Настройка обработчиков УЦ
Командлет Add-DssEnrollment
Данный командлет имеет динамический набор параметров и используется для регистрации нового обработчика УЦ на Сервисе Подписи. Набор параметров зависит от типа выбранного УЦ:
- КриптоПро УЦ» версии 1.5 (
CryptoProCA15); - КриптоПро УЦ» версии 2.0 (
CryptoProCA20); - Сторонний УЦ (
EnrollOutOfBand).
Синтаксис:
-Add-DssEnrollment [-DisplayName <string>] –Type CryptoProCA15 -CAServiceUrl <string> -EnrollDisplayName <string> [-Order <int] -OperatorCertThumbprint <string> [-AllowUserMode <bool>] [-SNChangesEnabled <bool>] [-ValidationMode <string>] [-CertificatePrintTemplate <string>] [-RequestPrintTemplate <string>] [-RevokeRequestPrintTemplate <string>] [-ExtensionsConfig <string>]
ИЛИ
-Add-DssEnrollment [-DisplayName <string>] –Type CryptoProCA20 -CAServiceUrl <string> -EnrollDisplayName <string> [-Order <int] -OperatorCertThumbprint <string> [-AllowUserMode <bool>] [-SNChangesEnabled <bool>] [-ValidationMode <string>] [-CertificatePrintTemplate <string>] [-RequestPrintTemplate <string>] [-RevokeRequestPrintTemplate <string>] [-ExtensionsConfig <string>] –FolderID <string> [-AuthorityName <string>]
ИЛИ
-Add-DssEnrollment [-DisplayName <string>] –Type EnrollOutOfBand -EnrollDisplayName <string> [-Order <int] [-SNChangesEnabled <bool>] [-ValidationMode <string>] [-CertificatePrintTemplate <string>] [-RequestPrintTemplate <string>] [-RevokeRequestPrintTemplate <string>] [-ExtensionsConfig <string>] –RdnConfig <string> -TemplatesConfig <string>
| Параметр | Тип | Описание |
|---|---|---|
| Общие для всех типов обработчиков УЦ параметры | ||
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| Type | string Возможные значения: CryptoProCA15; CryptoProCA20; EnrollOutOfBand. |
Тип УЦ, для которого осуществляется настройка обработчика. От выбранного типа УЦ зависит дальнейший набор параметров. |
| CAServiceUrl | string | URL адрес Центра Регистрации УЦ в формате https://<ca2.0 host name>/RA/RegAuthLegacyService.svc. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| EnrollDisplayName | string | Отображаемое имя обработчика УЦ. |
| ShowInUi | bool | Определяет, будет ли отображаться данный обработчик на Веб-интерфейсе Пользователя. Скрытый обработчик остается доступен для работы по REST API. |
| Order | int | Отвечает за порядок следования на Веб-интерфейсе Пользователя зарегистрированных обработчиков. Чем выше номер, тем выше в списке обработчик. По умолчанию параметр равен 0. |
| OperatorCertThumbprint | string | Отпечаток сертификата привилегированного Пользователя удостоверяющего центра. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| AllowUserMode | bool | Разрешить подпись запросов на сертификат действующим ключом Пользователя. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| SNChangesEnabled | bool | Разрешить изменять имя субъекта в сертификате. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| ValidationMode | string Возможные значения: CertificateAuthority, ChainOffline, ChainOnline, OCSP, NoCheck. |
Режим проверки сертификата ЭП перед использованием. - Средствами обработчика УЦ (для EnrollOutOfBand по записи в БД Сервиса Подписи); - По локально установленному CRL; - По локально установленному или загруженному по сети CRL; - При помощи OCSP-службы (требуется задать адрес службы в параметре -OcspAddress); - Не проверять. |
| OcspAddress | string | Адрес службы получения актуального статуса сертификата (службы OCSP). |
| CertificatePrintTemplate | string | Путь к шаблону печати сертификата. |
| RequestPrintTemplate | string | Путь к шаблону печати запроса на сертификат. |
| RevokeRequestPrintTemplate | string | Путь к шаблону печати запроса на аннулирование сертификата. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| ExtensionsConfig | string | Путь к файлу с дополнительными расширениями для запроса на сертификат. |
| RevocationFlag | Возможные значения: EndCertificateOnly (0) - только конечный сертификат; EntireChain (1) - Полная цепочка сертификации; ExcludeRoot (2) - Все сертификаты цепочки за исключением корневого. |
Режим проверки цепочки сертификатов. |
| Override | Флаг | Присутствие данного параметра означает, что после ввода текущая конфигурация обработчика будет перезаписана, а не введенные в данной строке значения параметров стерты. |
| Уникальные параметры для обработчика КриптоПро УЦ 2.0 | ||
| FolderId | string | Идентификатор папки с настройками Пользователей УЦ 2.0 (см. документацию на ПАК КриптоПро УЦ 2.0). |
| AuthorityName | string | Имя ЦС УЦ 2.0 |
| Уникальные параметры для обработчика стороннего УЦ | ||
| RdnConfig | string | Путь к файлу конфигурации компонентов имени Пользователя. |
| TemplatesConfig | string | Путь к файлу конфигурации шаблонов сертификатов Пользователей. |
| AllowArbitraryTemplate | bool | Разрешить произвольные шаблоны сертификатов (идентификатор в этом случае может быть указан в запросе на сертификат). |
| CryptoProvidersConfig | string | Путь к файлу с криптопровайдерами. |
| UseSelfSignedCertificates | bool | Позволяет разрешить создание самоподписанных сертификатов (только для использования в тестовых целях). По умолчанию запрещено. |
Командлет Enable-DssEnrollment
Данный командлет позволяет включить обработчик УЦ. Командлет принимает идентификатор зарегистрированного обработчика УЦ, либо объект в режиме конвейера.
