В случае применения СКЗИ «КриптоПро CSP», для создания контейнера можно использовать утилиту csptest (утилита находится в каталоге /opt/cprocsp/bin/ia32 или /opt/cprocsp/bin/amd64), например:
csptest -keyset -newkeyset -container 'HDIMAGE\\contadmin' -machinekeyset -password 123456
В случае применения криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи», для создания контейнера используйте утилиту cont_mgr (описание утилиты приведено в документе «Специализированные команды»). Пример:
/opt/VPNagent/bin/cont_mgr create -cont contadmin –PIN 123456
Если для используемого АПМДЗ не поддерживается функциональность ДСЧ, то возможны различные варианты создания контейнеров с секретными ключами, в зависимости того, какая криптографическая библиотека применяется в «С-Терра Шлюз». Для «С-Терра Шлюз» со встроенной криптобиблиотекой компании «С-Терра СиЭсПи», при генерации ключевой пары и создании контейнера возможно применение биологического ДСЧ. Для «С-Терра Шлюз» с СКЗИ «КриптоПро CSP» возможны два варианта:
1. Администратор, используя СКЗИ «КриптоПро CSP», может создать контейнеры на своем рабочем месте и затем доставить их на «С-Терра Шлюз».
Для создания контейнера используйте утилиту csptest (пример см. выше).
Выполните копирование контейнера с секретным ключом с одного ключевого носителя на другой следующей командой, например:
csptest -keycopy -machinekeyset -src '\\.\media\src_cont' -dest '\\.\media\dst_cont'
Если на «С-Терра Шлюз» применяется криптобиблиотека от компании «С-Терра СиЭсПи», доставленные контейнеры нужно конвертировать с помощью команды cpkey_conv (описание утилиты приведено в документе «Специализированные команды»).
2. Администратор, используя СКЗИ «КриптоПро CSP» (класс защиты КС2/КС3) и электронный замок «Соболь», может изготовить внешнюю гамму, доставить ее безопасным способом на «С-Терра Шлюз» и затем, используя утилиту csptest или cont_mgr, как это описано выше, создать на «С-Терра Шлюз» контейнеры с секретными ключами.
Для изготовления внешней гаммы в командной строке запустите утилиту genkpim, например:
genkpim.exe 500 12121111 f:\gamma
500 – необходимое количество случайных отрезков гаммы для записи на носитель,
12121111 – номер комплекта внешней гаммы (8 символов в 16-ричном коде),
f:\gamma – путь на носителе, по которому будет записан файл с внешней гаммой.
В результате выполнения команды создается файл kis_1, который записывается на носитель по пути f:\gamma дублированием в два каталога: DB1 и DB2.
Далее действия будут различаться в зависимости от используемого СКЗИ:
· В случае использования СКЗИ «КриптоПро CSP», выполните копирование файлов с внешней гаммой с носителя на «С-Терра Шлюз» в следующие каталоги: /var/opt/cprocsp/dsrf/db1/ и /var/opt/cprocsp/dsrf/db2/ соответственно.
· В случае использования криптобиблиотеки от компании «С-Терра СиЭсПи», выполните копирование одного файла с внешней гаммой с носителя на «С-Терра Шлюз», в каталог /var/s-terra/ext-gamma. Переименуйте файл с внешней гаммой в eg_data.
В конфигурационном файле /etc/S-Terra/skzi.conf пропишите путь до каталога с внешней гаммой:
ExtGammaPath=/var/s-terra/ext-gamma
Надёжно удалите файлы с внешней гаммой с носителя. После этого перезагрузите «С-Терра Шлюз» и создайте контейнеры с секретными ключами.