Утилита pkg_maker.exe предоставляет администратору безопасности удобный графический интерфейс для создания локальной политики безопасности для пользователя, локальных настроек Продукта S-Terra Client и создания инсталляционного файла продукта S-Terra Client для пользователя.
При использовании предопределенного ключа для аутентификации сторон GUI предоставляет возможность считать созданный ключ либо из файла, либо ввести его с клавиатуры, задать локальную политику безопасности для данного пользователя, персональные настройки и создать инсталляционный файл S-Terra Client, который и будет передан пользователю. Далее перейдите в раздел «Аутентификация с использованием Preshared Key».
При использовании сертификатов открытого ключа для аутентификации сторон возможны два сценария подготовки инсталляционного пакета, которые отличаются тем имеет ли администратор на своем рабочем месте доступ к контейнеру с секретным ключом сертификата пользователя. Контейнер с секретным ключом должен быть уровня компьютера.
Первый сценарий
Шаг 1: Администратор безопасности получает от администратора СА Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы, и также контейнер на внешнем носителе.
Поэтому в данном сценарии возможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности на своем рабочем месте с помощью GUI задает локальную политику безопасности для данного пользователя, путь к локальному и СА сертификату, имя контейнера с секретным ключом – где он будет размещен на компьютере пользователя, локальные настройки, создает инсталляционный файл S-Terra Client.
Шаг 3: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, состоящий из:
· инсталляционного файла S-Terra Client;
· контейнера с секретным ключом на внешнем ключевом носителе;
· утилиты integr_mgr;
· файла с контрольной суммой инсталляционного файла S-Terra Client.
Контейнер и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи. Инсталляционный файл S-Terra Client содержит базовый инсталляционный файл, локальную политику безопасности, сертификат пользователя и СА сертификат, персональные настройки.
Если администратор подготовил пользовательский токен, то пользователю передается подготовленный инсталляционный пакет, состоящий из:
· инсталляционного файла S-Terra Client;
· пользовательского токена, с записанным на нем СА сертификатом, локальным сертификатом, контейнером с секретным ключом и локальной политикой безопасности;
· утилиты integr_mgr для вычисления контрольной суммы
· файла с контрольной суммой инсталляционного файла S-Terra Client.
Пользовательский токен и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи.
Второй сценарий
Шаг 1: На компьютере пользователя создается ключевая пара и запрос на сертификат пользователя, который отсылается в Удостоверяющий Центр. Контейнер с секретным ключом размещается на компьютере пользователя. Администратор безопасности получает Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы.
В результате администратор безопасности на своем рабочем месте не имеет доступа к контейнеру, поэтому в данном сценарии невозможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности на своем рабочем месте с помощью GUI задает локальную политику безопасности для данного пользователя, путь к локальному и СА сертификату, имя контейнера на компьютере пользователя, локальные настройки, и создает инсталляционный файл S-Terra Client.
Шаг 3: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, состоящий из:
· инсталляционного файла S-Terra Client;
· утилиты integr_mgr для вычисления контрольной суммы;
· файла с контрольной суммой инсталляционного файла S-Terra Client.
Файл с контрольной суммой должен быть передан пользователю по заслуживающему доверия каналу связи. Инсталляционный файл S-Terra Client содержит базовый инсталляционный файл, локальную политику безопасности, СА сертификат, локальный сертификат, ссылку местоположения контейнера на компьютере пользователя и персональные настройки.
Три режима GUI
Подготовить инсталляционный пакет можно в одном из 3 режимов GUI:
· основной режим (ГОСТ) (описан в разделе "GUI. Основной режим");
· режим пользовательского токена (описан в разделе "GUI. Режим пользовательского токена"). В этом режиме для аутентификации сторон используются только сертификаты;
· режим международных алгоритмов (описан в разделе "GUI. Режим международных алгоритмов").
В основном режиме при создании инсталляционного пакета S-Terra Client используются алгоритмы ГОСТ при шифровании, проверки целостности пакетов, формировании и проверки ЭЦП.
В режиме международных алгоритмов при создании инсталляционного пакета S-Terra Client используются международные алгоритмы шифрования, проверки целостности пакетов и ЭЦП.
В режиме пользовательского токена создается универсальный инсталляционный файл S-Terra Client, который может работать с пользовательским токеном любого пользователя. В этом режиме также создается пользовательский токен для данного пользователя. Продукт S-Terra Client, созданный в этом режиме, будет работать только при наличии подключенного пользовательского токена.
При наличии у администратора сертификатов, выберите режим GUI и перейдите к созданию политики безопасности с использованием GUI.