Создание ключевой пары и формирование запроса на локальный сертификат

Опишем создание ключевой пары и формирование запроса на создание локального сертификата, с использованием ГОСТ-алгоритмов, средствами Microsoft Windows.Контейнер с секретным ключом локального сертификата будет размещен в Реестре.

Шаг 1: установите программный Продукт СКЗИ «КриптоПро CSP 3.6R2». Установка этого Продукта описана в разделе «Установка СКЗИ “КриптоПро CSP3.6R.

Шаг 2: инсталлируйте ключевой носитель, на котором будет размещен контейнер с секретным ключом локального сертификата, например, Реестр, используя СКЗИ «КриптоПро CSP 3.6R2». Эта инсталляция описана в разделе «Инсталляция ключевого считывателя Реестр».

Шаг 3: запустите Microsoft Internet Explorer. В поле Address укажите IP-адрес сервера Удостоверяющего Центра и запустите утилиту certsrv (Certificate  Service), например, http://10.0.6.214/certsrv/.  

Создание Удостоверяющего Центра MS  CA описано в разделе «Установка и настройка Удостоверяющего Центра. Создание СА сертификата». В качестве криптопровайдера на сервере устанавливается продукт СКЗИ "КриптоПро CSP 3.6R2".

Шаг 4: в появившемся окне высвечивается имя Удостоверяющего Центра – в нашем случае 214-W8R2-64 CA. Для формирования запроса на создание локального сертификата выберите предложение Request  a  certificate (Рисунок 41 ):

Рисунок 41

 

Шаг 5: выберите форму расширенного запроса – предложение “advanced  certificate  request”:

Рисунок 42

 

Шаг 6: для получения формы для формирования запроса на сертификат выберите предложение “Create  and  submit  a  request  to  this  CA”t:

Рисунок 43

 

Шаг 7: заполните форму расширенного запроса, показанную ниже (Рисунок 44). Дадим некоторые пояснения для ее заполнения:

·       в разделе Identifying  Information (Информация о Владельце Сертификата) внесите данные о владельце сертификата. Во всех полях этого раздела разрешается использовать не только латинские, но и русские буквы, кроме поля Country/Region, оно всегда содержит значение RU.

Примечание: если при создании запроса на сертификат при заполнении полей сертификата используются русские буквы, необходимо, чтобы они были введены в формате UTF-8

·       в разделе Type  of  Certificate  Needed (Тип требуемого сертификата) из выпадающего списка выберите предложение Client Authentication Certificate

·       в разделе  Key  Options (Опции создания ключей) выбираются опции для создания ключевой пары и размещения секретного ключа. Рекомендуется сделать следующий выбор:

·       Поставьте переключатель в положение Create new key set (Создать установки для нового секретного ключа)

·       CSP (Тип Криптопровайдера) – из выпадающего списка выберите Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider

·       Key Usage (Использование ключей) – для выбора типа ключа поставьте переключатель в одно из трех положений: Signature (для подписи), Exchange (для обмена), Both (для подписи и обмена)

·       Key Size (Размер ключа) – размер ключа. При выборе алгоритма GOST R 34.10-2001 длина ключа всегда 512

·       поставьте переключатель в положение User specified key container name, чтобы задать имя контейнера с секретным ключом

·       в поле Container name (Имя контейнера) введите имя контейнера, в котором будет размещен секретный ключ без указания ключевого носителя, выбрать ключевой носитель будет предложено далее. В имени контейнера разрешается использовать латинские буквы и цифры

·       Mark keys as exportable – поставьте флажок, чтобы можно было скопировать контейнер с секретным ключом с одного ключевого носителя на другой, а также во время создания инсталляционного файла провести проверку соответствия локального сертификата и секретного ключа

·       в разделе Additional  Options (Дополнительные опции):

·       Hash Algorithm – выбрать GOST R34.11-94

·       далее установок никаких делать не нужно.

По этому образцу заполните форму запроса и нажмите кнопку Submit (послать запрос):

Рисунок 44

 

Шаг 8: появляется предупреждение (Рисунок 45), нажмите кнопку Yes, чтобы продолжить:

Рисунок 45

 

Шаг 9: выберите ключевой носитель, например Реестр, для размещения контейнера с секретным ключом и нажмите ОК.

Рисунок 46

 

Шаг 10: для создания ключевой пары в режиме КС1 появляется окно для биологической инициализации ДСЧ – понажимайте любые клавиши или подвигайте мышкой. В режиме КС2 такое окно не появляется.

Рисунок 47

 

Шаг 11: задайте пароль на контейнер с секретным ключом и нажмите ОК:

Рисунок 48

 

Таким образом, ключевая пара – открытый и секретный ключи созданы. Секретный ключ размещен в контейнере на ключевом носителе Реестр и защищен паролем. А на основе открытого ключа Удостоверяющий Центр создаст локальный сертификат.

 

Шаг 12: Удостоверяющий Центр сразу создал локальный сертификат и прислал об этом уведомление. При выборе предложения Install  this  certificate , сертификат будет получен из Удостоверяющего Центра и размещен в контейнере с секретным ключом, в нашем примере – в Реестре.

Рисунок 49

 

Шаг 13: появляется предупреждение (Рисунок 50), нажмите кнопку Yes, чтобы продолжить:

Рисунок 50

 

Шаг 14: еще раз введите пароль на контейнер с секретным ключом и нажмите ОК.

Рисунок 51

 

После размещения локального сертификата в контейнер выдается сообщение:

 

Рисунок 52

 

Локальный сертификат можно получить из Удостоверяющего Центра и другим способом, но приведенный выше наиболее удобен.

В контексте безопасности компьютера, пользователь не может запрашивать сертификат компьютера через интернет с использованием обозревателя Internet Explorer. Поэтому, чтобы получить контейнер с сертификатом для компьютера, необходимо скопировать контейнер с локальным сертификатом, который был получен из Удостоверяющего центра в контейнер компьютера. Эти действия выполняются при помощи продукта «КриптоПро CSP» и описаны в следующем разделе.