Microsoft CA

Настройте подключение к Microsoft CA и создайте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу Microsoft CA:

1. Запустите Мастер настройки.
2. Перейдите в раздел Удостоверяющие центры.
3. Включите интеграцию с Microsoft Enterprise CA.

Добавление УЦ

Выберите инструкцию в зависимости от ОС, где установлен сервер Indeed CM.

OC Windows

1. Нажмите Добавить УЦ.
2. В поле Адрес сервера задайте адрес УЦ, если он не определился автоматически.
3. Укажите логин в формате DOMAIN\Username и пароль сервисной учетной записи, обладающей сертификатом Агент регистрации (Enrollment Agent).
4. Нажмите Добавить.

caution

Наличие пользователя с сертификатом Агент регистрации (Enrollment Agent) является обязательным условием для работы Indeed CM с УЦ. От имени этого пользователя будут отправляться запросы в указанный УЦ на выдачу сертификатов пользователям Indeed CM. Учетные данные этого пользователя можно изменить после добавления УЦ в Indeed CM.

Чтобы изменить учетные данные пользователя с сертификатом Агент регистрации (Enrollment Agent), выберите нужный УЦ и нажмите  справа от имени пользователя.

Добавление УЦ, расположенного за пределами домена пользователей Indeed CM

1. Нажмите Добавить УЦ.

2. В поле Адрес укажите URL-адрес приложения Indeed CM MSCA Proxy. Если Indeed CM развернут в лесу доменов, использовать Indeed CM MSCA Proxy необязательно. В этом случае в поле Адрес укажите имя УЦ.

3. Укажите логин в формате DOMAIN\Username и пароль учетной записи пользователя, обладающего сертификатом Агент регистрации (Enrollment Agent) на УЦ, расположенном вне домена с каталогом пользователей Indeed CM.

4. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.

5. В поле Путь (LDAP) укажите путь к каталогу пользователей Indeed CM внешнего домена.

   Пример работы с каталогом пользователей внешнего домена

   Indeed CM развернут в домене domain.loc. Сертификаты пользователям этого домена выпускаются в УЦ, развернутом в этом домене. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Indeed CM есть еще одна доменная учетная запись, и на имя которой добавляемый УЦ будет выпускать сертификаты.

   Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных в УЦ, расположенных в независимых доменах.

   caution

   Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

   Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене domain.loc должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

6. В поле Имя пользователя укажите учетную запись в формате DOMAIN\Username, обладающую правами на чтение всех свойств пользователей во внешнем домене. Можно использовать учетную запись, указанную в п.3.

   tip

   Чтобы настроить разрешение на чтение только необходимого набора свойств, перейдите в список Разрешений (Permissions) указанной учетной записи Active Directory и выберите нужные свойства.

7. В поле Атрибут сопоставления каталогов укажите атрибут, по которому Indeed CM определяет уникальность пользователя, для которого созданы учетные записи в каждом домене. Можно выбрать один из атрибутов – Общее имя, E-mail или Логин (sAMAccountName).

   Пример настроек для внешнего Microsoft CA с опцией выпуска сертификатов для пользователей сопоставленного каталога

   

OC Linux

1. Нажмите Добавить УЦ.
2. В поле Адрес укажите URL-адрес приложения Indeed CM MS CA Proxy.
3. В поле Клиентский сертификат выберите сертификат клиентской аутентификации для подключения к Indeed CM MS CA Proxy.
4. Нажмите Добавить.

caution

Сертификат клиентской аутентификации необходим для работы Indeed CM с Microsoft CA для инсталляций на ОС Linux.

Добавление УЦ, расположенного за пределами домена пользователей Indeed CM

1. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.

2. В поле Путь (LDAP) укажите путь к каталогу пользователей Indeed CM внешнего домена.

   Пример работы с каталогом пользователей внешнего домена

   Indeed CM развернут в домене domain.loc. Сертификаты пользователям этого домена выпускаются в УЦ, развернутом в этом домене. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Indeed CM есть еще одна доменная учетная запись, и на имя которой добавляемый УЦ будет выпускать сертификаты.

   Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных в УЦ, расположенных в независимых доменах.

   caution

   Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

   Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене domain.loc должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

3. В поле Имя пользователя укажите учетную запись (в формате DOMAIN\Username), обладающую правами на чтение всех свойств пользователей во внешнем домене.

   tip

   Чтобы настроить разрешение на чтение только необходимого набора свойств, перейдите в список Разрешений (Permissions) указанной учетной записи Active Directory и выберите нужные свойства.

4. В поле Атрибут сопоставления каталогов укажите атрибут (Общее имя, E-mail или Логин (sAMAccountName)), по которому Indeed CM будет определять уникальность пользователя, для которого созданы учетные записи в каждом домене.

