Сценарии подготовки инсталляционного пакета с помощью утилиты make_inst

Утилита make_inst предоставляет администратору безопасности интерфейс командной строки для задания локальных настроек Продукта С-Терра Клиент и создания инсталляционного файла ПК «С-Терра Клиент ST. Версия 4.3» для пользователя.

При использовании предопределенного ключа для аутентификации сторон предоставляется возможность считывать созданный ключ из файла либо задать его значение в командной строке.

При подготовке сертификатов возможны два сценария, которые отличаются тем, кто создает ключевую пару для локального сертификата пользователя и на каком ключевом носителе размещен контейнер c секретным ключом локального сертификата, имеет ли администратор на своем рабочем месте доступ к этому контейнеру (см. описание в разделе «Атрибуты аутентификации»). Контейнер с секретным ключом должен быть уровня компьютера.

 

Первый сценарий

Шаг 1:      Администратор безопасности получает от администратора СА Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы, и также контейнер на внешнем носителе.

               Поэтому в данном сценарии возможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.

Шаг 2:      Администратор безопасности задает локальную политику безопасности (LSP) для данного пользователя в виде текстового файла (см. раздел "Создание конфигурационного файла").

Шаг 3:      Администратор безопасности на своем рабочем месте запускает команду make_inst, в опциях задает файл с LSP для данного пользователя, путь к локальному и СА сертификату, имя контейнера с секретным ключом - где он будет размещен на компьютере пользователя, локальные настройки, создает инсталляционный файл С-Терра Клиент.

Шаг 4:      Администратор безопасности передает пользователю подготовленный инсталляционный пакет, в который входят:

      инсталляционный файл С-Терра Клиент;

      контейнер с секретным ключом на внешнем ключевом носителе;

      утилита integr_mgr;

      файл с контрольной суммой инсталляционного файла С-Терра Клиент.

                  Контейнер и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи. Инсталляционный файл С-Терра   Клиент содержит базовый инсталляционный файл, локальную политику безопасности, сертификат пользователя и СА  сертификат, персональные настройки.

                  Если администратор подготовил пользовательский токен, то пользователю передается подготовленный инсталляционный пакет, в состав которого входят:

      инсталляционный файл С-Терра Клиент;

      пользовательский токен с записанным на нем СА сертификатом, локальным сертификатом, контейнером с секретным ключом и локальной политикой безопасности;

      утилита integr_mgr  для вычисления контрольной суммы;

      файл с контрольной суммой инсталляционного файла С-Терра Клиент.

                  Пользовательский токен и файл с контрольной суммой должны быть переданы пользователю по заслуживающему доверия каналу связи.

 

Второй сценарий

Шаг 1:      На компьютере пользователя создается ключевая пара и запрос на сертификат пользователя, который отсылается в Удостоверяющий Центр. Контейнер с секретным ключом размещается на компьютере пользователя. Администратор безопасности получает Корневой сертификат Удостоверяющего Центра (Trusted CA Certificate) и сертификат пользователя, импортированные в файлы.

               Администратор безопасности в результате на своем рабочем месте не имеет доступа к контейнеру, поэтому в данном сценарии невозможно на компьютере администратора провести проверку соответствия сертификата пользователя и секретного ключа в контейнере при создании инсталляционного файла.

Шаг 2:      Администратор безопасности задает локальную политику безопасности (LSP) для данного пользователя в виде текстового файла (см. раздел "Создание конфигурационного файла").

Шаг 3:      Администратор безопасности на своем рабочем месте запускает команду make_inst, в опциях задает файл с LSP для данного пользователя, путь к локальному и СА сертификату, имя контейнера на компьютере пользователя, локальные настройки, и создает инсталляционный файл С-Терра Клиент.

Шаг 4:      Администратор безопасности передает пользователю подготовленный инсталляционный пакет, в который входят:

      инсталляционный файл С-Терра Клиент

      утилита integr_mgr  для вычисления контрольной суммы

      файл с контрольной суммой инсталляционного файла С-Терра Клиент.

               Файл с контрольной суммой должен быть передан пользователю по заслуживающему доверия каналу связи. Инсталляционный файл С-Терра Клиент содержит базовый инсталляционный файл, локальную политику безопасности, СА сертификат, локальный сертификат, ссылку местоположения контейнера на компьютере пользователя и персональные настройки.

 

Подготовить инсталляционный пакет можно в одном из следующих режимов:

•     основной режим - при создании инсталляционного файла С-Терра Клиент используются алгоритмы ГОСТ при шифровании, проверки целостности пакетов, формировании и проверки ЭЦП;

•     режим международных алгоритмов - при создании инсталляционного файла С-Терра Клиент используются международные алгоритмы шифрования, проверки целостности пакетов и ЭЦП;

       режим пользовательского токена.

С помощью утилиты make_inst можно создать одновременно инсталляционные файлы С-Терра Клиент для большого количества пользователей (см. раздел «Создание нескольких инсталляционных пакетов одновременно»).

Все сообщения, выдаваемые утилитой make_inst в процессе ее работы, выводятся в файл make_inst_log.txt (при каждом создании инсталляционного файла make_inst_log.txt переписывается).