Выпуск

Вы можете получить уже готовое к работе устройство или выпустить устройство самостоятельно, если администратор или оператор выдал вам пустое устройство.

Если вы получили готовое к работе устройство, то при входе в Сервис самообслуживания отобразится вся информация об этом устройстве.

Процесс выпуска

Действия, доступные во время выпуска устройства, зависят от предварительных настроек, заданных администратором для политики использования устройств. Инструкция описывает процесс выпуска устройства с максимальным набором доступных действий.

1. Подключите устройство к компьютеру.

2. Нажмите Выпустить устройство.

3. Выберите шаблоны, по которым будут сформированы сертификаты для записи на устройство.

   Условие доступности

   Администратор включил опцию Выбирать необязательные сертификаты при выпуске в политике использования устройств в разделе Поведение→Разрешения пользователя→Действия при выпуске устройства.

4. В форме проверки в СМЭВ внесите недостающие данные или проверьте данные на соответствие и редактируйте при необходимости.

   Условие доступности

   Форма проверки в СМЭВ отображается, если администратор настроил интеграцию со СМЭВ в разделе СМЭВ, и сертификат выпускается по шаблону для КриптоПро УЦ 2.0 или Валидата УЦ.

   Пользователь может редактировать данные, если администратор включил опцию Редактировать данные в форме проверки СМЭВ в разделе Поведение→Разрешения пользователя→Общие разрешения.

5. Укажите номер и дату нормативного документа, на основании которого вы выпускаете СКЗИ.

   Условие доступности

   Пользователь может выпустить СКЗИ, если:

   • устройство поддерживает аппаратную криптографию;
   • устройство еще не добавлено в Indeed CM;
   • администратор включил опцию Разрешить пользователю добавлять устройства при выпуске в разделе Поведение→Общие разрешения.

6. В зависимости от настроек, заданных администратором, устройство выпускается с инициализацией или без инициализации.

   Выпуск без инициализации

   1. Введите PIN-код пользователя.
   2. Введите PIN-код администратора.

   Условие доступности

   Поле PIN-код администратора отображается, если устройство не добавлено в Indeed CM и администратор включил опцию Разрешить пользователю добавлять устройства при выпуске в разделе Поведение→Общие разрешения.

   Примечание

   Если поля PIN-код администратора и PIN-код пользователя оставить пустыми, то установятся значения, указанные администратором в разделе Типы устройств.
   Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

   3. Нажмите Выпустить.
   4. Если устройство содержит сторонние сертификаты, выберите сертификаты, чтобы внести информацию о них в Indeed CM и отслеживать их срок действия.

   Условие доступности

   Пользователь может выбрать сертификаты для отслеживания, если администратор включил опции Искать сертификаты при выпуске/обновлении устройства для отслеживания срока действия и Разрешить пользователю выбирать отслеживаемые сертификаты в разделе Поведение→Общие разрешения.

   Выпуск с инициализацией

   Предварительные настройки инициализации

   Администратор включил опцию Инициализировать устройство в разделе Выпуск и настроил параметры инициализации в разделе Инициализация устройства.

   предупреждение

   При выпуске устройства с инициализацией все данные на устройстве будут удалены.

   1. Введите PIN-код администратора. Если поле оставить пустым, то установится значение, указанное администратором в разделе Типы устройств.

   Условие доступности

   Поле PIN-код администратора отображается, если устройство не добавлено в Indeed CM и администратор включил опцию Разрешить пользователю добавлять устройства при выпуске в разделе Поведение→Общие разрешения.

   2. Нажмите Выпустить.

7. Если в процессе выпуска устройства был установлен случайный PIN-код, то он отобразится на экране. При необходимости сохраните свой PIN-код и отправьте его по электронной почте себе или своему руководителю.

   Условие доступности

   Случайный PIN-код устанавливается, если администратор задал опцию Установить случайный PIN-код пользователя в разделе Выпуск.

   PIN-код можно отправить по электронной почте, если администратор настроил рассылку уведомлений по электронной почте в разделе Уведомления.

8. Нажмите Закрыть.

В Сервисе самообслуживания появится раздел Ваши устройства, где отображаются сведения о выпущенном устройстве – тип, серийный номер, имя, состояние.

