Портал документации Рутокен

Page tree

Вы можете получить уже готовое к работе устройство или выпустить устройство самостоятельно, если администратор или оператор Rutoken KeyBox выдал вам пустое устройство.

Если вы получили готовое к работе устройство, то при входе в Сервис самообслуживания отобразится вся информация об этом устройстве.

Дополнительные опции:

  • Установить секретные вопросы и ответы на них. Опция доступна при первом входе в Сервис самообслуживания перед выпуском устройства. Количество секретных вопросов и необходимость установки ответов задает администратор Rutoken KeyBox в разделах Поведение и Аутентификация политики использования устройств;

  • Выпустить устройство самостоятельно. Опция доступна, если выпущенных устройств нет, и администратор разрешил вам выпускать устройства.

Процедура выпуска

  1. Нажмите Выпустить устройство.

  2. Если администратор задал опцию Разрешить пользователю выбор необязательных сертификатов при выпуске устройства в разделе Поведение политики использования устройств, отобразится окно выбора шаблонов сертификатов.
    Выберите шаблоны, по которым будут сформированы сертификаты для записи на устройство.

  3. Если администратор настроил интеграцию в разделе СМЭВ политики использования устройств и сертификат выпускается по шаблону для КриптоПро УЦ 2.0 или Валидата УЦ, отобразится форма проверки СМЭВ.
    Вы можете проверить данные на соответствие и изменить их, если администратор задал опцию Разрешить пользователю редактирование данных в форме проверки в СМЭВ в разделе Поведение.

  4. Если устройство поддерживает аппаратную криптографию, не добавлено в Rutoken KeyBox, и администратор включил опцию Разрешить пользователю добавление устройства в разделе Поведение, то в окне выпуска устройства отобразится поле Номер и дата документа.
    Выставите данные о документе, на основании которого будет изготовлено СКЗИ с информацией об устройстве.

  5. Если администратор задал опцию Инициализировать устройство в разделе Выпуск и настроил параметры инициализации в разделе Инициализация устройства политики использования устройств, устройство будет инициализировано.

    При выпуске устройства с инициализацией все данные на устройстве будут удалены.

    1. Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Rutoken KeyBox и администратор включил опцию Разрешить пользователю добавление устройства в разделе Поведение.

      Если поле PIN-код администратора оставить пустым, то установится значение, указанное администратором в разделе Типы устройств.
      Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

    2. Нажмите Выпустить.
    1. Введите PIN-код пользователя.

    2. Введите PIN-код администратора. Поле отображается, если устройство не добавлено в Rutoken KeyBox и администратор включил опцию Разрешить пользователю добавление устройства в разделе Поведение.

      Если поля PIN-код администратора и PIN-код пользователя оставить пустыми, то установятся значения, указанные администратором в разделе Типы устройств.
      Поддерживается ввод PIN-кодов для нескольких областей. Например, для PKI и ГОСТ на устройствах JaCarta.

    3. Нажмите Выпустить.
    4. Если устройство содержит сторонние сертификаты, Rutoken KeyBox может их обнаружить и внести информацию о таких сертификатах в систему – отследить.
      Вы можете выбрать сертификаты для отслеживания, если администратор задал опции Включить отслеживание сертификатов и Разрешить пользователю выбор сертификатов для отслеживания в разделе Поведение политики использования устройств.

  6. Если администратор задал опцию Установить случайный PIN-код пользователя в разделе Выпуск политики использования устройств, то после выпуска устройства вы увидите свой PIN-код.
    Если администратор настроил рассылку уведомлений по электронной почте в разделе Уведомления, PIN-код можно отправить на вашу электронную почту или почту руководителя.

  7. По завершении выпуска устройства нажмите Закрыть.

В Сервисе самообслуживания появится раздел Ваши устройства, где отображаются сведения о выпущенном устройстве – тип, серийный номер, имя, статус.

Одобрение выпуска

Выпуск устройства может быть приостановлен, если регламент вашей организации предусматривает проверку документов для получения цифровых сертификатов – одобрение.

В окне выпуска устройства появится сообщение Выпуск устройства ожидает решения. Устройству присваивается статус В ожидании. Это означает, что ваш запрос на выпуск устройства перешел в стадию рассмотрения.

