Генерация ключевой пары и запроса на сертификат

Закрытый ключ для сертификата устройства Remote_VPN-client будет сгенерирован на Admin_workstation при помощи утилиты excont_mgr с использованием биологического датчика случайных чисел (БИО ДСЧ).

1.    Запустите командною строку (CMD) от имени администратора (см. рисунок 7).

Рисунок 7. Запуск командной строки (CMD) от имени администратора

2.    Перейдите в директорию, в которой установлено ПО «С-Терра AdminTool»:

C:\Windows\system32>cd "C:\Program Files (x86)\S-Terra Client AdminTool st"

 

C:\Program Files (x86)\S-Terra Client AdminTool st>

3.    Запустите процесс генерации ключевой пары и запроса на сертификат устройства Remote_VPN-client с сохранением запроса в файл C:\Remote_VPN-client.request:

C:\Program Files (x86)\S-Terra Client AdminTool st> excont_mgr.exe create_req -subj "C=RU,O=S-Terra CSP,OU=Research,CN=Remote_VPN-client" -GOST_R341012_256 -kc Remote_VPN-client -kcp password -fo C:\Remote_VPN-client.request

·         ключ –subj задает отличительное имя (Distinguished Name, DN) сертификата.

Отличительное имя сертификата должно быть уникальным для каждого устройства.

·         ключ -GOST_R341012_256 задает использование алгоритма открытого ключа, в данном сценарии используется алгоритм ГОСТ R 34.10-2012-256.

На УЦ для поддержки алгоритма ГОСТ R 34.10-2012-256 должно быть установлено СКЗИ «КриптоПро CSP» версии 4.0 или новее.

·         ключ –kc задает имя ключевого контейнера на устройстве Admin_workstation.

Полное имя контейнера будет иметь вид: file_p15://<container_name>, например, file_p15://Remote_VPN-client. Для просмотра всех контейнеров на устройстве Admin_workstation воспользуйтесь командой: excont_mgr.exe show_cont.

·         ключ kcp задает пароль для ключевого контейнера на устройстве Admin_workstation.

·         Ключ fo задает месторасположение запроса на сертификат устройства Remote_VPN-client.

3.1.     Нажимайте предлагаемые клавиши на клавиатуре:

Progress: [********* ]

Press key: U

После завершения работы БИО ДСЧ файл запроса будет расположен в файле C:\Remote_VPN-client.request.

4.    Выпустите при помощи УЦ на основе файла запроса Remote_VPN-client.request сертификат для устройства Remote_VPN-client.

5.    Доставьте выпущенный сертификат на Admin_workstation и сохраните его на диск C:\ под именем Remote_VPN-client.cer.

6.    Доставьте на Admin_workstation сертификат УЦ и сохраните его на диск C:\ под именем ca.cer.

Сертификат УЦ должен доставляться доверенным способом.

Все готово для того, чтобы создать политику безопасности для устройства Remote_VPN-client и выпустить установочный пакет.