Если вы не установили ответы на секретные вопросы, перейдите к их настройке.

Проверка документов для выпуска устройства

Выпуск устройства может быть приостановлен, если регламент вашей организации предусматривает проверку документов для получения цифровых сертификатов – одобрение.

В окне выпуска устройства появится сообщение Выпуск устройства ожидает решения. Устройству переходит в состояние В ожидании. Это означает, что ваш запрос на выпуск устройства перешел в стадию рассмотрения.

Отправьте документы для получения сертификата:

• с помощью Indeed CM, если настроена функция внутреннего электронного документооборота Indeed CM ЭДО;
• вне Indeed CM любым другим способом, принятым в вашей организации. Например, по электронной почте.

Обмен документами в Indeed CM

Если в Indeed CM настроена функция внутреннего электронного документооборота Indeed CM ЭДО, вы можете отправить документы администратору в Сервисе самообслуживания.

Примечание

Настройки проверки документов задает администратор. Инструкция для администратора

В зависимости от настроек, заданных администратором, вам необходимо подписать и загрузить в Indeed CM следующие документы:

Запрос на сертификат

Предоставьте подписанную форму запроса на сертификат для одобрения в удостоверяющем центре (УЦ). Администратор может предварительно проверить запрос на сертификат перед отправкой запроса в УЦ.

Выполните следующие действия:

1. Загрузите подписанный запрос на сертификат в Indeed CM:
   1. Распечатайте запрос на сертификат. Перейдите на вкладку Содержимое в карточке устройства и нажмите напротив шаблона сертификата.
   2. Подпишите запрос на сертификат и добавьте в Indeed CM. Как подписать и загрузить документ
2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.
3. Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если запрос отклонен, отзовите и очистите устройство самостоятельно или обратитесь к администратору, после чего начните выпуск устройства заново.

Примечание

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, вы получите уведомление о статусе одобрения – Одобрение документа, Одобрение выпуска устройства или Отклонение выпуска устройства.

Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Сертификат

Если регламент получения сертификата проверки электронной подписи, принятый в вашей организации, предусматривает дополнительную проверку документа о сертификате, то администратор может проверить документ перед записью сертификата на устройство.

В этом сценарии УЦ одобряет сертификат автоматически. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – Действителен. Это означает, что сертификат выпущен в УЦ, но еще не записан на устройство.

Выполните следующие действия:

1. Загрузите подписанную форму сертификата в Indeed CM:
   1. Распечатайте форму сертификата. Перейдите на вкладку Содержимое в карточке устройства, нажмите напротив шаблона сертификата и выберите Сертификат.
   2. Подпишите форму сертификата и добавьте в Indeed CM. Как подписать и загрузить документ
2. Дождитесь одобрения документа от администратора.
3. Если администратор одобрил документ, то сертификат записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если администратор отклонил документ, отредактируйте его, подпишите и заново загрузите в Indeed CM.

Примечание

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение документа.

Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Запрос на сертификат и сертификат

Чтобы продолжить выпуск устройства и записать на него сертификат:

1. Предоставьте подписанную форму запроса на сертификат и дождитесь одобрения запроса в УЦ.
2. Предоставьте подписанную форму сертификата и дождитесь одобрения документа от администратора.

Выполните следующие действия:

1. Загрузите подписанную форму запроса на сертификат в Indeed CM:

   1. Распечатайте запрос на сертификат. Перейдите на вкладку Содержимое в карточке устройства и нажмите напротив шаблона сертификата.
   2. Подпишите запрос на сертификат и добавьте в Indeed CM. Как подписать и загрузить документ

2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.

3. Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Действителен. Это означает, что сертификат выпущен в УЦ, но еще не записан на устройство. Загрузите подписанную форму сертификата в Indeed CM для проверки администратора:

   1. Распечатайте форму сертификата. Перейдите на вкладку Содержимое в карточке устройства, нажмите напротив шаблона сертификата и выберите Сертификат.
   2. Подпишите форму сертификата и добавьте в Indeed CM.

   Если запрос отклонен в УЦ, отзовите и очистите устройство самостоятельно или обратитесь к администратору, после чего начните выпуск устройства заново.

