Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info

Рутокен KeyBox поддерживает работу с большим количеством удостоверяющих центров организации. 

Можно добавить несколько УЦ для одной политики или создать несколько политик, указав для каждой свой УЦ.

...

Настройка online-режима работы

Info

В online-режиме работы Рутокен KeyBox заменяет собой АРМ Оператора ЦР Валидата.

Для работы в данном режиме необходимо разрешить удаленное подключение к сервису в настройках Центра Регистрации.


Чтобы выбрать настройки для online-режима работы:

  1. Нажмите Добавить УЦ.
  2. В поле поле Адрес сервера  введите адрес удостоверяющего центра.
  3. В полях Имя пользователя и Пароль введите имя и пароль сервисной учетной записи, обладающей сертификатом Агент регистрации.

    Наличие пользователя с сертификатом Агент регистрации является обязательным условием для работы Рутокен KeyBox с УЦ.

    От имени этого пользователя будет выполняться запрос к указанному удостоверяющему центру на выдачу сертификатов пользователям Рутокен KeyBox.

    Учетные данные этого пользователя могут быть изменены после добавления удостоверяющего центра в Рутокен KeyBox.

  4. В раскрывающемся списке Сертификат агента регистрации выберите название сертификата.
  5. Нажмите Добавить. В результате удостоверяющий центр будет добавлен.

Чтобы добавить удостоверяющий центр, расположенных за пределами домена, в котором находятся пользователи Рутокен KeyBox:

  1. Нажмите Добавить УЦ.
  2. В поле Адрес введите URL-адрес приложения Indeed CM MSCA Proxy.

    В случае развертывания Рутокен KeyBox в лесу доменов использование MSCA Proxy не обязательно. В этом случае в поле Адрес следует указать имя удостоверяющего центра.

  3. В поле Имя пользователя укажите учетную запись пользователя в формате ДОМЕН\ИМЯ, обладающего сертификатом Агента регистрации на УЦ, расположенном вне домена с каталогом пользователей Рутокен KeyBox.
  4. В поле Пароль укажите её пароль.
  5. Установите галочку Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.
  6. В поле Путь (LDAP) укажите путь к каталогу пользователей Рутокен KeyBox внешнего домена.

    Пример

    Рутокен KeyBox развёрнут в домене demo.local и сертификаты пользователям этого домена выпускаются развёрнутым в этом домене УЦ.

    При добавлении УЦ, развёрнутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователя системы Рутокен KeyBox есть ещё одна доменная учётная запись на имя которой добавляемый УЦ будет выпускать сертификаты.

    Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволяет записать на одно устройство несколько сертификатов, выданных удостоверяющими центрами, расположенными в независимых доменах.

    Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

    Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене demo.local должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

  7. В поле Имя пользователя укажите учетную запись, обладающую правами на чтение всех свойств пользователей во внешнем домене, в формате ДОМЕН\ИМЯ.
  8. В поле Атрибут сопоставления каталогов укажите атрибут (Общее имя (CN), E-mail или Логин (sAMAccountName)), по которому Рутокен KeyBox будет определять уникальность пользователя, для которого созданы учетные записи в каждом домене. 
  9. Нажмите Добавить. В результате удостоверяющий центр будет добавлен.

Чтобы изменить учетные данные пользователя, обладающего сертификатом Агент регистрации:

  1. В строке с именем удостоверяющего центра щелкните по значку Image Removed.
    Image Removed
  2. В полях Имя пользователя и Пароль введите новые значения.
  3. В раскрывающемся списке Сертификат агента регистрации выберите название сертификата.
  4. Нажмите Сохранить. В результате новые учетные данные пользователя сохранятся.

Чтобы удалить удостоверяющий центр:

  1. ЦР укажите адрес и порт RPC сервера Центра Регистрации:
    ncacn_ip_tcp:<ip>[<port>]
  2. В раскрывающемся списке Клиентский сертификат выберите сертификат Оператора Центра Регистрации.

    Info

    Этот сертификат используется как при подключении к сервису ЦР для выполнения аутентификации по протоколу TLS, так и для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя и должен содержать OID Оператора Центра Регистрации (1.3.6.1.4.1.10244.6.1) и OID Проверки подлинности TLS клиента (1.3.6.1.5.5.7.3.2).


  3. В поле Каталог для обмена файлами с ЦР/ЦС укажите каталог для обмена файлами Рутокен KeyBox с Центром Регистрации.

    Info

    В каталоге должны присутствовать: цепочка сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или COC).


  4. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к выбранному  каталогу.
  5. В поле Подкаталог для запросов укажите подкаталог запросов для Центра Сертификации, обработанных Оператором ЦР (в формате CMS/PKCS#7).
  6. В поле Подкаталог для сертификатов укажите подкаталог сертификатов обработанных Центром Сертификации (в формате CMS/PKCS#7).
  7. Нажмите Добавить.

Настройка offline-режима работы

Чтобы выбрать настройки для offline-режима работы:

  1. Нажмите Добавить УЦ.
  2. В поле Каталог для обмена файлами с ЦР/ЦС укажите каталог для обмена файлами Рутокен KeyBox с Центром Регистрации.

    Info

    В каталоге должны присутствовать: цепочка сертификатов Валидата УЦ и актуальный список отозванных сертификатов X.509 (CRL или COC).


  3. В полях Имя пользователя и Пароль укажите учетные данные пользователя для подключения к выбранному  каталогу.
  4. В поле Подкаталог для запросов укажите подкаталог для входящих незащищённых запросов пользователей (в формате PKCS#10).

    Info

    Обработка запросов в формате PKCS#10 может быть выполнена исключительно в ручном режиме на APM Администратора ЦР/


  5. В поле Подкаталог для сертификатов укажите подкаталог сертификатов для выдачи конечным пользователям.
  6. Нажмите Добавить
  7. В строке с именем удостоверяющего центра щелкните по значку Image Removed.
  8. Для подтверждения действия нажмите Удалить. В результате удостоверяющий центр будет удалён
  9. .

Вкладка Шаблоны

На этой вкладке задаются шаблоны, в соответствии с которыми будут выпускаться сертификаты пользователям.

Перед созданием шаблона сертификатов в Рутокен KeyBox убедитесь в том, что необходимые шаблоны настроены и добавлены в центре сертификации Microsoft CA.

Чтобы создать шаблон сертификата:

  1. Нажмите Создать шаблон сертификата.
  2. Загрузите подготовленный XML-шаблон сертификата.
  3. Задайте все необходимые параметры.
  4. Нажмите Создать.

    Рутокен KeyBox позволяет создать несколько шаблонов сертификатов для одной политики (при условии, что эти шаблоны разные). 

...