Создание шаблонов сертификатов

Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены и добавлены в центр сертификации Microsoft CA. Как настроить и добавить шаблоны сертификатов в Microsoft CA

Чтобы настроить шаблон сертификата:

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Параметр	Описание
Имя	Имя шаблона сертификата
УЦ	Имя удостоверяющего центра
Шаблон сертификата УЦ	Загружается из удостоверяющего центра
Префикс имени ключа	Если не указать префикс имени ключа, то имя контейнера, содержащего ключевую пару, формируется случайным образом. Если вы указали префикс, то он добавится перед именем контейнера. Значение префикса отображается в Indeed CM (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств). Устройства могут не поддерживать отображение имени контейнера с префиксом.
Включить в имя субъекта	Укажите атрибуты для формирования имени субъекта (Subject) сертификата: Список атрибутов Полное различающееся имя (значение по умолчанию) Общее имя Имя Фамилия Инициалы E-mail Должность Подразделение Организация Адрес Город Область Страна Чтобы сформировать имя субъекта (Subject) и альтернативное имя субъекта (Subject Alternative Name) сертификата из списка атрибутов в свойствах шаблона Microsoft CA на вкладке Имя субъекта (Subject Name) укажите Предоставляется в запросе (Supply in the request).
Включить в альтернативное имя субъекта	Укажите атрибуты для формирования альтернативного имени субъекта (Subject Alternative Name) сертификата: Список атрибутов E-mail Дополнительные e-mail адреса UPN-имя пользователя Атрибут пользователя Active Directory, из которого вычитываются дополнительные e-mail адреса, указывается в Мастере настройки в разделе. Атрибут по умолчанию: proxyAddresses.
Создавать резервную копию ключа	Когда на устройстве генерируется ключевая пара, ее резервная копия сохраняется на сервере Indeed CM. Копию ключевой пары можно сохранить только один раз. Если опция выключена, то ключевая пара генерируется сразу на устройстве.
Записывать копию ключа при временной замене устройства	Копии сертификатов и закрытых ключей записываются на устройство при временной замене.
Использовать ключи повторно	При обновлении сертификатов, записанных на устройство, существующий ключ шифрования используется повторно.
Импортировать сертификат, если существует	Indeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется.
Не удалять сертификат при обновлении/очистке устройства	При обновлении или очистке устройства истекающий/истекший сертификат не удаляется с устройства и не отзывается в УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство. Если включена опция Использовать ключи повторно, то при обновлении устройства истекающий/истекший сертификат удаляется с устройства. На устройство записывается новый сертификат со старым закрытым ключом. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве или выключении устройства	Сертификаты пользователя отзываются при выключении или отзыве устройства.
Устанавливать сертификат в локальное хранилище	При выпуске и обновлении устройства через Сервис самообслуживания записанные на него сертификаты добавляются в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в файловое хранилище	Выпущенный сертификат помещается в сетевое хранилище. При отзыве устройства сертификаты из хранилища не удаляются. Опция доступна, если в Мастере настройки в разделе Общие функции включена опция Публикация сертификатов в файловое хранилище.
Публиковать список отозванных сертификатов	При выключении, включении и отзыве устройств список отозванных сертификатов (CRL) опубликуется вне очереди. Таким образом пользователь не сможет подписывать документы отозванным сертификатом. Опция доступна, если сервисная учетная запись для работы с Microsoft CA имеет разрешение Управлять ЦС.
Автоматически одобрять запрос на сертификат	Запрос на сертификат одобряется автоматически. Если опция выключена, то для завершения выпуска необходимо дождаться, когда УЦ одобрит запрос, или отменить выпуск, если запрос отклонен.
Автоматически одобрять подписанный запрос на обновление сертификата	Запрос на обновление сертификата одобряется автоматически. Если опция выключена, то для обновления сертификата необходимо дождаться, когда УЦ одобрит запрос.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройства	Сертификат записывается на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата. После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя, при изменении которых требуется обновить сертификат: Общее имя, E-mail, UPN-имя пользователя. Изменение е-mail приводит к обновлению сертификата, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name). Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки.
Шаблоны печати запроса на сертификат, сертификата, запроса на отзыв сертификата	Загрузите шаблоны документов сертификата в разделе Конфигурация→Шаблоны печати. Если шаблонов нет, используются стандартные шаблоны печати.
Использовать по умолчанию	Сертификат используется по умолчанию для входа в стороннее ПО.
Необязательный сертификат	При выпуске и обновлении устройства появится возможность выбрать, какие сертификаты из списка необязательных, записать на устройство. Если опция выключена, сертификат записывается на устройство по умолчанию.