4. Если администратор одобрил подписанную форму сертификата, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если администратор отклонил документ, отредактируйте его, подпишите и заново загрузите в Indeed CM.

Примечание

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение выпуска устройства, Одобрение документа или Отклонение выпуска устройства.

Если автоматическая рассылка уведомлений не настроена, дождитесь статуса сертификата Одобрен.

Обмен документами вне Indeed CM

Предоставьте документы администратору согласно регламенту получения сертификата проверки электронной подписи, принятому в вашей организации.

Выполните следующие действия:

1. Предоставьте администратору подписанную форму запроса на сертификат для одобрения в удостоверяющем центре (УЦ).
2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.
3. Если запрос на сертификат одобрен, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
   Если запрос отклонен, вам необходимо отозвать и очистить устройство самостоятельно или обратиться к администратору, после чего начать выпуск устройства заново.

Примечание

Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение выпуска устройства или Отклонение выпуска устройства.

Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Выпуск специализированных устройств

В Indeed CM можно выпустить следующие специализированные устройства:

• Registry;
• TPM Virtual Smart Card (VSC);
• Windows Hello for Business;
• AirСard.

Registry

Инструкция для администратора по настройке выпуска устройств Registry

1. Настройте поддержку устройств Registry.
2. Добавьте тип устройства Registry.xml в конфигурацию Indeed CM.
3. Установите компонент Cm.Registry.Middleware на рабочую станцию пользователя.

Особенности выпуска устройств Registry

• поддерживается выпуск только RSA сертификатов;
• не поддерживается работа с PIN-кодами;
• не поддерживается инициализация устройства.

Чтобы выпустить устройство Registry:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. В поле Устройство выберите:
   • Registry - Machine: Registry, чтобы выпустить сертификат в хранилище сертификатов локального компьютера;
   • Registry - User: Registry, чтобы выпустить сертификат в хранилище сертификатов текущего пользователя.
4. Нажмите Выпустить. Indeed CM отправит запрос на сертификат в УЦ.
5. Создайте пароль для контейнера закрытого ключа в окне создания приватного RSA-ключа.
   Это необходимо, если в настройках шаблона сертификата в Microsoft CA администратор задал опцию При регистрации выводить запрос и требовать от пользователя ответ, если используется закрытый ключ (Prompt the user during enrollment and require user input when the private key is used) на вкладке Обработка запроса (Request Handling).
   1. Нажмите Выбор уровня безопасности.. (Set security Level..) и задайте пароль, удовлетворяющий требованиям безопасности вашей организации.
   2. Нажмите Finish и ОК.

Сертификаты с закрытыми ключами запишутся в хранилище сертификатов пользователя или компьютера.

предупреждение

Сбросить пароль на контейнер при его утере невозможно. Перевыпустите сертификат.

TPM Virtual Smart Card

Инструкция для администратора по настройке выпуска устройств TPM VSC

1. Запустите Мастер настройки Indeed CM, перейдите в раздел Общие функции и включите опцию Работа с TPM Virtual Smart Card.
2. Добавьте тип устройства Tpm.xml в конфигурацию Indeed CM.

Настройки разблокировки устройств TPM

Чтобы иметь возможность разблокировать устройство TPM, при добавлении типа устройства в Indeed CM PIN-код администратора должен меняться на случайный или на любой неслучайный Triple DES.

3. Установите Доверенный платформенный модуль 2.0 (Trusted Platform Module) на рабочую станцию пользователя.
4. Установите компонент Cm.TPM.Middleware на рабочую станцию пользователя.

Особенности выпуска устройств TPM VSC

• поддерживается выпуск только RSA сертификатов;
• не поддерживается инициализация устройства.

Чтобы выпустить устройство TPM VSC:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. Выберите Cоздать виртуальное устройство TPM или выберите уже созданное устройство.
4. Нажмите Выпустить.

Indeed CM создаст виртуальную карту. Виртуальную карту TPM можно использовать как аппаратное устройство на вашей рабочей станции. Например, для аутентификации в домене.