Отправьте документы для получения сертификата:

  • с помощью Rutoken KeyBox, если настроена функция внутреннего электронного документооборота Rutoken KeyBox ЭДО;
  • вне Rutoken KeyBox любым другим способом, принятым в вашей организации. Например, по электронной почте.

Если в Rutoken KeyBox настроена функция внутреннего электронного документооборота Rutoken KeyBox ЭДО, вы можете отправить документы администратору в Сервисе самообслуживания.

Настройки одобрения задает администратор в разделе Шаблоны политики использования устройств.

В зависимости от настроек, заданных администратором, вам необходимо подписать и загрузить в Rutoken KeyBox следующие документы:

Предоставьте подписанную форму запроса на сертификат для одобрения в удостоверяющем центре (УЦ). Администратор может предварительно проверить запрос на сертификат перед отправкой запроса в УЦ.

Выполните следующие действия:

  1. Загрузите подписанный запрос на сертификат в Rutoken KeyBox:
    1. Распечатайте запрос на сертификат. Перейдите на вкладку Содержимое в карточке устройства и нажмите напротив шаблона сертификата.
    2. Подпишите запрос на сертификат и добавьте в Rutoken KeyBox. Как подписать и загрузить документ.
  2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.

  3. Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
    Если запрос отклонен, отзовите и очистите устройство самостоятельно или обратитесь к администратору, после чего начните выпуск устройства заново.

    Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, вы получите уведомление о статусе одобрения – Одобрение документа, Одобрение выпуска устройства или Отклонение выпуска устройства.

    Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Если регламент получения сертификата проверки электронной подписи, принятый в вашей организации, предусматривает дополнительную проверку документа о сертификате, то администратор может проверить документ перед записью сертификата на устройство.

В этом сценарии УЦ одобряет сертификат автоматически. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – Действителен. Это означает, что сертификат выпущен в УЦ, но еще не записан на устройство.

Выполните следующие действия:

  1. Загрузите подписанную форму сертификата в Rutoken KeyBox:
    1. Распечатайте форму сертификата. Перейдите на вкладку Содержимое в карточке устройства, нажмите  напротив шаблона сертификата и выберите Сертификат.
    2. Подпишите форму сертификата и добавьте в Rutoken KeyBox. Как подписать и загрузить документ
  2. Дождитесь одобрения документа от администратора.

  3. Если администратор одобрил документ, то сертификат записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
    Если администратор отклонил документ, отредактируйте его, подпишите и заново загрузите в Rutoken KeyBox.

    Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение документа.

    Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Чтобы продолжить выпуск устройства и записать на него сертификат:

  1. Предоставьте подписанную форму запроса на сертификат и дождитесь одобрения запроса в УЦ.
  2. Предоставьте подписанную форму сертификата и дождитесь одобрения документа от администратора.

Выполните следующие действия:

  1. Загрузите подписанную форму запроса на сертификат в Rutoken KeyBox:

    1. Распечатайте запрос на сертификат. Перейдите на вкладку Содержимое в карточке устройства и нажмите напротив шаблона сертификата.
    2. Подпишите запрос на сертификат и добавьте в Rutoken KeyBox. Как подписать и загрузить документ

  2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.

  3. Если запрос на сертификат одобрен в УЦ, то сертификат получает статус Действителен. Это означает, что сертификат выпущен в УЦ, но еще не записан на устройство. Загрузите подписанную форму сертификата в Rutoken KeyBox для проверки администратора:

    1. Распечатайте форму сертификата. Перейдите на вкладку Содержимое в карточке устройства, нажмите  напротив шаблона сертификата и выберите Сертификат.
    2. Подпишите форму сертификата и добавьте в Rutoken KeyBox.
      Если запрос отклонен в УЦ, отзовите и очистите устройство самостоятельно или обратитесь к администратору, после чего начните выпуск устройства заново.

  4. Если администратор одобрил подписанную форму сертификата, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
    Если администратор отклонил документ, отредактируйте его, подпишите и заново загрузите в Rutoken KeyBox.

    Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение выпуска устройства, Одобрение документа или Отклонение выпуска устройства.

    Если автоматическая рассылка уведомлений не настроена, дождитесь статуса сертификата Одобрен.

Предоставьте документы администратору согласно регламенту получения сертификата проверки электронной подписи, принятому в вашей организации.

