Утилита make_inst предоставляет администратору безопасности интерфейс командной строки для задания локальных настроек Продукта С-Терра Клиент и создания инсталляционного файла Продукта С-Терра Клиент для пользователя.
При использовании предопределенного ключа для аутентификации сторон предоставляется возможность считывать созданный ключ из файла либо задать его значение в командной строке.
При подготовке сертификатов возможны два сценария, которые отличаются тем, кто создает ключевую пару для локального сертификата пользователя и на каком ключевом носителе размещен контейнер c секретным ключом локального сертификата, имеет ли администратор на своем рабочем месте доступ к этому контейнеру (см. описание в разделе «Атрибуты аутентификации»). Контейнер с секретным ключом должен быть уровня компьютера.
Первый сценарий
Шаг 1: Администратор безопасности получает от администратора СА Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы, и также контейнер на внешнем носителе.
Поэтому в данном сценарии возможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности задает локальную политику безопасности (LSP) для данного пользователя в виде текстового файла (см. раздел «Создание локальной политики безопасности. Конфигурационный файл»).
Шаг 3: Администратор безопасности на своем рабочем месте запускает команду make_inst, в опциях задает файл с LSP для данного пользователя, путь к локальному и СА сертификату, имя контейнера с секретным ключом – где он будет размещен на компьютере пользователя, локальные настройки, создает инсталляционный файл С-Терра Клиент.
Шаг 4: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, в который входят:
· инсталляционный файл С-Терра Клиент;
· контейнер с секретным ключом на внешнем ключевом носителе;
· утилита integr_mgr;
· файл с контрольной суммой инсталляционного файла С-Терра Клиент.
Контейнер и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи. Инсталляционный файл С-Терра Клиент содержит базовый инсталляционный файл, локальную политику безопасности, сертификат пользователя и СА сертификат, персональные настройки.
Если администратор подготовил пользовательский токен, то пользователю передается подготовленный инсталляционный пакет, в состав которого входят:
· инсталляционный файл С-Терра Клиент;
· пользовательский токен с записанным на нем СА сертификатом, локальным сертификатом, контейнером с секретным ключом и локальной политикой безопасности;
· утилита integr_mgr для вычисления контрольной суммы;
· файл с контрольной суммой инсталляционного файла С-Терра Клиент.
Пользовательский токен и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи.
Второй сценарий
Шаг 1: На компьютере пользователя создается ключевая пара и запрос на сертификат пользователя, который отсылается в Удостоверяющий Центр. Контейнер с секретным ключом размещается на компьютере пользователя. Администратор безопасности получает Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы.
Администратор безопасности в результате на своем рабочем месте не имеет доступа к контейнеру, поэтому в данном сценарии невозможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.
Шаг 2: Администратор безопасности задает локальную политику безопасности (LSP) для данного пользователя в виде текстового файла (см. раздел «Создание локальной политики безопасности. Конфигурационный файл»).
Шаг 3: Администратор безопасности на своем рабочем месте запускает команду make_inst, в опциях задает файл с LSP для данного пользователя, путь к локальному и СА сертификату, имя контейнера на компьютере пользователя, локальные настройки, и создает инсталляционный файл С-Терра Клиент.
Шаг 4: Администратор безопасности передает пользователю подготовленный инсталляционный пакет, в который входят:
· инсталляционный файл С-Терра Клиент
· утилита integr_mgr для вычисления контрольной суммы
· файл с контрольной суммой инсталляционного файла С-Терра Клиент.
Файл с контрольной суммой должен быть передан пользователю по заслуживающему доверия каналу связи. Инсталляционный файл С-Терра Клиент содержит базовый инсталляционный файл, локальную политику безопасности, СА сертификат, локальный сертификат, ссылку местоположения контейнера на компьютере пользователя и персональные настройки.
Подготовить инсталляционный пакет можно в одном из следующих режимов:
· основной режим – при создании инсталляционного файла С-Терра Клиент используются алгоритмы ГОСТ при шифровании, проверки целостности пакетов, формировании и проверки ЭЦП;
· режим международных алгоритмов – при создании инсталляционного файла С-Терра Клиент используются международные алгоритмы шифрования, проверки целостности пакетов и ЭЦП;
· режим пользовательского токена.
С помощью утилиты make_inst можно создать одновременно инсталляционные файлы С-Терра Клиент для большого количества пользователей (см. раздел «Создание нескольких инсталляционных пакетов одновременно»).
Все сообщения, выдаваемые утилитой make_inst в процессе ее работы, выводятся в файл make_inst_log.txt (при каждом создании инсталляционного файла make_inst_log.txt переписывается).