Windows Hello for Business

Инструкция для администратора по настройке выпуска устройств Windows Hello for Business

1. Разверните инфраструктуру Windows Hello for Business по инструкции Microsoft.
2. Запустите Мастер настройки Indeed CM, перейдите в раздел Общие функции и включите опцию Работа с Windows Hello for Business.
3. Добавьте тип устройства Whfb.xml в конфигурацию системы.
4. Установите Доверенный платформенный модуль 2.0 (Trusted Platform Module) на рабочую станцию пользователя.
5. Установите компонент Cm.WHfB.Middleware на рабочую станцию пользователя.

Особенности выпуска устройств Windows Hello for Business

• поддерживается выпуск сертификатов RSA 2048;
• для пользователя на компьютере можно создать только одно устройство WHfB;
• максимальное количество устройств WHfB на одном компьютере с Windows 10 - 10;
• не поддерживается инициализация устройства.

Чтобы выпустить устройство Windows Hello for Business:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. Выберите Настроить WHfB.
4. Нажмите Выпустить.
5. Настройте PIN-код в окне настройки PIN-кода для Windows Hello:
   1. Нажмите Задать PIN-код (Set up PIN).
   2. Введите учетные данные для основной и пользовательской проверки подлинности (с помощью Indeed CM MFA адаптера) и нажмите Submit.
   3. Создайте PIN-код и нажмите ОК.

После создания PIN-кода Indeed CM продолжит выпуск устройства.

Windows Hello for Business может использоваться как аппаратное устройство на вашей рабочей станции пользователя. Например, для аутентификации в домене.

AirCard

Инструкция для администратора по настройке выпуска устройств AirCard

1. Перейдите в настройки политики использования устройств в раздел Поведение→Разрешения пользователя→Общие разрешения и включите опцию Выпускать AirCard.
2. Добавьте тип устройства AirCard.xml в конфигурацию системы.
3. Установите компоненты Cm.AirCard.Middleware и Cm.AirCard.Runtime на рабочую станцию пользователя.
4. Настройте сетевую доступность сервера Indeed AirCard Enterprise с рабочей станции пользователя.

Особенности выпуска устройств AirCard

Поддерживается выпуск только RSA сертификатов.

После установки Indeed AirCard Runtime в области уведомлений панели задач Windows появится индикатор подключенных устройств AirCard.

Чтобы выпустить виртуальную смарт-карту AirCard:

1. Нажмите Выпустить устройство.
2. Задайте имя устройства.
3. Выберите Cоздать новое устройство AirCard или выберите уже созданное устройство.
4. Нажмите Выпустить.

После выпуска устройство AirCard автоматически привяжется к вашей рабочей станции. Список разрешенных компьютеров для подключения выпущенного устройства отображается в карточке устройства AirCard.

Подключение AirCard к рабочей станции

AirCard можно подключить двумя способами:

• автоматически в Indeed CM;
• вручную в панели управления Indeed AirCard Enterprise.

Indeed CM

После выпуска устройство AirCard автоматически подключится к разрешенным компьютерам, если они находятся в корпоративной сети предприятия.

Indeed AirCard Enterprise

Применяется, если устройство нельзя подключить автоматически (например, если компьютер находится за пределами корпоративной сети предприятия). В этом случае устройство может выпустить только администратор Indeed CM.

Добавьте устройство вручную в приложении Indeed AirCard Enterprise и подключите его к рабочей станции:

1. Откройте панель управления Indeed AirCard Enterprise.
2. Нажмите  и .
3. В поле Код введите код, полученный от администратора. Код действителен в течение часа, его можно использовать только один раз. Адрес сервера Indeed AirCard Enterprise подставляется автоматически.
4. Нажмите Добавить.

После добавления устройство AirCard отобразится в панели управления.

В разделе Активные смарт-карты панели управления Indeed AirCard Enterprise можно просмотреть устройства, автоматически подключенные к рабочей станции. Для каждого устройства указан ID (серийный номер), который отображается в сервисах Indeed CM.

Индикатор подключенных устройств AirCard находится в области уведомлений панели задач Windows. Если к рабочей станции не подключено ни одного устройства, или связь с Indeed AirCard Enterprise Server не установлена, то индикатор будет серого цвета , если подключено хотя бы одно устройство – красного .