Команда cert_mgr create предназначена для генерации ключевой пары и создания запроса на сертификат открытого ключа.
Список поддерживаемых значений поля Subject сертификата и расширений сертификата (Certificate Extensions) приведен в Приложении.
Синтаксис
cert_mgr [-T
timeout] create -subj CERT_SUBJ [-RSA|-DSA|-GOST_R3410EL|
-GOST_R341012_256|-GOST_R341012_512] [-512|-1024] [-mail MAIL]
[-ip IP_ADDR] [-ku_bits KU_BITS] [-eku_oids EKU_OIDS] [-dns DNS] [-kc K_CONTAINER_NAME]
[-kcp K_CONTAINER_PWD] [-f OUT_DER_FILE_NAME] [-fb64
OUT_BASE64_FILE_NAME]
-T timeout время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд
-subj CERT_SUBJ значение поля Subject Name сертификата
-RSA идентификатор алгоритма RSA, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса
-DSA идентификатор алгоритма DSA, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса
-GOST_R3410EL идентификатор алгоритма ГОСТ Р 34.10-2001, который будет использован для генерации ключевой пары. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса
-GOST_R341012_256 идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса. Применяется только при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи» и «КриптоПро CSP 4.0»
-GOST_R341012_512 идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 512 бит. Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса. Применяется только при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи» и «КриптоПро CSP 4.0»
-512 длина открытого ключа – 512 бит (только для алгоритмов RSA и DSA)
-1024 длина открытого ключа – 1024 бита (только для алгоритмов RSA и DSA)
-mail MAIL значение поля Mail для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца
-ip IP_ADDR значение поля IP Address для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца
-dns DNS значение поля DNS для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца
-ku_bits KU_BITS "" или список с элементами из: digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign, encipherOnly, decipherOnly. Указывать имена элементов можно с использованием любого регистра (верхний/нижний)
-eku_oids EKU_OIDS "" или список из OID из набора OID “KeyPurposeId”
-kc K_CONTAINER_NAME имя контейнера с секретным ключом. Формат контейнеров PKCS#15. Если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи», то имя контейнера должно иметь вид – file_p15://cont_name или etoken_p15://cont_name
-kcp K_CONTAINER_PWD пароль к контейнеру с секретным ключом
-f OUT_DER_FILE_NAME имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в бинарной кодировке DER
-fb64 OUT_BASE64_FILE_NAME имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в текстовой кодировке BASE64.
Значение по умолчанию
По умолчанию используется алгоритм RSA и открытый ключ длиной 512 бит.
Рекомендации по использованию
В режиме КС1, в момент генерации ключевой пары (по алгоритму ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012) запускается «биологическая» инициализация датчика случайных чисел, поэтому на консоли появляется просьба понажимать любые клавиши.
Команда cert_mgr create позволяет сохранить контейнер с секретным ключом на шлюзе безопасности, избежав ситуации переноса контейнера с одного носителя на другой. Если в команде не указать имя контейнера, он будет создан и размещен на жестком диске с именем:
\\.\HDIMAGE\HDIMAGE\\vpnXXXXXXXX (если используется СКЗИ «КриптоПро CSP»)
или
file_p15://vpnXXXXXXXX (если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи»),
где
vpnXXXXXXXX – автоматически сформированное уникальное имя контейнера.
Если в команде не указать имя файла для размещения запроса, то сформированный запрос будет выведен на экран в формате PEM.
Запрос защищается от подмены при помощи ЭЦП, которая формируется с использованием созданного секретного ключа и выбранного алгоритма ЭЦП.
Одновременно хранится только один сертификатный запрос. При генерации следующего запроса и незаконченном первом (по которому не создан сертификат), старый запрос удаляется. При таком удалении неиспользованного запроса будет так же удаляться и контейнер, с ним связанный.
В режиме КС2/КС3 при
генерации ключевой пары может применяться датчик случайных чисел АПМДЗ.
Ключевую пару можно разместить в контейнере на жестком диске.
В случае если для используемого АМПДЗ не поддерживается функциональность
ДСЧ, то рекомендуемые действия описаны в документе «Настройки
шлюза», в разделе «Особенности генерации ключевой
пары для исполнения класса защиты КС2/КС3».
Создание ключевой пары и запроса на сертификат с использованием алгоритма ГОСТ можно выполнить при помощи утилиты excont_mgr, а также утилит, предоставленных криптопровайдерами и входящими в состав S-Terra Gate:
cryptcp – размещена в каталоге /opt/cprocsp/bin/ia32 или /opt/cprocsp/bin/amd64 (при использовании СКЗИ «КриптоПро CSP»)
cont_mgr – при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи»).
Процедура получения сертификата описана в документе «Программный комплекс С-Терра Шлюз. Версия 4.2. Приложение».
Работа с eToken
Если создание контейнера и запроса на локальный сертификат выполняется на токене, то использование опции kcp обязательно. В качестве пароля к контейнеру должен использоваться PIN-код к токену.
Пример
Ниже приведен пример создания запроса на сертификат с использованием алгоритма ГОСТ Р 34.10-2001:
cert_mgr create -subj "O=S-Terra,CN=LocalCert" -GOST_R3410EL -dns local.s-terra.com -f /opt/VPNagent/bin/certs/local_cert
Пример создания запроса на локальный сертификат и контейнера на токене (при использовании криптобиблиотеки компании «С-Терра СиЭсПи»):
cert_mgr create -subj "O=S-Terra,CN=LocalCert" -GOST_R3410EL -kc etoken_p15://h1 -kcp 1234