Требования к сервисным сертификатам
Сервисные сертификаты должны содержать в поле «Использование ключа» значения:
- Шифрование ключей (KEY ENCIPHERMENT);
- Цифровая подпись (DIGITAL SIGNATURE);
- Неотрекаемость (NON REPUDIATION).
В свойстве «Улучшенный ключ» должно быть задано следующее значение:
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Требований к содержимому поля «Субъект» нет. В значении компонента CN можно указать назначение
сертификата, например, DSS Sign Service Certificate
.
В качестве сервисного сертификата можно использовать самоподписанный сертификат большого срока действия. Его отзыв осуществляется организационными мерами. Пример создания.
Примечание
После получения сертификата его следует установить в хранилище Личные локального компьютера с привязкой к закрытому ключу.
После того, как будет создан экземпляр компонента, необходимо выдать учетной записи, от имени которой работает компонент, права на доступ к закрытому ключу сертификата. Имена учетных записей компонентов КриптоПро DSS приведены в таблице ниже.
Компонент | Имя учётной записи |
---|---|
Веб-интерфейс Пользователя | IIS AppPool\CryptoProDSS-1-Frontend |
Сервис Подписи | IIS AppPool\CryptoProDSS-1-SignServer |
Центр Идентификации | IIS AppPool\CryptoProDSS-1-STS |
Сервис Аудита | IIS AppPool\CryptoProDSS-1-AnalyticsService |
Сервис Обработки Документов | IIS AppPool\CryptoProDSS-1-DocumentStore |