Валидата УЦ

Настройте подключение к Валидата УЦ и создайте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу Валидата УЦ:

1. Запустите Мастер настройки.
2. Перейдите в раздел Удостоверяющие центры.
3. Включите интеграцию с Валидата УЦ.

Добавление УЦ

Офлайн-режим

1. Нажмите Добавить УЦ.
2. В поле Каталог для обмена файлами с ЦР/ЦС укажите каталог для обмена файлами Indeed CM c Центром Регистрации. Каталог должен содержать цепочку сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или СОС).
3. В полях Имя пользователя и Пароль укажите учетные данные сервисной учетной записи для подключения к каталогу.
4. В поле Подкаталог для запросов укажите подкаталог для входящих незащищенных запросов пользователей в формате PKCS#10. Обработка запросов в формате PKCS#10 выполняется в ручном режиме на АРМ Администратора ЦР.
5. В поле Подкаталог для сертификатов укажите подкаталог сертификатов для выдачи конечным пользователям.
6. Нажмите Добавить.

Онлайн-режим

В онлайн-режиме Indeed CM заменяет АРМ Оператора ЦР Валидата. Убедитесь, что в настройках Центра Регистрации включена опция Разрешить удаленное подключение к сервису для работы в онлайн-режиме.

1. Нажмите Добавить УЦ.

2. В поле Адрес сервера ЦР укажите адрес и порт RPC сервера Центра Регистрации.

   ncacn_ip_tcp:<ip>[<port>]

3. В выпадающем списке Клиентский сертификат выберите сертификат Оператора Центра Регистрации.

   Примечание

   Поле Улучшенный ключ сертификата должно содержать значения Оператор Центра Регистрации (OID 1.3.6.1.4.1.10244.6.1) и Проверка подлинности TLS клиента (OID 1.3.6.1.5.5.7.3.2).

   Клиентский сертификат используется:

   • при подключении к сервису ЦР, чтобы выполнить аутентификацию по протоколу TLS
   • для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя

4. В поле Каталог для обмена файлами с ЦР/ЦС укажите каталог для обмена файлами Indeed CM c Центром Регистрации. Каталог должен содержать цепочку сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или САС).

5. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к каталогу.

6. В поле Подкаталог для запросов укажите подкаталог запросов, обработанных Оператором ЦР, в формате CMS/PKCS#7 для Центра Сертификации.

7. В поле Подкаталог для сертификатов укажите подкаталог сертификатов, обработанных Центром Сертификации, в формате CMS/PKCS#7.

8. Нажмите Добавить.

Создание шаблонов сертификатов

Перед началом работы с шаблонами сертификатов в Indeed CM убедитесь, что необходимые шаблоны настроены и добавлены в Валидата УЦ.
Как настроить шаблоны сертификатов в Валидата УЦ

1. Перейдите в раздел Шаблоны.
2. Нажмите Создать шаблон сертификата.
3. Заполните параметры и нажмите Создать.

Параметр	Описание
Имя	Укажите имя шаблона сертификата.
УЦ	Укажите имя удостоверяющего центра.
Шаблон сертификата Валидата УЦ	Загрузите файл шаблона сертификата.
Префикс имени ключа	Если префикс не указан, то имя контейнера, содержащего ключевую пару, формируется случайным образом. Если префикс указан, то он добавляется перед именем контейнера. Значение префикса отображается в Indeed CM (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.). Устройство может не поддерживать отображение имени контейнера с префиксом.
Использовать аппаратную криптографию, если поддерживается	При выпуске и обновлении сертификата ключевая пара создается с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то используется КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя.
Создавать резервную копию ключа	Когда на устройстве генерируется ключевая пара, ее резервная копия сохраняется на сервере Indeed CM. Копию ключевой пары можно сохранить только один раз. Если опция выключена, то ключевая пара генерируется сразу на устройстве.
Записывать копию ключа при временной замене устройства	Копии сертификатов и закрытых ключей записываются на устройство при временной замене.
Импортировать сертификат, если существует	Indeed CM использует сертификат с устройства вместо выпуска нового сертификата (для указанного пользователя, УЦ и шаблона). Если устройство инициализируется перед выпуском, сертификат удаляется.
Не удалять сертификат при обновлении/очистке устройства	При обновлении или очистке устройства истекающий/истекший сертификат не удаляется с устройства и не отзывается в УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией.
Отзывать сертификат при отзыве/выключении устройства	Сертификаты пользователя отзываются при выключении или отзыве устройства.
Устанавливать сертификат в локальное хранилище	При выпуске и обновлении устройства в Сервисе самообслуживания записанные на него сертификаты добавляются в локальное хранилище пользователя на рабочей станции.
Публиковать сертификат в каталоге пользователей	Выпущенный сертификат опубликуется в профиле пользователя в каталоге. Чтобы удалять сертификат из профиля, включите опцию Удалять опубликованный сертификат при отзыве устройства. Убедитесь, что сервисная учетная запись для работы с каталогом пользователей имеет привилегию Запись: userCertificate (Write userCertificate).
Публиковать сертификат в ЕСИА	Выпущенный квалифицированный сертификат регистрируется в Единой системе идентификации и аутентификации (ЕСИА). Опция доступна, если в Мастере настройки в разделе Общие функции включена Интеграция со СМЭВ.
Отслеживаемые атрибуты пользователя	Укажите атрибуты пользователя, при изменении которых сертификат нужно обновить: Общее имя, E-mail, UPN-имя пользователя. Дополнительный список отслеживаемых атрибутов пользователей задается в Мастере настройки Indeed CM в разделе Обновляемые атрибуты.
Шаблон печати запроса на сертификат, сертификата, запроса на отзыв сертификата	Загрузите шаблоны документов сертификата в разделе Конфигурация→Шаблоны печати. Если шаблонов нет, используются стандартные шаблоны печати.
Период обновления (дней)	Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней.
Необязательный сертификат	При выпуске устройства появится возможность выбрать, какие сертификаты из списка необязательных записать на устройство. Если опция выключена, сертификат записывается на устройство по умолчанию.