Аутентификация с использованием сертификатов. Задание корневого и локального сертификатов

При аутентификации сторон с использованием сертификатов поставьте переключатель в положение Use  certificate:

Рисунок 8

 

При этом становятся доступными для заполнения следующие поля (кнопка с тремя точками в конце поля [...] (Open) означает, что элемент этого поля должен быть доступен (размещен) на компьютере администратора):

·       CA  certificate – здесь отражается поле Subject корневого сертификата Удостоверяющего Центра (Trusted CA Certificate). Для этого разместите на компьютере администратора файл с Trusted CA сертификатом и в конце поля нажмите кнопку [...], в открывшемсяокне выберите данный файл с СА сертификатом. Обязательный параметр.

·       User  certificate – здесь отражается поле Subject локального сертификата пользователя. Для этого разместите на компьютере администратора файл с сертификатом пользователя и в конце поля нажмите кнопку [...], в открывшемсяокне выберите данный файл с сертификатом. Обязательный параметр.

·       User  container  name – уникальное имя контейнера, размещенного на компьютере пользователя, на который будет установлен Продукт S-Terra Client. Контейнер содержит служебную информацию и секретный ключ сертификата пользователя, и не является каталогом файловой системы. Контейнеры с секретными ключами должны быть уровня компьютера. Уникальное имя контейнера включает имя считывателя, имя ключевого носителя и имя контейнера. Должен быть указан тот считыватель и ключевой носитель, на котором будет расположен контейнер на компьютере пользователя. Контейнер должен быть размещен на носителе, который поддерживается СКЗИ «КриптоПро CSP». Обязательный параметр.

Если контейнер, например, cont1 находится в Реестре, то уникальное имя контейнера имеет формат:

\\.\REGISTRY\REGISTRY\\cont1 или REGISTRY\\cont1

Если контейнер cont1 находится на дискете, то уникальное имя контейнера имеет, например, формат:

\\.\FAT12_A\FAT12\5800BE8B\cont1.000\6264 или  

FAT12\5800BE8B\cont1.000\6264

Если контейнер находится на eToken Java, то уникальное имя контейнера имеет, например, формат:

\\.\AKS ifdh 0\SCARD\ETOKEN_JAVA_00412ff9\CC00\66CF или 

SCARD\ETOKEN_JAVA_00412ff9\CC00\66CF 

Если в СКЗИ зарегистрировано более одного считывателя для eToken, то в имени контейнера обязательно укажите имя считывателя – AKS  ifdh 0 или  AKS  ifdh  1. 

Чтобы узнать уникальное имя контейнера, размещенного на внешнем ключевом носителе, выполните следующие действия:

·  подключите этот носитель к компьютеру администратора (см. в «Приложении» разделы «Подключение внешних ключевых считывателей», «Настройка внешнего считывателя и ключевого носителя в «КриптоПро CSP») 

·       установите флажок Check  consistency  now  (описан ниже)

·       нажмите кнопку [...] в конце поля  Container  name

·       открывшееся окно Container list (Рисунок 9) содержит список доступных контейнеров с уникальными именами, включающее считыватель, ключевой носитель и имя контейнера в hex-цифрах. Выберите нужный контейнер и нажмите кнопку ОК

·       скопируйте уникальное имя контейнера из поля Container  name в поле User  container  name. После этого флажок Check consistency now можно снять.


Рисунок 9

 

·       User container password – пароль к контейнеру. При использовании eToken в этом поле нужно указать PIN-код к токену.

·       Key  type – тип секретного ключа, хранящегося в контейнере. Этот выпадающий список имеет три значения:

·      Autodetect – тип ключа будет определяться автоматически при первом обращении к контейнеру секретного ключа. Определение типа ключа основано на проверке соответствия открытого ключа сертификата пользователя и секретного ключа в контейнере. Значение по умолчанию.

·      Signature – ключ для подписи.

·      Exchange – ключ для обмена.

Это поле доступно для выбора, если не будет установлен флажок Check  consistency  now. Если создание ключевой пары и запроса на сертификат пользователя производились средствами MS CA (см. «Приложение») и был указан тип ключа both или  exchange, то и здесь нужно выбрать exchange, а если был указан signature, то и здесь нужно выбрать signature. Если администратору тип ключа неизвестен, то рекомендуется выбирать значение Autodetect.

·       User  identity  type – тип идентификационной информации, пересылаемой партнеру при создании защищенного соединения. Обязательный параметр. Поле содержит выпадающий список со следующими значениями:

·      Distinguished  Name – в качестве идентификатора партнеру будет высылаться значение Subject из сертификата пользователя, показываемое в поле User  identity  value, если оно там задано. Значение по умолчанию.

·      Email – в качестве идентификатора партнеру будет высылаться значение поля E-mail расширения сертификата пользователя, показываемое в поле User identity value, если оно там задано.

·      FQDN – в качестве идентификатора партнеру будет высылаться значение доменного имени хоста, считываемое из поля DNS расширения сертификата и показываемое в поле User  identity  value, если оно там задано.

·      IPV4Addr – в качестве идентификатора партнеру будет высылаться первый IP-адрес, указанный в расширении сертификата, и показываемый в поле User  identity  value, если он там задан.

·      Local  IP  address – в качестве идентификатора партнеру будет высылаться действительный IP-адрес хоста, на котором будет установлен S-Terra Client.

·       User  identity  value – идентификационная информация, пересылаемая партнеру. Поле доступно только для чтения и заполняется автоматически, соответствующим типу идентификатора значением, считываемым из сертификата пользователя. Заполнение происходит в момент выбора типа идентификатора или изменения имени файла с сертификатом пользователя. Параметр обязательный.

·       Check  consistency  now – установка этого флажка означает, что при создании инсталляционного файла будет проведена проверка соответствия сертификата пользователя и секретного ключа в контейнере. Для этого внешний носитель с контейнером надо подключить к компьютеру администратора. Имя контейнера указывается в поле Container  name, а пароль к нему – в поле Container  password.

·       Container  name – уникальное имя контейнера для проведения проверки на компьютере администратора. При нажатии кнопки […] появится окно Container  list (Рисунок 9) со списком контейнеров на всех ключевых носителях, подключенных к компьютеру администратора. Уникальное имя контейнера включает считыватель, ключевой носитель и имя контейнера в hex-цифрах. Выберите нужный контейнер для проверки и нажмите ОК. В поле Container  name появится уникальное имя контейнера.

·       Container  password – пароль к контейнеру с секретным ключом.

·       Copy  container – установка этого флажка означает, что во время инсталляции S-Terra Client на компьютере пользователя будет проведено копирование контейнера с именем, указанным в поле Source  container  name, в контейнер с именем, указанным в поле User  container  name.

·       Source  container  name – имя контейнера на компьютере пользователя, который будет скопирован.

·       Source  container  password – пароль к контейнеру с секретным ключом.