Валидата УЦ

Чтобы настроить работу Indeed CM с Валидата УЦ:

1. Настройте один из режимов работы с Валидата УЦ:
   • офлайн – в УЦ обрабатываются запросы пользователей в формате PKCS#10, после чего сертификаты выдаются пользователям.
   • онлайн – сервер Indeed CM заменяет АРМ Оператора ЦР Валидата.
2. Настройте шаблоны сертификатов пользователей.

Режим работы

Офлайн

Чтобы настроить работу Indeed CM с Валидата УЦ в офлайн-режиме, предоставьте сервисной учетной записи права на чтение и запись файлов в каталоге для обмена файлами с Центром Регистрации Валидата УЦ. Каталог должен содержать:

• корневой и промежуточные сертификаты Валидата УЦ
• актуальный файл Списка Отозванных Сертификатов (СОС)
• подкаталог для входящих незащищенных запросов пользователей в формате PKCS#10
• подкаталог сертификатов для выдачи конечным пользователям

Примечание

Запросы в формате PKCS#10 можно обработать только в ручном режиме на АРМ Администратора ЦР.

Онлайн

Чтобы настроить работу Indeed CM с Валидата УЦ в онлайн-режиме:

1. Предоставьте сервисной учетной записи права на чтение и запись файлов в каталоге для обмена файлами с Центром Сертификации Валидата УЦ.
2. Настройте подключение к АРМ Администратора Центра Регистрации Валидата УЦ с помощью сертификата Оператора ЦР.

Примечание

Сертификат Оператора ЦР используется как при подключении к сервису ЦР для аутентификации по протоколу TLS, так и для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя.
Сертификат Оператора ЦР должен содержать значения Оператор Центра Регистрации (OID: 1.3.6.1.4.1.10244.6.1) и Проверка подлинности TLS клиента (OID: 1.3.6.1.5.5.7.3.2).

Чтобы выпустить сертификат Оператора ЦР, используйте Валидата CSP или КриптоПро CSP.

Выпуск сертификата Оператора ЦР с помощью Валидата CSP

1. Чтобы создать шаблон сертификата, в основном меню АРМ Администратора ЦР выберите Центр Регистрации → Сформировать запрос на сертификат абонента.
2. Выберите шаблон и нажмите Далее.
3. Заполните атрибуты сертификата для построения Имени Владельца сертификата, при необходимости включите опцию Разрешить генерацию ключа шифрования и нажмите Далее.
4. Выберите области применения ключа Оператор ЦР и Проверка подлинности TLS клиента и нажмите Далее.
5. Выберите регламент сертификата и нажмите Далее.
6. Выберите дополнения для сертификата и нажмите Далее.
7. При необходимости задайте атрибуты Альтернативного имени Владельца сертификата и нажмите Готово.

Преобразование закрытого ключа сертификата

Если вы выпустили сертификат с помощью Валидата CSP, преобразуйте его закрытый ключ из Validata GOST R 34.10-2012 CSP в Crypto-Pro GOST R 34.10-2012 CSP:

1. Запустите приложение Validata CSP от имени администратора.
2. Перейдите на вкладку Ключи. В поле Преобразовать выберите поля:
   • Из: Validata GOST R 34.10-2012 CSP
   • В: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider.
3. Следуйте подсказкам мастера, чтобы преобразовать закрытый ключ сертификата Оператора ЦР в Crypto-Pro GOST R 34.10-2012 CSP.
4. Установите преобразованный ключ и сертификат Оператора ЦР в контейнер локального хранилища рабочей станции, на которой вы планируете установить сервер Indeed CM.
5. Выдайте системе права на чтение закрытого ключа сертификата Оператора, который был установлен на предыдущем шаге:
   1. Перейдите в оснастку Сертификаты (Certificates) рабочей станции, на которой вы планируете установить сервер Indeed CM.
   2. Нажмите правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) → Управление закрытыми ключами... (Manage Private Keys...).
   3. Нажмите Добавить (Add), в меню Размещение (Location) укажите сервер, в поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
   4. Выставите права Полный доступ (Full Control) и Чтение (Read).
   5. Нажмите Применить (Apply).
6. Установите сертификат корневого центра сертификации Валидата УЦ в хранилище Локальный компьютер (Local computer) рабочей станции, на которой вы планируете установить сервер Indeed CM, в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
7. Установите сертификат промежуточного центра сертификации и список отозванных сертификатов (CRL) Валидата УЦ в хранилище Локальный компьютер (Local Computer) рабочей станции, на которой вы планируете установить сервер Indeed CM, в Промежуточные Центры Сертификации (Intermediate Certification Authorities).

