Настройка рабочего места администратора AdminHost

Настройка рабочего места администратора состоит из нескольких этапов:

·       получение сертификатов и секретных ключей;

·       формирование инсталляционного пакета S-Terra Client для AdminHost;

·       установка «КриптоПро CSP» на AdminHost;

·       установка инсталляционного пакета S-Terra Client на AdminHost.

 

На компьютере, где будет создаваться инсталляционный пакет для AdminHost, должен быть установлен пакет «КриптоПро CSP» и административный пакет S-Terra Client AdminTool (см. документацию «Программный комплекс С-Терра Клиент. Руководство администратора»).

В случае если ключи были сгенерированы вне целевого компьютера, их требуется туда доставить защищенным образом (например, на токене).

Процесс получения сертификата и доставки секретных ключей описан в документе «Программный комплекс С-Терра Клиент. Руководство администратора. Приложение А».

 

Запустите графический интерфейс S-Terra Client AdminTool (Start – Programs – S-Terra Client AdminTool – Package Maker) и создайте, согласованную со шлюзом политику безопасности.

 

1.   Во вкладке Auth (Рисунок 4) выполните следующие действия:

·       в данном сценарии используется метод аутентификации на сертификатах – пункт Use certificate выбран по умолчанию;

·       укажите путь к сертификату УЦ и пользовательскому сертификату;

·       отметьте пункт Check consistency now и нажмите кнопку , где выберите нужный контейнер; если при генерации сертификатов указывался пароль на контейнер, введите его в графе password;

·       отметьте пункт Copy container и скопируйте имя контейнера из Container name в Source container name; если при генерации сертификатов указывался пароль на контейнер, введите его в password;

·       задайте имя контейнера в графе User container name; в данном случае указано – \\.\REGISTRY\Adminhost. Данная запись означает, что контейнер с переносного устройства (токен или USB Flash) будет скопирован в реестр с именем Adminhost.

·       в графе User identity type выберите DistinguishedName (выбрано по умолчанию).

Рисунок 4

 

2.   Во вкладке Firewall Rules (Рисунок 5) можно настроить правила фильтрации трафика. В данном сценарии оставим настройки по умолчанию – разрешать весь трафик.

Рисунок 5

 

3.   Во вкладке IPsec Rules (Рисунок 6) добавьте правило для трафика, подлежащего шифрованию, IP-адрес шлюза, с которым будет построено защищенное соединение (Рисунок 7). Так же разрешите только SSH-трафик.

Рисунок 6

 

Рисунок 7

 

Закройте окно Add  Rule.

На вкладке IPsec  Rules повысим приоритет созданного правила, нажимая кнопку Up (Рисунок 6).

4.   Во вкладке IPsec поднимите вверх правило, соответственно настроенному на шлюзе IPsec Transform Set и выберете GroupVKO_1B (Рисунок 8).

Рисунок 8

 

5.   Во вкладке License введите регистрационные данные на продукт S-Terra Client с бланка Лицензии.

6.   Сохраните файл созданного проекта, на тот случай, если захотите в будущем сделать похожий инсталляционный пакет. Для этого нажмите File->Save Project

7.   Далее сгенерируйте инсталляционный exe-файл, нажав кнопку Make package…

8.   Вставьте в целевой компьютер AdminHost носитель с секретными ключами и установите на нем полученный инсталляционный exe-файл. Перегрузите компьютер (на операционных системах Windows 7 и Windows 8 перезагрузка не требуется).

В Приложении представлен текст LSP.