Персональный инсталляционный пакет пользователя готовит администратор безопасности и поэтому эта информация для пользователя носит ознакомительный характер.
Продукт S-Terra Client предназначен для виртуальных корпоративных сетей. Полагаем, что в таких сетях пользователь не имеет права на изменение политики безопасности корпоративной сети. Поэтому, Продукт S-Terra Client разработан таким образом, что администратор безопасности корпоративной сети формирует персонализованный инсталляционный пакет для каждого пользователя, при этом настройки для пользователя согласуются с его должностными обязанностями.
Действия администратора при подготовке персонализованного инсталляционного пакета пользователя могут различаться в зависимости от используемого метода аутентификации сторон и местонахождения контейнера с секретным ключом.
При использовании предопределенного ключа для аутентификации сторон администратору предоставляется возможность считать созданный ключ либо из файла, либо ввести его с клавиатуры, задать локальную политику безопасности для данного пользователя, персональные настройки, и создать инсталляционный файл S-Terra Client, который и будет передан пользователю.
При использовании сертификатов открытого ключа для аутентификации сторон возможны два сценария подготовки инсталляционного пакета, которые отличаются тем, имеет ли администратор на своем рабочем месте доступ к контейнеру с секретным ключом сертификата пользователя.
Первый сценарий
Шаг 1: Администратор безопасности получает от администратора СА Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы, и также контейнер на внешнем носителе.
Поэтому в данном сценарии возможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности на своем рабочем месте с помощью GUI задает локальную политику безопасности для данного пользователя, путь к локальному и СА сертификату, имя контейнера с секретным ключом – где он будет размещен на компьютере пользователя, локальные настройки, создает инсталляционный файл S-Terra Client.
Шаг 3: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, состоящий из:
· инсталляционного файла S-Terra Client;
· контейнера с секретным ключом на внешнем ключевом носителе
· утилиты integr_mgr
· файла с контрольной суммой инсталляционного файла S-Terra Client.
Контейнер и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи. Инсталляционный файл S-Terra Client содержит базовый инсталляционный файл, локальную политику безопасности, сертификат пользователя и СА сертификат, персональные настройки.
Если администратор подготовил пользовательский токен, то пользователю передается подготовленный инсталляционный пакет, состоящий из:
· инсталляционного файла S-Terra Client;
· пользовательского токена с записанным на нем СА сертификатом, локальным сертификатом, контейнером с секретным ключом и локальной политикой безопасности;
· утилиты integr_mgr для вычисления контрольной суммы;
· файла с контрольной суммой инсталляционного файла S-Terra Client.
Пользовательский токен и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи.
Второй сценарий
Шаг 1: На компьютере пользователя создается ключевая пара и запрос на сертификат пользователя, который отсылается в Удостоверяющий Центр. Контейнер с секретным ключом размещается на компьютере пользователя в локальном хранилище. Администратор безопасности получает из СА Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы.
В результате администратор безопасности на своем рабочем месте не имеет доступа к контейнеру, поэтому в данном сценарии невозможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности на своем рабочем месте с помощью GUI задает локальную политику безопасности для данного пользователя, путь к локальному и СА сертификату, имя контейнера на компьютере пользователя, локальные настройки, и создает инсталляционный файл S-Terra Client.
Шаг 3: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, состоящий из:
· инсталляционного файла S-Terra Client;
· утилиты integr_mgr для вычисления контрольной суммы;
· файла с контрольной суммой инсталляционного файла S-Terra Client.
Файл с контрольной суммой должен быть передан пользователю по заслуживающему доверия каналу связи. Инсталляционный файл S-Terra Client содержит базовый инсталляционный файл, локальную политику безопасности, СА сертификат, локальный сертификат, ссылку местоположения контейнера на компьютере пользователя и персональные настройки.