Синтаксис:
Enable-DssEnrollment [-DisplayName <string>] -ID <int>
ИЛИ
Get-DssEnrollment [-DisplayName <string>] -ID <int> | Enable-DssEnrollment
| Параметр | Тип | Описание |
|---|---|---|
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| ID | int | Идентификатор обработчика УЦ. |
Командлет Disable-DssEnrollment
Данный командлет позволяет отключить обработчик УЦ. Командлет принимает идентификатор зарегистрированного обработчика УЦ, либо объект в режиме конвейера.
Синтаксис:
Disable-DssEnrollment [-DisplayName <string>] -ID <int>
ИЛИ
Get-DssEnrollment [-DisplayName <string>] -ID <int> | Disable-DssEnrollment
| Параметр | Тип | Описание |
|---|---|---|
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| ID | int | Идентификатор обработчика УЦ. |
Командлет Get-DssEnrollment
Данный командлет позволяет вывести на консоль сведения о зарегистрированнои обработчике УЦ. Командлет принимает идентификатор зарегистрированного обработчика УЦ, либо объект в режиме конвейера.
Синтаксис:
Get-DssEnrollment [-DisplayName <string>] -ID <int> [-IncludeCaProperties <switch>]
| Параметр | Тип | Описание |
|---|---|---|
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| ID | int | Идентификатор обработчика УЦ. |
| IncludeCaProperties | switch | Включить в вывод свойства УЦ. Данный параметр вызывается, если нужно отобразить свойства УЦ, к которому подключен обработчик. |
Командлеты Set-DssEnrollment15, Set-DssEnrollment20, Set-DssEnrollmentOob
Командлеты позволяют настроить обработчик КриптоПро УЦ 1.5, обработчик КриптоПро УЦ 2.0 или обработчик стороннего УЦ. Командлеты принимают идентификатор зарегистрированного обработчика УЦ, либо объект в режиме конвейера. Командлет выбирается в зависимости от типа обработчика УЦ, для которого производится настройка. В таблице ниже приведены настройки для данных командлетов по категориям – как общие, так и уникальные для каждого командлета.
Синтаксис:
Set-DssEnrollment15 –ID <int> [-DisplayName <string>] [-Override] [-CAServiceUrl <string>] [-EnrollDisplayName <string>] [-Order <int]
[-OperatorCertThumbprint <string>] [-AllowUserMode <bool>] [-SNChangesEnabled <bool>] [-ValidationMode <string>] [-CertificatePrintTemplate <string>]
[-RequestPrintTemplate <string>] [-RevokeRequestPrintTemplate <string>] [-ExtensionsConfig <string>]
ИЛИ
Set-DssEnrollment20 –ID <int> [-DisplayName <string>] [-Override] [-CAServiceUrl <string>] [-EnrollDisplayName <string>] [-Order <int]
[-OperatorCertThumbprint <string>] [-AllowUserMode <bool>] [-SNChangesEnabled <bool>] [-ValidationMode <string>] [-CertificatePrintTemplate <string>]
[-RequestPrintTemplate <string>] [-RevokeRequestPrintTemplate <string>] [-ExtensionsConfig <string>] [–FolderID <string>] [-AuthorityName <string>]
ИЛИ
Set-DssEnrollmentOob –ID <int> [-DisplayName <string>] [-Override] [-EnrollDisplayName <string>] [-Order <int] [-SNChangesEnabled <bool>]
[-ValidationMode <string>] [-CertificatePrintTemplate <string>] [-RequestPrintTemplate <string>] [-RevokeRequestPrintTemplate <string>]
[-ExtensionsConfig <string>] [–RdnConfig <string>] [-TemplatesConfig <string>]
| Параметр | Тип | Описание |
|---|---|---|
| Общие для всех типов обработчиков УЦ параметры | ||
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| CAServiceUrl | string | URL адрес Центра Регистрации УЦ в формате https://<ca2.0 host name>/RA/RegAuthLegacyService.svc. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| EnrollDisplayName | string | Отображаемое имя обработчика УЦ. |
| ID | int | Идентификатор обработчика УЦ. Используется для указания того, какой обработчик требуется настроить. Обязательный параметр. |
| ShowInUi | bool | Определяет, будет ли отображаться данный обработчик на Веб-интерфейсе Пользователя. Скрытый обработчик остается доступен для работы по REST API. |
| Order | int | Отвечает за порядок следования на Веб-интерфейсе Пользователя зарегистрированных обработчиков. Чем выше номер, тем выше в списке обработчик. По умолчанию параметр равен 0. |
