Aladdin Enterprise CA
Настройте подключение к Aladdin Enterprise CA (Aladdin eCA) и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.
Предварительные настройки
Чтобы разрешить доступ к разделу Aladdin Enterprise CA:
- Запустите Мастер настройки.
- Перейдите в раздел Удостоверяющие центры.
- Включите интеграцию с Aladdin Enterprise CA.
Добавление УЦ
- Нажмите Добавить УЦ.
- Введите Адрес сервера Aladdin eCA. Например,
https://<имя сервера УЦ>. - В поле Клиентский сертификат выберите сертификат клиентской аутентификации для подключения к УЦ.
- Нажмите Добавить.
Создание шаблонов сертификатов
Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены в Aladdin eCA. Как настроить шаблоны сертификатов в Aladdin eCA
Чтобы создать шаблон сертификата:
- Перейдите в раздел Шаблоны.
- Нажмите Создать шаблон сертификата.
- Заполните параметры и нажмите Создать.
| Параметр | Описание |
|---|---|
| Имя | Укажите имя шаблона сертификата. |
| УЦ | Укажите имя удостоверяющего центра. |
| Шаблон сертификата Aladdin eCA | Выберите шаблон сертификата. Шаблоны загружаются автоматически из УЦ. |
| Префикс имени ключа | Если не указать префикс имени ключа, то имя контейнера, содержащего ключевую пару, формируется случайным образом. Если вы указали префикс, то он добавится перед именем контейнера. Значение префикса отображается в Indeed CM (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств). Устройства могут не поддерживать отображение имени контейнера с префиксом. |
| Использовать аппаратную криптографию, если поддерживается | Опция отображается, если добавленный УЦ является ГОСТ-экземпляром Aladdin eCA. Изменить значение опции при редактировании шаблона нельзя. При выпуске сертификата ключевая пара создается с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то используется КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. |
| Создавать резервную копию ключа | Когда на устройстве генерируется ключевая пара, ее резервная копия сохраняется на сервере Indeed CM. Копию ключевой пары можно сохранить только один раз. Если опция выключена, то ключевая пара генерируется сразу на устройстве. |
| Записывать копию ключа при временной замене устройства | Копии сертификатов и закрытых ключей записываются на устройство при временной замене. |
| Импортировать сертификат, если существует | Indeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется. |
| Не удалять сертификат при обновлении/очистке устройства | При обновлении или очистке устройства истекающий/истекший сертификат не удаляется с устройства и не отзывается в УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией. |
| Отзывать сертификат при отзыве/выключении устройства | Сертификаты пользователя отзываются при выключении или отзыве устройства. |
| Устанавливать сертификат в локальное хранилище | При выпуске и обновлении устройства через Сервис самообслуживания записанные на него сертификаты добавляются в локальное хранилище пользователя на рабочей станции. |
| Публиковать сертификат в каталоге пользователей | Выпущенный сертификат опубликуется в профиле пользователя в каталоге. Сервисная учетная запись для работы с каталогом пользователей должна иметь права на запись. |
| Удалять опубликованный сертификат при отзыве устройства | При отзыве устройства сертификат удаляется из профиля пользователя в каталоге. |
| Публиковать список отозванных сертификатов | При выключении, включении и отзыве устройств список отозванных сертификатов (CRL) опубликуется вне очереди. Пользователь не сможет подписывать документы отозванным сертификатом. |
| Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройства | Сертификат записывается на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата. После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку. |
| Отслеживаемые атрибуты пользователя | Укажите атрибуты пользователя, при изменении которых требуется обновить сертификат: Общее имя, E-mail, UPN-имя пользователя. Дополнительный список отслеживаемых атрибутов пользователей задается в Мастере настройки в разделе Обновляемые атрибуты. |
| Шаблоны печати запроса на сертификат, сертификата, запроса на отзыв сертификата | Загрузите шаблоны документов сертификата в разделе Конфигурация→Шаблоны печати. Если шаблонов нет, используются стандартные шаблоны печати. |
| Период обновления (дней) | Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней. |
| Необязательный сертификат | При выпуске и обновлении устройства появится возможность выбрать, какие сертификаты из списка необязательных записать на устройство. Если опция выключена, сертификат записывается на устройство по умолчанию. |