Рутокен KeyBox может взаимодействовать с центрами сертификации Microsoft, располагающимися за пределами домена, в котором находятся находится сервер RutokenKayBoxРутокен KeyBox. Например, в конфигурацииконфигурация, когда у одной организации есть несколько независимых доменов с самостоятельными центрами сертификации в каждом, а RutokenKeyBox Рутокен KeyBox развернут только в одном из этих доменов. При этом учетные записи пользователей в этих доменах одинаковы.Использование компонента IndeedCM.MSCA.Proxy позволит запрашивать и записывать на устройства при помощи Рутокен KeyBox сертификаты со всех УЦ, находящихся за пределами того домена, в котором развернут RutokenKeyBox. В такой схеме в политику использования устройств Рутокен KeyBox добавляется адрес MSCA Proxy, который развернут во внешнем домене с каталогом пользователей и центром сертификации. При выпуске устройства Рутокен KeyBox обращается к MSCA MS CA Proxy, а тот, используя сертификат Агента Регистрации (располагается в хранилище рабочей станции с установленным компонентом IndeedCM.MSCA.Proxy) , передает запрос на целевой центр сертификации.
Для установки и настройки приложения MSCA MS CA Proxy выполните следующие действия:
- Создайте во внешнем для Рутокен KeyBox домене сервисную учетную запись для работы с центром сертификации Microsoft (см. Создание сервисной учетной записи для работы с Microsoft CA).
Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см. Настройка Настройка шаблонов сертификатов) и выпустите для этой учетной записи сертификат по этому шаблону (см. Выпуск Выпуск сертификата Агент регистрации (Enrollment Agent)).
Warning Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент IndeedCM.MSCA.Рутокен KeyBox MS CA Proxy. Установите компонент IndeedCMУстановите компонент RutokenKeyBox.MSCA.Proxy.msi из из дистрибутива (располагающемся располагается в каталоге RutokenKeyBox.Server) на на рабочей станции в домене с внешним УЦ.
Note Системные требования для установки компонента совпадают с требования для установки сервера RutokenKeyBoxсерверных компонентов на ОС Windos. - Перейдите в каталогОткройте в редакторе Блокнот, запущенном от имени администратора, файл конфигурации MS CA Proxy — C:\inetpub\wwwroot\mscaproxy и откройте в редакторе Блокнот, запущенном от имени администратора, файл cm\mscaproxy\Web.config.
- Укажите в секции caProxySettings:
- Имя центра сертификации в параметре ca.
- Данные учетной записи (логин и пароль), обладающей сертификатом Агент регистрации в параметрах userName и password соответственнопараметрах userName и password соответственно.
Отпечаток (Thumbprint) сертификата Агент регистрации в параметре параметре enrollmentAgentCertificateThumbprint.
Пример заполненной секции:<
caProxySettings
ca
=
"servercm.external.com\EXTERNAL-CA"
userName
=
"EXTERNAL\serviceserviceca"
password
=
"p@ssw0rd"
enrollmentAgentCertificateThumbprint
=
"dbd1859d27395860843643ebe17e2ee3fc463aba"
/>
- Сервер Rutoken KeyBox использует Windows авторизацию в случае инсталляции на ОС Windows и авторизацию по сертификатам в случае инсталляции на ОС Linux.
В секции authorization в параметре allow users также укажите сервисную учетную запись для работы с центром сертификации.При использовании Windows авторизации (инсталляция на Windows Server):
в параметре allow users укажите сервисную учетную запись из домена, в котором установлен Рутокен KeyBox MSCA Proxy, например, созданную в п.1.
Пример заполненной секции:<
authentication
mode
=
"Windows"
/>
<
authorization
>
<
deny
users
=
"?"
/>
<
allow
users
=
"EXTERNAL\
serviceca"
/>
<
deny
users
=
"*"
/>
</
authorization
>
При использовании авторизации по сертификату (инсталляция на ОС семейства Linux):
Параметру authentication укажите значение "None", а также закомментируйте секцию authorization.
Пример заполненной секции:<
authentication
mode
=
"None"
/>
<!--
<authorization>
<deny users="?"/>
<allow users="*" />
<deny users="*" />
</authorization>
-->
Параметру authorizeByCertificate (секция appSettings)укажите значение "True", а в параметре allowedCertificateThumbprints укажите отпечаток клиентского сертификата, разрешенного к предъявлению сервером Рутокен KeyBox.
Warning Убедитесь, что выполнены следующие требования для авторизации по сертификатам в ОС Linux:
- Поле Улучшенный ключ (Enhanced Key Usage) сертификата содержит значение Проверка подлинности клиента (Client Authentication).
- Сертификат установлен в хранилище сертификатов сервера RutokenKeyBox.
- Сервер, на который устанавливается MS CA Proxy, принимает сертификаты клиента - сервера RutokenKeyBox. Для этого откройте IIS, перейдите в Параметры SSL (SSL Settings) и в списке Сертификаты клиента (Client certificates) выберите значение Принимать (Accept).
Пример заполненной секции:
<
appSettings
>
<
add
key
=
"authorizeByCertificate"
value
=
"true"
/>
<
add
key
=
"allowedCertificateThumbprints"
value
=
"aba8b93d73343f2182e3c1c40482b2ae2d75b6ec"
/>
</
appSettings
>
- Сохраните изменения в файле и закройте файл конфигурации.