Утилита make_inst предоставляет администратору безопасности интерфейс командной строки для задания локальных настроек Продукта S-Terra Client и создания инсталляционного файла Продукта S-Terra Client для пользователя.
При использовании предопределенного ключа для аутентификации сторон предоставляется возможность считывать созданный ключ из файла либо задать его значение в командной строке.
При подготовке сертификатов возможны два сценария, которые отличаются тем, кто создает ключевую пару для локального сертификата пользователя и на каком ключевом носителе размещен контейнер c секретным ключом локального сертификата, имеет ли администратор на своем рабочем месте доступ к этому контейнеру (см. описание в разделе «Атрибуты аутентификации»). Контейнер с секретным ключом должен быть уровня компьютера.
Первый сценарий
Шаг 1: Администратор безопасности получает от администратора СА Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы, и также контейнер на внешнем носителе.
Поэтому в данном сценарии возможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности задает локальную политику безопасности (LSP) для данного пользователя в виде текстового файла (см. раздел «Создание локальной политики безопасности. Конфигурационный файл»).
Шаг 3: Администратор безопасности на своем рабочем месте запускает команду make_inst, в опциях задает файл с LSP для данного пользователя, путь к локальному и СА сертификату, имя контейнера с секретным ключом – где он будет размещен на компьютере пользователя, локальные настройки, создает инсталляционный файл S-Terra Client.
Шаг 4: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, в который входят:
· инсталляционный файл S-Terra Client;
· контейнер с секретным ключом на внешнем ключевом носителе;
· утилита integr_mgr;
· файл с контрольной суммой инсталляционного файла S-Terra Client.
Контейнер и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи. Инсталляционный файл S-Terra Client содержит базовый инсталляционный файл, локальную политику безопасности, сертификат пользователя и СА сертификат, персональные настройки.
Если администратор подготовил пользовательский токен, то пользователю передается подготовленный инсталляционный пакет, в состав которого входят:
· инсталляционный файл S-Terra Client;
· пользовательский токен с записанным на нем СА сертификатом, локальным сертификатом, контейнером с секретным ключом и локальной политикой безопасности;
· утилита integr_mgr для вычисления контрольной суммы;
· файл с контрольной суммой инсталляционного файла S-Terra Client.
Пользовательский токен и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи.
Второй сценарий
Шаг 1: На компьютере пользователя создается ключевая пара и запрос на сертификат пользователя, который отсылается в Удостоверяющий Центр. Контейнер с секретным ключом размещается на компьютере пользователя в локальном хранилище (Реестре). Администратор безопасности получает Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы.
Администратор безопасности в результате на своем рабочем месте не имеет доступа к контейнеру, поэтому в данном сценарии невозможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности задает локальную политику безопасности (LSP) для данного пользователя в виде текстового файла (см. раздел «Создание локальной политики безопасности. Конфигурационный файл»).
Шаг 3: Администратор безопасности на своем рабочем месте запускает команду make_inst, в опциях задает файл с LSP для данного пользователя, путь к локальному и СА сертификату, имя контейнера на компьютере пользователя, локальные настройки, и создает инсталляционный файл S-Terra Client.
Шаг 4: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, в который входят:
· инсталляционный файл S-Terra Client
· утилита integr_mgr для вычисления контрольной суммы
· файл с контрольной суммой инсталляционного файла S-Terra Client.
Файл с контрольной суммой должен быть передан пользователю по заслуживающему доверия каналу связи. Инсталляционный файл S-Terra Client содержит базовый инсталляционный файл, локальную политику безопасности, СА сертификат, локальный сертификат, ссылку местоположения контейнера на компьютере пользователя и персональные настройки.
Подготовить инсталляционный пакет можно в одном из следующих режимов:
· основной режим – при создании инсталляционного файла S-Terra Client используются алгоритмы ГОСТ при шифровании, проверки целостности пакетов, формировании и проверки ЭЦП;
· режим международных алгоритмов – при создании инсталляционного файла S-Terra Client используются международные алгоритмы шифрования, проверки целостности пакетов и ЭЦП;
· режим пользовательского токена.
С помощью утилиты make_inst можно создать одновременно инсталляционные файлы S-Terra Client для большого количества пользователей (см. раздел «Создание нескольких инсталляционных пакетов одновременно»).
Все сообщения, выдаваемые утилитой make_inst в процессе ее работы, выводятся в файл make_inst_log.txt (при каждом создании инсталляционного файла make_inst_log.txt переписывается).