Выполните следующие действия:

  1. Предоставьте администратору подписанную форму запроса на сертификат для одобрения в удостоверяющем центре (УЦ).
  2. Дождитесь одобрения запроса на сертификат в УЦ. На вкладке Содержимое в карточке устройства можно проверить статус сертификата – В ожидании.

  3. Если запрос на сертификат одобрен, то сертификат получает статус Одобрен и записывается на устройство. Перейдите в карточку устройства и нажмите Продолжить выпуск устройства.
    Если запрос отклонен, вам необходимо отозвать и очистить устройство самостоятельно или обратиться к администратору, после чего начать выпуск устройства заново.

    Если администратор настроил автоматическую рассылку уведомлений пользователя по электронной почте, то вы получите уведомление о статусе одобрения – Одобрение выпуска устройства или Отклонение выпуска устройства.

    Если автоматическая рассылка уведомлений не настроена, дождитесь появления кнопки Продолжить выпуск устройства в карточке устройства.

Выпуск специализированных устройств

В Rutoken KeyBox можно выпустить следующие специализированные устройства:

  1. Настройте поддержку устройств Registry.
  2. Добавьте тип устройства Registry.xml в конфигурацию Rutoken KeyBox.

  3. Установите компонент Cm.Registry.Middleware на рабочую станцию пользователя.

    Особенности выпуска устройств Registry

    • поддерживается выпуск только RSA сертификатов;
    • не поддерживается работа с PIN-кодами;
    • не поддерживается инициализация устройства.

Чтобы выпустить устройство Registry, выполните следующие действия:

  1. Нажмите Выпустить устройство.
  2. Задайте имя устройства.
  3. В поле Устройство выберите:
    • Registry - Machine: Registry, чтобы выпустить сертификат в хранилище сертификатов локального компьютера;
    • Registry - User: Registry, чтобы выпустить сертификат в хранилище сертификатов текущего пользователя.
  4. Нажмите ВыпуститьRutoken KeyBox отправит запрос на сертификат в УЦ.
  5. Создайте пароль для контейнера закрытого ключа в окне создания приватного RSA-ключа.
    Это необходимо, если в настройках шаблона сертификата в Microsoft CA администратор задал опцию При регистрации выводить запрос и требовать от пользователя ответ, если используется закрытый ключ (Prompt the user during enrollment and require user input when the private key is used) на вкладке Обработка запроса (Request Handling).
    1. Нажмите Выбор уровня безопасности.. (Set security Level..) и задайте пароль, удовлетворяющий требованиям безопасности вашей организации.
    2. Нажмите Finish и ОК.

Сертификаты с закрытыми ключами запишутся в хранилище сертификатов пользователя или компьютера.

Сбросить пароль на контейнер при его утере невозможно. Перевыпустите сертификат.

  1. Запустите Мастер настройки Rutoken KeyBox, перейдите в раздел Общие функции и включите опцию Работа с TPM Virtual Smart Card.

  2. Добавьте тип устройства Tpm.xml в конфигурацию Rutoken KeyBox.

    Настройки разблокировки устройств TPM

    Чтобы иметь возможность разблокировать устройство TPM, при добавлении типа устройства в Rutoken KeyBox PIN-код администратора должен меняться на случайный или на любой неслучайный Triple DES.

  3. Установите Доверенный платформенный модуль 2.0 (Trusted Platform Module) на рабочую станцию пользователя.

  4. Установите компонент Cm.TPM.Middleware на рабочую станцию пользователя.

    Особенности выпуска устройств TPM VSC

    • поддерживается выпуск только RSA сертификатов;
    • не поддерживается инициализация устройства.

Чтобы выпустить устройство TPM VSC, выполните следующие действия:

  1. Нажмите Выпустить устройство.
  2. Задайте имя устройства.
  3. Выберите Cоздать виртуальное устройство TPM или выберите уже созданное устройство.
  4. Нажмите Выпустить.

Rutoken KeyBox создаст виртуальную карту. Виртуальную карту TPM можно использовать как аппаратное устройство на вашей рабочей станции. Например, для аутентификации в домене.

  1. Разверните инфраструктуру Windows Hello for Business по инструкции Microsoft.
  2. Запустите Мастер настройки Rutoken KeyBox, перейдите в раздел Общие функции и включите опцию Работа с Windows Hello for Business.
  3. Добавьте тип устройства Whfb.xml в конфигурацию системы.
  4. Установите Доверенный платформенный модуль 2.0 (Trusted Platform Module) на рабочую станцию пользователя.

