Взаимодействие с Удостоверяющими Центрами
СЭП «КриптоПро DSS» позволяет работать со следующими типами удостоверяющих центров:
- КриптоПро УЦ 2.0;
- КриптоПро УЦ 1.5 (взаимодействие доступно только в тестовом режиме);
- сторонний УЦ (Out-of-Band CA).
Взаимодействие с КриптоПро УЦ 2.0
Для взаимодействия с КриптоПро УЦ 2.0 в КриптоПро DSS реализованы следующие функции:
1. Отправка запроса на сертификат для зарегистрированного Пользователя КриптоПро УЦ 2.0;
2. Регистрация нового Пользователя и создание запроса на сертификат для него;
3. Проверка статуса запроса на сертификат;
4. Получение сертификата Пользователя с УЦ с последующей установкой в БД Сервиса Подписи.
5. Приостановление действия и аннулирование сертификата Пользователя УЦ. КриптоПро DSS поддерживает две схемы управления сертификатами:
- централизованную;
- распределенную.
При использовании централизованной схемы все запросы Пользователя к КриптоПро УЦ 2.0 подписываются на сертификате Оператора УЦ, заданного в настройках Сервиса Подписи.
При использовании распределенной схемы все запросы Пользователя к КриптоПро УЦ 2.0 подписываются на действующем сертификате Пользователя, выданном данным удостоверяющим центром. Оператор КриптоПро DSS может одобрить или отклонить запросы Пользователя.
При взаимодействии с КриптоПро УЦ Сервис Подписи КриптоПро DSS выступает в качестве привилегированного Пользователя УЦ. Для этого необходимо добавить КриптоПро DSS в соответствующую группу безопасности на Центре Регистрации КриптоПро УЦ.
Пользователи КриптоПро УЦ ассоциируются с определенной папкой на Центре Регистрации УЦ. Процесс управления папками описан в разделе 1.6 документа "ЖТЯИ.00078 01 90 03 ПАК «КриптоПро УЦ 2.0». Руководство по эксплуатации".
Приблизительный сценарий действий при настройке взаимодействия КриптоПро DSS с КриптоПро 2.0:
- Создать группу безопасности УЦ (см. п. 1.7 ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации)
- Создать папку на УЦ 2.0 (см. п. 1.6 Управление папками ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации)
- Настроить в свойствах папки права для группы безопасности, созданной в п.1 , в соответствии с Таблица 1.
- Добавить Оператора КриптоПро DSS в группу безопасности.
После определения системной роли, которая будет использоваться для подключения Сервиса Подписи к УЦ, необходимо:
- Выпустить соответствующий сертификат, расширение EKU которого будет содержать объектный идентификатор данной роли.
- Полученный сертификат для доступа к УЦ необходимо установить на Сервис Подписи в хранилище «Личные» локального компьютера с привязкой к закрытому ключу.
- Дать права учетной записи пулу приложений
IIS AppPool\CryptoProDSS-1-SignServer (IIS AppPool\CryptoProDSS-1-STS
для обработчиков, настраиваемых на ЦИ) на закрытый ключ для доступа к УЦ (см. Руководство Администратора). - Зарегистрировать обработчик УЦ в КриптоПро DSS.
- Назначить данный сертификат в качестве сертификата доступа к УЦ в настройках СЭП.
Для изменения схемы работы обработчиков КриптоПро УЦ 2.0 вызовите командлет Set-DssEnrollment20.
Командлеты для настройки обработчиков
Для роли, с которой ассоциирован КриптоПро DSS, необходимо определить права доступа к информационным ресурсам Центра Регистрации.
Права доступа к информационным ресурсам ЦР задаются настройками разрешений к действиям Центра Регистрации. Процедура настройки разрешений описана в документе «ЖТЯИ.00067-02 90 05. КриптоПро УЦ. Центр Регистрации. Руководство по эксплуатации», пункт 4.4. Набор прав для доступа DSS к ресурсам УЦ представлен в Таблице 1 и Таблице 2.