Шаблоны сертификатов пользователей

В Центре Регистрации Валидата УЦ подготовьте XML-шаблоны сертификатов, которые будут использоваться для выпуска сертификатов конечным пользователям.

Чтобы настроить шаблон сертификата пользователя в Центре Регистрации Валидата УЦ:

1. В основном меню АРМ Оператора или Администратора ЦР выберите Центр Регистрации → Создать новый шаблон сертификата.

2. Укажите Наименование шаблона и нажмите Далее.

3. Заполните атрибуты сертификата для построения Имени Владельца сертификата. При необходимости включите опцию Разрешить генерацию ключа шифрования, чтобы создать ключ шифрования для сертификата. Если опция не включена, то пользователю, для которого создается сертификат, запрещено иметь ключ шифрования.

   Поддерживаемые атрибуты для построения Х.500-имени пользователя

   • Должность (T)

   • Неструктурированное имя (unstructuredName)

   • Неструктурированный адрес (unstructuredAddress)

   • ОГРН (OGRN)

   • ОГРНИП (ORGNIP)

   • СНИЛС (SNILS)

   • ИНН (INN)

   • ИНН юридического лица (INNLE)

   • Фамилия (SN)

   • Приобретенное имя (GN)

   • Общее имя (CN)

   • Организация (O)

   • Название улицы, номер дома (street)

   • Населенный пункт (L)

   • Город, область (ST)

   • Страна (С)

   • Почтовый адрес RFC822 (Email)

   • Подразделение (OU)

     

4. Выберите область применения ключа и нажмите Далее.

5. Выберите регламент для сертификата и нажмите Далее.

6. Выберите дополнения для сертификата и нажмите Далее.

7. Укажите альтернативное имя владельца сертификата и нажмите Готово.

   Поддерживаемые атрибуты для построения альтернативного имени владельца сертификата

   • Email

   • Описание

   • Имя участника-пользователя (User Principal Name)

     

Чтобы использовать созданный шаблон в Indeed CM, очистите значения заполненных атрибутов в текстовом редакторе и перекодируйте шаблон в UTF-8 при сохранении.

Пример отредактированного шаблона

<?xml version="1.0" encoding="UTF-8" ?>
<pkiUser>
    <templateName>Квалифицированный сертификат</templateName>
    <templateSubject>
        <INN></INN>
        <INNLE></INNLE>
        <OGRNIP></OGRNIP>
        <OGRN></OGRN>
        <SNILS></SNILS>
        <T></T>
        <SN></SN>
        <GN></GN>
        <Email></Email>
        <CN></CN>
        <OU></OU>
        <O></O>
        <street></street>
        <L></L>
        <ST></ST>
        <C></C>
    </templateSubject>
    <subjectAltName>
        <UPN></UPN>
        <emailAddress></emailAddress>
        <description>СЗ № $docNumber от $docDate</description>
    </subjectAltName>
    <ExtKeyUsage>1.3.6.1.5.5.7.3.2</ExtKeyUsage>
    <ExtKeyUsage>1.3.6.1.5.5.7.3.4</ExtKeyUsage>
    <Policy>
        <OID>1.2.643.100.113.1</OID>
        <UserNotice>Класс средства ЭП КС1</UserNotice>
        <Org>Минкомсвязь России</Org>
    </Policy>
    <Policy>
        <OID>1.2.643.100.113.2</OID>
        <UserNotice>Класс средства ЭП КС2</UserNotice>
        <Org>Минкомсвязь России</Org>
    </Policy>
    <Extension>
        <OID>1.2.643.100.111</OID>
        <Type>ASN1_UTF8STRING</Type>
        <Value></Value>
    </Extension>
    <Encipherment>yes</Encipherment>
    <IdentificationKind>0</IdentificationKind>
</pkiUser>