Аутентификация с использованием сертификатов. Задание корневого и локального сертификатов

При аутентификации сторон с использованием сертификатов поставьте переключатель в положение Use  certificate:

 Рисунок 10

 

При этом становятся доступными для заполнения следующие поля (кнопка с тремя точками в конце поля [...] (Open) означает, что элемент этого поля должен быть доступен (размещен) на компьютере администратора):

·       CA  certificate – здесь отражается поле Subject корневого сертификата Удостоверяющего Центра (Trusted CA Certificate). Для этого разместите на компьютере администратора файл с Trusted CA сертификатом и в конце поля нажмите кнопку [...], в открывшемсяокне выберите данный файл с СА сертификатом. Обязательный параметр.

·       User  certificate – здесь отражается поле Subject локального сертификата пользователя. Для этого разместите на компьютере администратора файл с сертификатом пользователя и в конце поля нажмите кнопку [...], в открывшемсяокне выберите данный файл с сертификатом. Обязательный параметр.

·       User  container  name – уникальное имя контейнера, размещенного на компьютере пользователя, на который будет установлен Продукт S-Terra Client. Контейнер содержит ключевую пару. Обязательный параметр. Контейнеры с секретными ключами должны быть уровня компьютера. Имя контейнера должно быть указано в следующем формате:
system::<ключевой носитель>://имя контейнера

system – ключевое слово, определяющее доступность контейнера (system – контейнер доступен всем пользователям), можно не указывать;

ключевой носитель может принимать значения:

·       file – контейнер будет создан на локальной файловой системе,

·       etoken – контейнер будет создан на внешнем носителе, подключенном по интерфейсу PKCS#11,

·       file_p15 – контейнер будет создан на локальной файловой системе (формат контейнера PKCS#15),

·       etoken_p15 – контейнер будет создан на внешнем носителе, подключенном по интерфейсу PKCS#11 (формат контейнера PKCS#15).

Должен быть указан тот ключевой носитель, на котором будет расположен контейнер на компьютере пользователя.

·       User container password – пароль к контейнеру. При использовании eToken в этом поле нужно указать PIN-код к токену

·       User  identity  type – тип идентификационной информации, пересылаемой партнеру при создании защищенного соединения. Обязательный параметр. Поле содержит выпадающий список со следующими значениями:

·       Distinguished  Name – в качестве идентификатора партнеру будет высылаться значение Subject из сертификата пользователя, показываемое в поле User  identity  value, если оно там задано. Значение по умолчанию.

·       Email – в качестве идентификатора партнеру будет высылаться значение поля E-mail расширения сертификата пользователя, показываемое в поле User  identity  value, если оно там задано.

·       FQDN – в качестве идентификатора партнеру будет высылаться значение доменного имени хоста, считываемое из поля DNS расширения сертификата и показываемое в поле User  identity  value, если оно там задано.

·       IPV4Addr – в качестве идентификатора партнеру будет высылаться первый IP-адрес, указанный в расширении сертификата, и показываемый в поле User  identity  value, если он там задан.

·       Local  IP  address – в качестве идентификатора партнеру будет высылаться действительный IP-адрес хоста, на котором будет установлен S-Terra Client.

·       User  identity  value – идентификационная информация, пересылаемая партнеру. Поле доступно только для чтения и заполняется автоматически, соответствующим типу идентификатора значением, считываемым из сертификата пользователя. Заполнение происходит в момент выбора типа идентификатора или изменения имени файла с сертификатом пользователя. Параметр обязательный.

·       Check  consistency  now – установка этого флажка означает, что при создании инсталляционного файла будет проведена проверка соответствия сертификата пользователя и секретного ключа в контейнере. Для этого внешний носитель с контейнером надо подключить к компьютеру администратора. Имя контейнера указывается в поле Container  name, а пароль к нему – в поле Container  password. После установки флажка становятся доступными: Container name, Container password, Use container from admin computer.

·       Use  container  from  admin  computer – установка этого флажка означает, что контейнер с компьютера администратора будет размещен в инсталляционный файл. При инсталляции S-Terra Client контейнер будет скопирован в контейнер с именем User  container  name. Рекомендуется не устанавливать этот флажок, если канал доставки инсталляционного файла не защищен.
Использование контейнера с машины администратора и копирование/импорт контейнера это взаимоисключающие операции, поэтому в окне при выборе одной опции другая отключается автоматически. Переключатели Copy container и Import container from file будут недоступны.

·       Container  name – уникальное имя контейнера для проведения проверки на компьютере администратора. При нажатии кнопки [...] появится окно Container  list (Рисунок 11) со списком контейнеров на всех ключевых носителях, подключенных к компьютеру администратора и доступных для всех пользователей. Выберите нужный контейнер для проверки и нажмите ОК. В поле Container  name появится уникальное имя контейнера.

Рисунок 11

 

·       Container  password – пароль к контейнеру с секретным ключом.

·       Dont  copy  container – при установке этого переключателя, контейнер на компьютере пользователя при инсталляции не копируется.

·       Copy  container – установка этого переключателя означает, что во время инсталляции S-Terra Client на компьютере пользователя будет проведено копирование контейнера с именем, указанным в поле Source  container  name, в контейнер с именем, указанным в поле User  container  name.

·       Import  container  from  file– установка этого переключателя означает, что во время инсталляции S-Terra Client на компьютере пользователя будет проведено импортирование контейнера из файла с именем, указанным в поле Source  container  name, в контейнер с именем, указанным в поле User  container  name.

·       Source  container  name/file – имя контейнера на компьютере пользователя, который будет скопирован во время инсталляции, либо полный путь к файлу из которого во время инсталляции будет импортирован контейнер пользователя.

·       Source  container  password – пароль (ПИН) к контейнеру с секретным ключом.