Таблица 1. Права для отправки запросов на регистрацию/сертификат
Наименование разрешения | Тип объекта | Комментарий |
---|---|---|
Чтение свойств | Папка, Пользователь |
Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект невиден субъекту. |
Запрос регистрации | Папка | Создание запроса на регистрацию Пользователя. |
Запрос сертификата | Пользователь, Шаблон |
Создание запроса сертификата для Пользователя. |
Запрос аннулирования | Пользователь | Создание запроса на аннулирование сертификата Пользователя. |
Запрос приостановления | Пользователь | Создание запроса на приостановление сертификата Пользователя. |
Запрос возобновления | Пользователь | Создание запроса на возобновление сертификата Пользователя. |
Таблица 2. Права для отправки и одобрения запросов на регистрацию/сертификат
Наименование разрешения | Тип объекта | Комментарий |
---|---|---|
Чтение свойств | Папка, Пользователь |
Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект невиден субъекту. |
Запрос регистрации | Папка | Создание запроса на регистрацию Пользователя. |
Запрос сертификата | Пользователь, Шаблон |
Создание запроса сертификата для Пользователя. |
Запрос аннулирования | Пользователь | Создание запроса на аннулирование сертификата Пользователя. |
Запрос приостановления | Пользователь | Создание запроса на приостановление сертификата Пользователя. |
Запрос возобновления | Пользователь | Создание запроса на возобновление сертификата Пользователя. |
Одобрение регистрации | Папка | Одобрение запроса на регистрацию Пользователя. |
Одобрение сертификата | Пользователь, Шаблон |
Одобрение запроса сертификата для Пользователя. |
Одобрение аннулирования | Пользователь | Одобрение запроса на аннулирование сертификата Пользователя. |
Одобрение приостановления | Пользователь | Одобрение запроса на приостановление сертификата Пользователя. |
Одобрение возобновления | Пользователь | Одобрение запроса на возобновление сертификата Пользователя. |
Передача запросов | Пользователь | Передача запросов, подписанных пользователем-получателем услуги, а не подписью Пользователя, передающего или одобряющего запрос. |
Взаимодействие с КриптоПро УЦ 1.5 R2
Схема взаимодействия с КриптоПро УЦ 1.5 аналогична взаимодействию Сервиса Подписи с КриптоПро УЦ 2.0, однако возможна только при тестовом режиме работы КриптоПро DSS.
Командлеты для настройки обработчиков
Взаимодействие со сторонним УЦ
При взаимодействии со сторонним УЦ СЭП «КриптоПро DSS» реализует только функции по созданию запроса на сертификат. Отправка запроса на сертификат в УЦ, получение сертификата и установка сертификата должна осуществляться Пользователем СЭП.
Настройка обработчика стороннего УЦ
Командлеты для настройки обработчиков
Печать запросов и сертификата
СЭП «КриптоПро DSS» предоставляет Пользователю возможность распечатать полученный им сертификат и соответствующий запрос. Для формирования печатной формы используется специальный шаблон печати, который представляет собой XSL-преобразование.
Файл, содержащий данное преобразование, должен находиться в папке
<путь установки>\SignServer\PrintTemplates
. По умолчанию в этой
папке уже содержатся шаблон c именем Cert.xsl
(для печати сертификата),
шаблон с именем Request.xsl
(для печати запроса на сертификат) и
шаблон с именем RevRequest.xsl
(для печати запросов на аннулирование,
приостановление и возобновление сертификата).
Для каждого зарегистрированного УЦ можно задать путь к файлу шаблона
печати с помощью командлетов Set-DssEnrollment15
, Set-DssEnrollment20
,
Set-DssEnrollmentOob
и параметров, приведенных в Таблице 3.
Таблица 3. Параметры настройки печати запросов и сертификата при помощи
командлетов Set-DssEnrollment15
, Set-DssEnrollment20
,
Set-DssEnrollmentOob
Параметр | Тип | Описание |
---|---|---|
CertificatePrintTemplate | string | Путь к шаблону печати сертификата |
RequestPrintTemplate | string | Путь к шаблону печати запроса на сертификат |
RevokeRequestPrintTemplate | string | Путь к шаблону печати запроса на аннулирование сертификата |