Сертификат открытого ключа

Если установка С-Терра Клиент А будет выполняться с использованием скриптов, подготовленных на Сервере управления, то сертификаты после инсталляции будут находиться в базе Продукта. Для этого администратор при настройке учетной записи С-Терра Клиент А на Cервере управления должен добавить: сертификат УЦ, локальный сертификат, а также контейнер с секретным ключом. Пример добавления приведен в разделе «Подготовка к инсталляции и настройка С-Терра Клиент А с использованием ПК «С-Терра КП».

Иначе для получения сертификата необходимо создать контейнер с ключевой парой и сформировать запрос на сертификат одним из следующих способов:

Первый способ:       Все действия по созданию ключевой пары и формированию запроса на сертификат пользователя производятся на компьютере пользователя, на котором установлен С-Терра Клиент А, либо администратором безопасности, либо пользователем. При этом контейнер создается на компьютере пользователя при формировании запроса на получение локального сертификата. Запрос отправляется на УЦ, откуда будут получены СА сертификат и сертификат пользователя. Более подробное описание приведено в «Приложении А», в разделе «Получение сертификата пользователя».

Второй способ:       Все действия по созданию ключевой пары, формированию запроса и созданию сертификата пользователя выполняются администратором СА. При этом контейнер с секретным ключом может записываться на файловую систему обычного внешнего ключевого носителя. Администратор безопасности получает от администратора СА корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы, а также контейнер с секретным ключом на внешнем носителе.

Для режима защиты КС2 ПК от НСД создание ключевой пары и запроса на сертификат пользователя должны выполняться на компьютере с установленным ССДЗ (это может быть либо компьютер пользователя, либо администратора). В этом случае при создании ключевой пары будет использоваться не биологический ДСЧ, а аппаратный. Контейнер с секретным ключом может размещаться на файловой системе жесткого диска компьютера пользователя или внешнего ключевого носителя.

Особенности генерации ключевой пары для режима защиты КС2, если для ССДЗ не поддерживается функциональность ДСЧ описаны в соответствующем разделе в «Приложении А».

Список поддерживаемых значений поля Subject сертификата и расширений сертификата (Certificate Extensions) приведен в «Приложении А».