  5. Установите компонент Cm.WHfB.Middleware на рабочую станцию пользователя.

    Особенности выпуска устройств Windows Hello for Business

    • поддерживается выпуск сертификатов RSA 2048;
    • для пользователя на компьютере можно создать только одно устройство WHfB;
    • максимальное количество устройств WHfB на одном компьютере с Windows 10 - 10;
    • не поддерживается инициализация устройства.

Чтобы выпустить устройство Windows Hello for Business, выполните следующие действия:

  1. Нажмите Выпустить устройство.
  2. Задайте имя устройства.
  3. Выберите Настроить WHfB.
  4. Нажмите Выпустить.
  5. Настройте PIN-код в окне настройки PIN-кода для Windows Hello:
    1. Нажмите Задать PIN-код (Set up PIN).
    2. Введите учетные данные для основной и пользовательской проверки подлинности (с помощью Rutoken KeyBox MFA адаптера) и нажмите Submit.
    3. Создайте PIN-код и нажмите ОК.

После создания PIN-кода Rutoken KeyBox продолжит выпуск устройства.

Windows Hello for Business может использоваться как аппаратное устройство на вашей рабочей станции пользователя. Например, для аутентификации в домене.

  1. Задайте опцию Разрешить пользователю выпуск AirCard устройств в разделе Поведение политики использования устройств.
  2. Добавьте тип устройства AirCard.xml в конфигурацию системы.
  3. Установите компоненты Cm.AirCard.Middleware и Cm.AirCard.Runtime на рабочую станцию пользователя.

  4. Настройте сетевую доступность сервера Indeed AirCard Enterprise с рабочей станции пользователя.

    Особенности выпуска устройств AirCard

    Поддерживается выпуск только RSA сертификатов.

    После установки Indeed AirCard Runtime в области уведомлений панели задач Windows появится индикатор подключенных устройств AirCard.

Чтобы выпустить виртуальную смарт-карту AirCard, выполните следующие действия:

  1. Нажмите Выпустить устройство.
  2. Задайте имя устройства.
  3. Выберите Cоздать новое устройство AirCard или выберите уже созданное устройство.
  4. Нажмите Выпустить.

После выпуска устройство AirCard автоматически привяжется к вашей рабочей станции. Список разрешенных компьютеров для подключения выпущенного устройства отображается в карточке устройства AirCard.

Подключение AirCard к рабочей станции

AirCard можно подключить двумя способами:

  • автоматически в Rutoken KeyBox;
  • вручную в панели управления Indeed AirCard Enterprise.

После выпуска устройство AirCard автоматически подключится к разрешенным компьютерам, если они находятся в корпоративной сети предприятия.

Индикатор подключенных устройств AirCard находится в области уведомлений панели задач Windows. Если к рабочей станции не подключено ни одного устройства, или связь с Indeed AirCard Enterprise Server не установлена, то индикатор будет серого цвета , если подключено хотя бы одно устройство – красного .

Применяется, если устройство нельзя подключить автоматически (например, если компьютер находится за пределами корпоративной сети предприятия). В этом случае устройство может выпустить только администратор Rutoken KeyBox.

Добавьте устройство вручную в приложении Indeed AirCard Enterprise и подключите его к рабочей станции:

  1. Откройте панель управления Indeed AirCard Enterprise.
  2. Нажмите и .
  3. В поле Код введите код, полученный от администратора. Код действителен в течение часа, его можно использовать только один раз. Адрес сервера Indeed AirCard Enterprise подставляется автоматически.
  4. Нажмите Добавить.

После добавления устройство AirCard отобразится в панели управления.

В разделе Активные смарт-карты панели управления Indeed AirCard Enterprise можно просмотреть устройства, автоматически подключенные к рабочей станции. Для каждого устройства указан ID (серийный номер), который отображается в сервисах Rutoken KeyBox.

Индикатор подключенных устройств AirCard находится в области уведомлений панели задач Windows. Если к рабочей станции не подключено ни одного устройства, или связь с Indeed AirCard Enterprise Server не установлена, то индикатор будет серого цвета , если подключено хотя бы одно устройство – красного .

  • No labels