cert_mgr create

Команда cert_mgr  create предназначена для генерации ключевой пары и создания запроса на сертификат открытого ключа.

Синтаксис 

cert_mgr [-T timeout] create -subj CERT_SUBJ [-RSA|-DSA|-GOST_R3410EL|
-GOST_R341012_256|-GOST_R341012_512] [-512|-1024] [-mail MAIL]
[-ip IP_ADDR] [-dns DNS] [-kc K_CONTAINER_NAME] [-kcp K_CONTAINER_PWD]
[-f OUT_FILE_NAME]

-T  timeout         время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд

-subj  CERT_SUBJ     значение поля Subject  Name сертификата

-RSA          идентификатор алгоритма RSA, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса

-DSA          идентификатор алгоритма DSA, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса

-GOST_R3410EL  идентификатор алгоритма ГОСТ Р 34.10-2001, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса

-GOST_R341012_256     идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса. Применяется только при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»

-GOST_R341012_512     идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 512 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса. Применяется только при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»

-512          длина открытого ключа – 512 бит (только для алгоритмов RSA и DSA)

-1024         длина открытого ключа – 1024 бита (только для алгоритмов RSA и DSA)

-mail  MAIL    значение поля Mail для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца

-ip  IP_ADDR   значение поля IP Address для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца

-dns  DNS      значение поля DNS для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца

-kc  K_CONTAINER_NAME      имя контейнера с секретным ключом

-kcp  K_CONTAINER_PWD      пароль к контейнеру с секретным ключом

-f  OUT_FILE_NAME    имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в бинарной кодировке DER.

Значение по умолчанию

По умолчанию используется алгоритм RSA и открытый ключ длиной 512 бит.

 

Рекомендации по использованию

В режиме КС1, в момент генерации ключевой пары (по алгоритму ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012) запускается «биологическая» инициализация датчика случайных чисел, поэтому на консоли появляется просьба понажимать любые клавиши.

Команда cert_mgr  create позволяет сохранить контейнер с секретным ключом на шлюзе безопасности, избежав ситуации переноса контейнера с одного носителя на другой. Если в команде не указать имя контейнера, он будет создан и размещен на жестком диске с именем:

\\.\HDIMAGE\HDIMAGE\\vpnXXXXXXXX (если используется СКЗИ «КриптоПро CSP»)

или

file://vpnXXXXXXXX (если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи»), 

где

vpnXXXXXXXX – автоматически сформированное уникальное имя контейнера.

Если в команде не указать имя файла для размещения запроса, то сформированный запрос будет выведен на экран в формате PEM.

Запрос защищается от подмены при помощи ЭЦП, которая формируется с использованием созданного секретного ключа и выбранного алгоритма ЭЦП.

Одновременно хранится только один сертификатный запрос. При генерации следующего запроса и незаконченном первом (по которому не создан сертификат), старый запрос удаляется. При таком удалении неиспользованного запроса будет так же удаляться и контейнер, с ним связанный.

В режиме КС2/КС3 при генерации ключевой пары может применяться датчик случайных чисел ПАК «Соболь» версии 3.0, либо «Аккорд-АМДЗ» 5.5E (только при использовании криптобиблиотеки компании «С-Терра СиЭсПи»), либо биологический ДСЧ (только при использовании криптобиблиотеки компаниии «С-Терра СиЭсПи»). Ключевую пару можно разместить в контейнере на жестком диске.
В случае если для используемого АМПДЗ не поддерживается функциональность ДСЧ, то рекомендуемые действия описаны в документе «Настройки шлюза», в разделе «Особенности генерации ключевой пары для исполнения класса защиты КС2/КС3, если для АМПДЗ не поддерживается функциональность ДСЧ».

 

Создание ключевой пары и запроса на сертификат с использованием алгоритма ГОСТ можно также выполнить и при помощи утилит, предоставленных криптопровайдерами, и входящими в состав S-Terra Gate:

·       cryptcp – размещена в каталоге /opt/cprocsp/bin/ia32 или /opt/cprocsp/bin/amd64 (при использовании СКЗИ «КриптоПро CSP»)

·       cont_mgr – размещена в каталоге /opt/VPNagent/bin (при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»).

Процедура создания запроса с использованием этих утилит описана в документе «Программный комплекс С-Терра Шлюз. Версия 4.1. Приложение».

 

Работа с eToken 

Если создания контейнера и запроса на локальный сертификат выполняется на токене, то использование опции kcp обязательно. В качестве пароля к контейнеру должен использоваться PIN-код к токену.

 

Пример

Ниже приведен пример создания запроса на сертификат с использованием алгоритма ГОСТ Р 34.10-2001:

cert_mgr create -subj "O=S-Terra,CN=LocalCert" -GOST_R3410EL -dns local.s-terra.com -f /opt/VPNagent/bin/certs/local_cert

Пример создания запроса на локальный сертификат и контейнера на токене (при использовании криптобиблиотеки компании «С-Терра СиЭсПи»):

cert_mgr create -subj "O=S-Terra,CN=LocalCert" -GOST_R3410EL -kc system::etoken://h1 -kcp 1234