Обработчики запросов на сертификат
Данный раздел определяет последовательность действий при регистрации в КриптоПро DSS обработчика запросов на сертификат, позволяющего Пользователю создавать запросы на сертификат в Веб-интерфейсе Пользователя и скачивать\распечатывать их для последующего обращения в Удостоверяющий Центр.
Регистрация обработчика запроса на сертификат
1. Регистрация обработчика
Регистрация обработчика запросов на сертификат производится при помощи командлета Add-DssEnrollment.
-Add-DssEnrollment [-DisplayName <string>] –Type EnrollOutOfBand -EnrollDisplayName <string>
[-Order <int] [-SNChangesEnabled <bool>] [-ValidationMode <string>]
[-CertificatePrintTemplate <string>] [-RequestPrintTemplate <string>]
[-ExtensionsConfig <string>] –RdnConfig <string> -TemplatesConfig <string>
| Поле | Тип | Описание |
|---|---|---|
| DisplayName | string | Имя экземпляра Сервиса Подписи. Если значение не указано, будет использован экземпляр, назначенный по умолчанию. |
| Type | string | Тип УЦ. Для добавления обработчика только создания запроса на сертификат необходимо указать значение EnrollOutOfBand. |
| EnrollDisplayName | string | Отображаемое имя обработчика |
| Order | int | Отвечает за порядок следования на Веб-интерфейсе Пользователя зарегистрированных обработчиков. Чем выше номер, тем выше в списке обработчик. По умолчанию параметр равен 0. |
| SNChangesEnabled | bool | Разрешить изменять имя субъекта в сертификате. |
| ValidationMode | string | Режим проверки сертификата ЭП перед использованием. Возможные значения: ChainOffline - для локально установленного CRL, ChainOnline - для локально установленного или загруженного по сети CRL ИЛИ при помощи OCSP-службы, NoCheck - не проверять. |
| CertificatePrintTemplate | string | Путь к шаблону печати сертификата. Встроенные в DSS шаблоны хранятся по умолчанию в папке <C:\Program Files\Crypto Pro\DSS\SignServer\PrintTemplates>. |
| RequestPrintTemplate | string | Путь к шаблону печати запроса на сертификат. Встроенные в DSS шаблоны хранятся по умолчанию в папке <C:\Program Files\Crypto Pro\DSS\SignServer\PrintTemplates>. |
| ExtensionsConfig | string | Путь к файлу с дополнительными расширениями для запроса на сертификат (см. п.4). |
| RdnConfig | string | Путь к файлу конфигурации компонентов имени Пользователя (см. п.3). |
| TemplatesConfig | string | Путь к файлу конфигурации шаблонов сертификатов Пользователей (см. п.2). |
Полный набор командлетов для управления обработчиками запросов на сертификат.
2. Конфигурация шаблонов сертификатов
Файлы конфигурации шаблонов сертификатов представляют собой текстовые файлы, содержащие строки определенного формата.
Примечание
Файлы должны быть сохранены в кодировке UTF-8.
[<Имя шаблона TemplateName>]
<OID1>
<OID2>
…
и т.д., где
TemplateName– имя шаблона сертификатов;OID– идентификатор улучшенного использования ключа, входящий в шаблон.
Пример:
[Временный сертификат Пользователя УЦ]
1.2.643.2.2.34.2
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.2
[Временный сертификат Оператора УЦ]
1.2.643.2.2.34.2
1.2.643.2.2.34.5
1.3.6.1.5.5.7.3.2
3. Конфигурация компонентов имени Пользователя
Файлы конфигурации компонентов имени Пользователя представляют собой текстовые файлы, содержащие строки определенного формата.
Примечание
Файлы должны быть сохранены в кодировке UTF-8.
DisplayName='<строковое значение DisplayName>' Name ='<строковое значение Name>' OID='<значение OID>' Order='1..n' Required='true|false',
, где
DisplayName– отображаемое имя компонента имени;Name– строковый идентификатор компонента имени;OID– соответствующий OID компонента имени;Order– порядок компонента имени в шаблоне имени;Required– флаг указывающий на обязательность компонента имени.
Пример:
DisplayName='Имя' Name='CN'OID='2.5.4.3' Order='1' Required='true'
DisplayName='Электронная почта' Name='E' OID='1.2.840.113549.1.9.1' Order='17' Required='false'
DisplayName='Страна/регион' Name='C'OID='2.5.4.6'Order='9'Required='false'
DisplayName='Регион' Name='S' OID='2.5.4.8'Order='3' Required='false'
DisplayName='Населённый пункт' Name='L' OID='2.5.4.7'Order='4' Required='false'
DisplayName='Организация' Name='O' OID='2.5.4.10'Order='5' Required='false'
DisplayName='Подразделение' Name='OU' OID='2.5.4.11'Order='6' Required='false'
DisplayName='ОГРН' Name='OGRN' OID='1.2.643.100.1'Order='7' Required='false'
DisplayName='ИНН' Name='INN' OID='1.2.643.3.131.1.1'Order='8' Required='false'
4. Формат записи файла с дополнительными расширениями для запроса на сертификат
Файлы с дополнительными расширениями для запроса на сертификат представляют собой текстовые файлы, содержащие строки определенного формата.
Примечание
Файлы должны быть сохранены в кодировке UTF-8.
и т.д., где
OID1,OID2,… — идентификаторы расширений сертификата, которые попадут в запрос на сертификат;Critical— поле «Critical» расширения X.509-сертификата;Value1,Value2,… — значения расширений в нотацииASN.1, закодированные в base64.
Пример:
OID='1.2.643.100.111' Critical='true' Value='DGrQn9CQ0JrQnCDCq9Ca0YDQuNC/0YLQvtCf0YDQviBIU03CuyDQstC10YDRgdC40Y8gMi4wICjQutC+0LzQv9C70LXQutGC0LDRhtC40Y8gMSkgKNC40YHQv9C+0LvQvdC10L3QuNC1IDEp'
Пример кодирования расширения с шаблоном сертификата КриптоПро УЦ 2.0
$template = New-Object -TypeName CryptoPro.DSS.Common.Cryptography.X509CertificateTemplateExtension -ArgumentList "1.1.1.1.1.1.1", 1, 1
[Convert]::ToBase64String($template.RawData)