы.

Чтобы восстановить конфигурацию из файла:

  1. Перейдите в раздел Мастера Восстановление настроек.
  2. Нажмите Восстановить параметры конфигурации из резервной копии.
  3. Загрузите файл.
  4. Если резервная копия была зашифрована, введите пароль.

Применение файлов конфигурации на сервере Indeed CM

Примените файлы конфигурации, созданные Мастером настройки, на сервере Indeed CM.

  1. Откройте консоль Powershell от имени администратора.
  2. Перейдите в директорию C:\inetpub\wwwroot\cm\wizard\configs.
  3. Запустите Powershell-скрипт deploy_configuration.ps1:
.\deploy_configuration.ps1
  1. В процессе выполнения Powershell-скрипта укажите пароль учетной записи, используемой для запуска службы Card Monitor.
tip

Рекомендуется указать локальную учетную запись, от имени которой запускаются остальные веб-приложения Indeed CM.

Файлы конфигурации всех сервисов Indeed CM расположены в корневом каталоге веб-приложений IIS по пути %SystemDrive%\inetpub\wwwroot\cm. Файлы конфигурации службы Card Monitor расположены в каталоге %ProgramFiles%\Indeed CM\CardMonitor.

Отключение Мастера

В целях безопасности рекомендуется отключить веб-приложение Мастер настройки Indeed CM после завершения процесса конфигурации.

  1. Откройте оснастку Диспетчер служб IIS (Internet Information Services Manager).
  2. В дереве компонентов IIS сервера выберите пункт Пулы приложений (Application Pools).
  3. В списке Пулы приложений выберите IndeedCM Wizard.
  4. В меню Действия в правой части окна Диспетчера служб IIS выберите Остановить.