Для работы Рутокен KeyBox с Валидата УЦ в онлайн-режиме:
- Предоставьте доступ на чтение и запись к каталогу для обмена файлами с Валидата ЦС.
- Настройте подключение к АРМ Администратора Центра Регистрации Валидата УЦ с помощью сертификата Оператора ЦР.
Сертификат Оператора ЦР используется как при подключении к сервису ЦР для выполнения аутентификации по протоколу TLS, так и для подписания XML-шаблона на получение или отзыв сертификата ключа проверки ЭП пользователя и должен содержать OID Оператор Центра Регистрации (1.3.6.1.4.1.10244.6.1) и OID Проверка подлинности TLS клиента (1.3.6.1.5.5.7.3.2).
Чтобы выпустить сертификат Оператора ЦР, используйте Валидата CSP или КриптоПро CSP.
Выпуск сертификата Оператора ЦР с помощью Валидата CSP
- Чтобы создать шаблон сертификата, в основном меню АРМ Администратора ЦР выберите Центр Регистрации → Сформировать запрос на сертификат абонента.
- Выберите шаблон и нажмите Далее.
- Заполните атрибуты сертификата для построения Имени Владельца сертификата, при необходимости включите опцию Разрешить генерацию ключа шифрования и нажмите Далее.
- Выберите области применения ключа Оператор ЦР и Проверка подлинности TLS клиента и нажмите Далее.
- Выберите регламент сертификата и нажмите Далее.
- Выберите дополнения для сертификата и нажмите Далее.
- При необходимости задайте атрибуты Альтернативного имени Владельца сертификата и нажмите Готово.
Преобразование закрытого ключа сертификата
Если вы выпустили сертификат с помощью Валидата CSP, преобразуйте его закрытый ключ из Validata GOST R 34.10-2012 CSP в Crypto-Pro GOST R 34.10-2012 CSP:
- Запустите, от имени администратора, приложение Validata CSP.
- Перейдите на вкладку Ключи. В поле Преобразовать выберите соответствующие поля:
- Из: Validata GOST R 34.10-2012 CSP
- В: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider:
- Следуя подсказкам мастера преобразуйте закрытый ключ сертификата Оператора ЦР в Сrypto-Pro GOST R 34.10-2012 CSP.
- Преобразованный ключ и сертификат необходимо скопировать на сервер RutokenKeyBox и установить в контейнер локального хранилища рабочей станции.
Выдайте системе Рутокен KeyBox права на чтение закрытого ключа сертификата Оператора, который был установлен на предыдущем шаге:
- В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Рутокен KeyBox.
- Кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) > Управление закрытыми ключами... (Manage Private Keys...).
Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\RutokenKeyBox (если используется IIS 7.5 и более поздние версии).
- Выставите права Полный доступ (Full Control) и Чтение (Read).
Нажмите Применить (Apply).
- Установите сертификат корневого центра сертификации Валидата УЦ в хранилище Локального компьютера (Local computer), на котором установлен сервер Рутокен KeyBox в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
- Установите сертификат промежуточного центра сертификации и список отозванных сертификатов (CRL) Валидата УЦ в хранилище Локального компьютера (Local Computer), на котором установлен сервер Рутокен KeyBox в Промежуточные Центры Сертификации (Intermediate Certification Authorities).
