В данном разделе приведен пример регистрации доверенного сертификата УЦ и локального сертификата, выданного данным УЦ, а также пример формирования запроса на локальный сертификат.
Все действия по созданию ключевой пары и формированию запроса на сертификат пользователя производятся на компьютере пользователя, на котором установлен С-Терра Клиент А администратором безопасности. При этом контейнер создается на компьютере пользователя при формировании запроса на получение локального сертификата. Запрос отправляется на УЦ, откуда будут получены СА сертификат и сертификат пользователя.
Регистрация сертификатов выполняется с использованием специализированной утилиты cert_mgr, описанной в документе «Специализированные команды».
Пример:
1. Доставьте доверенный СА сертификат на компьютер с установленным С-Терра Клиент А. Затем, использовав утилиту cert_mgr, зарегистрируйте сертификат в базе Продукта:
root@astra:/# cert_mgr import -f /tmp/CA.cer -t
1 OK C=RU,O=S-Terra,CN=autosterraCA
Ключ -t в данной команде указывает на то, что импортируемый сертификат – доверенный сертификат УЦ.
2. Если локальный сертификат отсутствует, то сформируйте запрос на локальный сертификат при помощи утилиты cert_mgr:
root@astra:/# cert_mgr create -subj "C=RU,O=S-Terra CSP,OU=Research,CN=GW1" -GOST_R341012_256
-----BEGIN CERTIFICATE REQUEST-----
MIIBJTCB0QIBADBEMQswCQYDVQQGEwJSVTEUMBIGA1UEChMLUy1UZXJyYSBD
U1AxETAPBgNVBAsTCFJlc2VhcmNoMQwwCgYDVQQDEwNHVzEwZjAfBggqhQMH
AQEBATATBgcqhQMCAiMBBggqhQMHAQECAgNDAARAiKM+W/d0pkYGsSn3yTt0
qJ7sxaUW6T4ITkKJLNUtS6CmDtarBdn7/vSt2fD7FE0Kg6pI6btXJ4qOjdr+
AF33eqAeMBwGCSqGSIb3DQEJDjEPMA0wCwYDVR0PBAQDAgeAMAwGCCqFAwcB
AQMCBQADQQDerXpEU5oynONCgp0kooQmCwae/JEaS0Ibll1ZlaFxdPFQnpzy
CudlallKEY/P4bIEP89BOwxB4mOS7cEpsKaI
-----END CERTIFICATE REQUEST-----
Ключ -subj задает поля сертификата.
Ключ -GOST_R341012_256 предполагает использование ГОСТ Р 34.10-2012.
При формировании запроса на локальный сертификат создается контейнер с секретным ключом. Для вывода списка контейнеров воспользуйтесь специализированной командой cont_mgr show.
3. Полученный запрос на локальный сертификат передайте в Удостоверяющий Центр. Более подробное описание процедуры выдачи локального сертификата на УЦ приведено в «Приложении А», в разделе «Получение сертификата пользователя».
4. Доставьте локальный сертификат на компьютер пользователя с установленным С-Терра Клиент А. Затем зарегистрируйте локальный сертификат в базе Продукта, применив утилиту cert_mgr:
root@astra:/# cert_mgr import -f /tmp/local.cer
1 OK C=RU,O=S-Terra CSP,OU=Research,CN=GW1
5. Убедитесь, что сертификаты импортированы успешно. Для просмотра сертификатов, размещенных базе Продукта, воспользуйтесь специализированной командой cert_mgr show.
root@astra:/# cert_mgr show
Found 2 certificates. No CRLs found.
1 Status: trusted C=RU,O=S-Terra,CN=autosterraCA
2 Status: local C=RU,O=S-Terra CSP,OU=Research,CN=GW1
Внимание 1: |
Для доступа к настройкам С-Терра Клиент А необходимо аутентифицироваться. В противном случае появится ошибка “Error code: NOT LOGGED IN”. Более подробную информацию о процедуре регистрации пользователя можно посмотреть в разделе «Регистрация пользователя в С-Терра Клиент А». |
Внимание 2: |
Для использования утилиты cert_mgr требуются права Администратора. Для того, чтобы получить права пользователя root введите в терминале Fly команду sudo su. |
Внимание 3: |
Пользователь также должен иметь право изменять настройки Продукта. Если у пользователя такого права нет, по появится сообщение: “Error: Local management is not allowed”. Для включения службы LocalManagement измените параметр LocalManagement=0 на 1 в файле /opt/VPNagent/etc/local_preferences.ini. Затем пересчитайте контрольную сумму файла, выполнив команду: integr_mgr calc -f /opt/VPNagent/etc/local_preferences.ini. |
Далее загрузите политику безопасности из конфигурационного файла. Пример загрузки приведен в разделе «Загрузка политики безопасности из файла».