| OperatorCertThumbprint | string | Отпечаток сертификата привилегированного Пользователя удостоверяющего центра. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| AllowUserMode | bool | Разрешить подпись запросов на сертификат действующим ключом Пользователя. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| SNChangesEnabled | bool | Разрешить изменять имя субъекта в сертификате. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| ValidationMode | string Возможные значения: CertificateAuthority, ChainOffline, ChainOnline, OCSP, NoCheck. |
Режим проверки сертификата ЭП перед использованием. - Средствами обработчика УЦ (для EnrollOutOfBand по записи в БД Сервиса Подписи); - По локально установленному CRL; - По локально установленному или загруженному по сети CRL; - При помощи OCSP-службы (требуется задать адрес службы в параметре -OcspAddress); - Не проверять. |
| OcspAddress | string | Адрес службы получения актуального статуса сертификата (службы OCSP). |
| CertificatePrintTemplate | string | Путь к шаблону печати сертификата. |
| RequestPrintTemplate | string | Путь к шаблону печати запроса на сертификат. |
| RevokeRequestPrintTemplate | string | Путь к шаблону печати запроса на аннулирование сертификата. Данный параметр НЕ ИСПОЛЬЗУЕТСЯ для типа УЦ EnrollOutOfBand. |
| ExtensionsConfig | string | Путь к файлу с дополнительными расширениями для запроса на сертификат. |
| RevocationFlag | Возможные значения: EndCertificateOnly (0) - только конечный сертификат; EntireChain (1) - Полная цепочка сертификации; ExcludeRoot (2) - Все сертификаты цепочки за исключением корневого. |
Режим проверки цепочки сертификатов. |
| Override | Флаг | Присутствие данного параметра означает, что после ввода текущая конфигурация обработчика будет перезаписана, а не введенные в данной строке значения параметров стерты. |
| Уникальные параметры для обработчика КриптоПро УЦ 2.0 | ||
| FolderId | string | Идентификатор папки с настройками Пользователей УЦ 2.0 (см. документацию на ПАК КриптоПро УЦ 2.0). |
| AuthorityName | string | Имя ЦС УЦ 2.0 |
| Уникальные параметры для обработчика стороннего УЦ | ||
| RdnConfig | string | Путь к файлу конфигурации компонентов имени Пользователя. |
| TemplatesConfig | string | Путь к файлу конфигурации шаблонов сертификатов Пользователей. |
| AllowArbitraryTemplate | bool | Разрешить произвольные шаблоны сертификатов (идентификатор в этом случае может быть указан в запросе на сертификат). |
| CryptoProvidersConfig | string | Путь к файлу с криптопровайдерами. |
| UseSelfSignedCertificates | bool | Позволяет разрешить создание самоподписанных сертификатов (только для использования в тестовых целях). По умолчанию запрещено. |
Командлет Test-DssEnrollment
Данный командлет позволяет проверить работоспособность обработчика УЦ. Командлет принимает идентификатор зарегистрированного обработчика УЦ, либо объект в режиме конвейера.
Синтаксис:
Test-DssEnrollment [-DisplayName <string>] -ID <int>
ИЛИ
Get-DssEnrollment [-DisplayName <string>] -ID <int> | Test-DssEnrollment
| Параметр | Тип | Описание |
|---|---|---|
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| ID | int | Идентификатор обработчика УЦ. |
Командлет Remove-DssEnrollment
Данный командлет позволяет удалить зарегистрированный обработчик УЦ. Командлет принимает идентификатор зарегистрированного обработчика УЦ, либо объект в режиме конвейера.
Синтаксис:
Remove-DssEnrollment [-DisplayName <string>] -ID <int>
ИЛИ
Get-DssEnrollment [-DisplayName <string>] -ID <int> | Remove-DssEnrollment
| Параметр | Тип | Описание |
|---|---|---|
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| ID | int | Идентификатор обработчика УЦ. |
Примечание
Обработчик УЦ может быть удален только в случае, если в базе данных Сервиса Подписи нет сертификатов и запросов на сертификаты к данному УЦ.