В связи с тем, что платформа МСМ не оснащена физическим ДСЧ, в процедуре подготовки контейнеров при смене пароля или регистрации новых пользователей есть особенности, которые описаны ниже.
При подготовке контейнеров для «С-Терра Шлюз» на платформе МСМ возможны два варианта:
1. Администратор, используя СКЗИ «КриптоПро CSP», может создать контейнеры на своем рабочем месте и затем доставить их на МСМ.
Для создания контейнера используйте утилиту csptest (пример см. выше).
Выполните копирование контейнера с секретным ключом с одного ключевого носителя на другой следующей командой, например:
csptest -keycopy -machinekeyset -src '\\.\media\src_cont' -dest '\\.\media\dst_cont'
Если на модуле применяется криптобиблиотека компании «С-Терра СиЭсПи», доставленные контейнеры нужно конвертировать с помощью команды cpkey_conv (описание утилиты приведено в документе «Специализированные команды»).
2. Администратор, используя СКЗИ «КриптоПро CSP» (класс защиты КС2/КС3) и электронный замок «Соболь», может изготовить внешнюю гамму, доставить ее безопасным способом на МСМ и затем, используя утилиту csptest или cont_mgr, как это описано выше, создать на МСМ контейнеры с секретными ключами.
Для изготовления внешней гаммы в командной строке запустите утилиту genkpim, например:
genkpim.exe 500 12121111 f:\gamma
500 – необходимое количество случайных отрезков гаммы для записи на носитель,
12121111 – номер комплекта внешней гаммы (8 символов в 16-ричном коде),
f:\gamma – путь на носителе, по которому будет записан файл с внешней гаммой.
В результате выполнения команды создается файл kis_1, который записывается на носитель по пути f:\gamma дублированием в два каталога: DB1 и DB2.
Далее действия будут различаться в зависимости от используемого СКЗИ:
· В случае использования СКЗИ «КриптоПро CSP», выполните копирование файлов с внешней гаммой с носителя на МСМ в следующие каталоги: /var/opt/cprocsp/dsrf/db1/ и /var/opt/cprocsp/dsrf/db2/ соответственно.
· В случае использования криптобиблиотеки от компании «С-Терра СиЭсПи», выполните копирование одного файла с внешней гаммой с носителя на МСМ, в каталог /var/s-terra/ext-gamma. Переименуйте файл с внешней гаммой в eg_data.
В конфигурационном файле /etc/S-Terra/skzi.conf пропишите путь до каталога с внешней гаммой:
ExtGammaPath=/var/s-terra/ext-gamma
Надёжно удалите файлы с внешней гаммой с носителя. После этого перезагрузите модуль и создайте контейнеры с секретными ключами.