Создание обновления с параметрами ключевой пары и запроса на сертификат

1.    На управляемом VPN устройстве с OC Windows в «КриптоПро CSP» должен быть установлен ключевой считыватель, например, Реестр.

2.      В консоли С-Терра КП сразу для двух управляемых VPN устройств создайте обновление, которое создаст новые ключевые контейнеры и запрос на сертификат открытого ключа. Для этого выделите предложение Functions – Key pairs – Generate (Рисунок 183).

 

Рисунок 183

3.      В открывшемся окне (Рисунок 184) можно выбрать алгоритм (Public key algorithm), заполнить поля DN сертификата в поле Certificate subject, выбрать имя для контейнера. Задайте пароль на контейнер и его подтверждение, в который будет размещена ключевая пара для локального сертификата. Нажмите кнопку ОК.

  

Рисунок 184

4.      Окно Make key pair имеет следующие поля:

      Creation time – дата и время создания обновления

      Container name – имя контейнера на управляемом VPN устройстве, в который будет записана ключевая пара. Если это поле не задано, то имя контейнера будет подобрано автоматически. При указании имени оно должно быть уникальным и включать имя считывателя, если на управляемом устройстве инсталлировано несколько считывателей. Например,

\\.\REGISTRY\REGISTRY\\cont1
 или
\\.\HDIMAGE\HDIMAGE\\cont1 (еслииспользуется СКЗИ «КриптоПро CSP»)

file_p15://cont2 (если используется криптобиблиотека S-Terra)

      Public key algorithm - алгоритм публичного ключа:

GOST_R3410EL – идентификатор алгоритма ГОСТ Р 34.10-2001, который будет использован для генерации ключевой пары

GOST_R341012_256 – идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит.

GOST_R341012_512 – идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 512 бит.

      Container password – пароль для защиты контейнера. Если это поле не задано, то пароль для контейнера будет считаться пустым

      Confirm password – поле для повторного ввода пароля. Должно совпадать со значением Container password.

•      Certificate subject – строка, используемая в качестве поля Subject при создании запроса на сертификат. В этой строке можно использовать макросы, такие как %UPAgentID%, %UPAgentGroup% и т.п, которые будут заменены на их значения (список макросов, которые можно использовать, совпадает с переменными, передаваемыми в файл cook.bat при его запуске, и отображается в контекстном меню учетной записи управляемого VPN устройства - Properties).

Внимание!

Обратите внимание, что в поле Certificate subject возможно также указать системные переменные, не входящие в список Client properties, значения которых будут впоследствии отображены в строке Certificate subject созданного контейнера.

5.      После этого в таблице появятся новые обновления с параметрами ключевых пар и контейнеров для данных управляемых VPN устройств (Рисунок 185). Количество активных обновлений (столбец Active updates) увеличится на единицу.

 

Рисунок 185

6.      На центральном шлюзе обновление применяется автоматически. На управляемом VPN устройстве с С-Терра Клиент появляется уведомление о поступлении обновления (см. раздел «Действия администратора при обновлении»). Для применения обновления дважды кликните мышкой на иконке в трее задач с уведомлением, в открывшемся окне нажмите кнопку Применить. Через некоторое время (до 5 минут) обновления будут применены на устройствах, что отразится в таблице консоли С-Терра КП (Рисунок 186). Количество успешных примененных обновлений увеличится на единицу, а количество готовых к скачиванию - уменьшится на единицу.

 

Рисунок 186

7.      В результате на каждом управляемом VPN устройстве будет создан контейнер с ключевой парой и запрос на сертификат, которые можно увидеть в консоли С-Терра КП. Для выделенной учетной записи управляемого VPN устройства в контекстном меню выберите предложение Show (Рисунок 187).

 

Рисунок 187

 

Рисунок 188

8.      Во вкладке Containers для gate0 появилась запись о созданном контейнере и запросе на сертификат (Рисунок 188):

      container name – имя созданного контейнера на жестком диске

      is used: FALSE – признак того, что контейнер не используется VPN продуктом S-Terra Gate/CSP VPN Gate

      password id – уникальный идентификатор пароля к контейнеру

      certificate subject – строка, которая использовалась в качестве поля Subject при создании запроса на сертификат

      тело запроса на сертификат.

9.      Для управляемого VPN устройства  “client01” контейнер размещен в файловой системе устройства (Рисунок 189).

 

Рисунок 189