Команда cert_mgr create предназначена для генерации ключевой пары и создания запроса на локальный сертификат для конечного устройства. На основании этого запроса Certificate Authority создаст соответствующий сертификат.
Для работы с утилитой требуются права Администратора. Пользователь также должен иметь право изменять настройки Продукта.
Синтаксис
cert_mgr [-T timeout] create - subj CERT_SUBJ [-GOST_R3410EL|
-GOST_R341012_256|-GOST_R341012_512] [-mail MAIL] [-ip IP_ADDR] [-dns DNS] [-kc K_CONTAINER_NAME] [-kcp K_CONTAINER_PWD]
[-f OUT_FILE_NAME]
-T timeout время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд.
-subj CERT_SUBJ значение поля Subject Name сертификата.
-GOST_R3410EL идентификатор алгоритма ГОСТ Р 34.10-2001, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса.
-GOST_R341012_256 идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса.
-GOST_R341012_512 идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 512 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса.
-mail MAIL значение поля Mail для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца.
-ip IP_ADDR значение поля IP Address для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца.
-dns DNS значение поля DNS для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца.
-kc K_CONTAINER_NAME имя контейнера с секретным ключом.
-kcp K_CONTAINER_PWD пароль к контейнеру с секретным ключом.
-f OUT_FILE_NAME имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в бинарной кодировке DER.
Значение по умолчанию
По умолчанию используется алгоритм - GOST_R341012_256 и ключ длиной 512 бит.
Рекомендации по использованию
Используйте данную команду для создания ключевой пары и запроса на сертификат.
Созданный запрос на сертификат защищается от подмены при помощи ЭЦП, которая формируется с использованием созданного секретного ключа и выбранного алгоритма ЭЦП.
В режиме КС1, в момент генерации ключевой пары (по алгоритму ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012), запускается генератор случайных чисел и на консоли появляется просьба понажимать любые клавиши.
Команда cert_mgr create позволяет сохранить контейнер с секретным ключом на конечном устройстве в локальном хранилище, избежав ситуации переноса контейнера с одного носителя на другой.
Если при запуске команды не указать опцию –f с именем файла для размещения запроса, то сформированный запрос будет выведен на экран в формате PEM.
Если при запуске команды не указать имя контейнера, то он будет создан с именем file://vpnXXXXXXXX, где vpnXXXXXXXX – автоматически сформированное уникальное имя контейнера
Одновременно хранится только один сертификатный запрос. При создании следующего запроса и незаконченном первом (по которому не создан сертификат), старый запрос удаляется. При таком удалении неиспользованного запроса будет так же удаляться и контейнер с ним связанный.
Работа с eToken
Если создания контейнера и запроса на локальный сертификат выполняется на токене, то использование опции kcp обязательно. В качестве пароля к контейнеру должен использоваться PIN-код к токену.
Пример
Пример создания запроса на локальный сертификат с использованием алгоритма ГОСТ Р 34.10-2001:
cert_mgr create -subj "O=S-Terra,CN=LocalCert" -GOST_R3410EL -dns local.s-terra.com -f c:\certs\local_cert