Управление сервисными сертификатами

Установление отношений доверия между компонентами КриптоПро DSS и Центром Идентификации необходимо для проверки издателя маркера безопасности, с которым аутентифицируется Пользователь. Только маркеры безопасности, подписанные доверенным издателем, будут приняты на компонентах СЭП.

В связи с этим каждому из компонентов КриптоПро DSS требуется сервисный сертификат.

На рисунке ниже изображена настройка сервисных сертификатов в компонентах КриптоПро DSS. Рисунок иллюстрирует следующие требования к настройке и взаимодействию компонентов КриптоПро DSS:

1. Каждому компоненту КриптоПро DSS назначается сервисный сертификат. Назначение сервисных сертификатов осуществляется с помощью командлетов вида Set-...Properties.
2. Между Центром Идентификации и остальными компонентами КриптоПро DSS необходимо установить отношения доверия. Установка отношений доверия осуществляется путём регистрации сервисного сертификата ЦИ в компонентах КриптоПро DSS (используются командлеты вида Add-...RelyingPartyTrust).
3. Центр Идентификации должен быть зарегистрирован на остальных компонентах КриптоПро DSS как доверенный издатель маркеров безопасности (используются командлеты вида Add-...ClaimsProviderTrust, см. сценарии настройки компонентов).
4. Для некоторых компонентов (Сервис Аудита, Веб-интерфейс Пользователя) должны быть настроены требования аутентификации доверенной стороны.

Внимание!

Если регистрация доверенной стороны производилась через метаданные, аутентификация доверенной стороны была настроена автоматически. Смена аутентификационных данных доверенной стороны описана в соответствующем разделе.

Также в этом разделе:

• Требования к сервисным сертификатам
• Пример создания самоподписанного сертификата
• Назначение прав доступа к закрытому ключу сертификата
• Примеры назначения и смены сервисных сертификатов