Рассмотрим вариант получения сертификата пользователя с использованием своего Удостоверяющего центра, созданного на базе ОС Windows Server и СКЗИ «КриптоПро CSP 4.0». Процесс создания Удостоверяющего центра в данном документе не описывается.
Опишем процесс создание локального сертификата на С-Терра Шлюз, со встроенной криптобиблиотекой компании «С-Терра СиЭсПи». Аналогичные действия выполняются при использовании СКЗИ "КриптоПро", отличие будет только в формате имени контейнера с секретным ключом.
Шаг 1: подключите к С-Терра Шлюз USB-носитель и посмотрите имя, под которым USB-носитель будет подмонтирован к системе:
administrator@sterragate] dir media
1 drwx 8192 Thu Jan 1 03:00:00 1970 041F-4C1B
Шаг 2: создайте запрос на сертификат при помощи утилиты cert_mgr create (утилита описана в документе «Специализированные команды» - Util_reference.pdf) и сохраните запрос в файле на USB-носителе:
administrator@sterragate] run cert_mgr create -subj "C=ru,CN=user1,O=S-Terra" -GOST_R341012_256 -kc file_p15://user1 -kcp 1234 -fb64 media:041F-4C1B/gw1.req
где
• -subj "C=ru,CN=user1,O=S-Terra" значение поля Subject Name сертификата
• -GOST_R341012_256 идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит. Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса
• -kc file_p15://user1 имя контейнера с секретным ключом
• -kcp1234 пароль к контейнеру с секретным ключом
• -fb media:041F-4C1B/gw1.req имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в текстовой кодировке BASE64.
Шаг 3: запрос на локальный сертификат нужно отослать в Удостоверяющий Центр.
Запустите браузер. Укажите адрес сервера Удостоверяющего Центра и запустите утилиту certsrv (Certificate Service). В нашем примере http://10.0.251.5/certsrv/.
В появившемся окне выберите - Request a certificate.
Рисунок 23
Выберите расширенный запрос на сертификат - предложение advanced certificate request.
Рисунок 24
Скопируйте из файла текст запроса на сертификат в соответствующее поле и нажмите Submit.
Рисунок 25
Шаг 4: После издания сертификата получите цепочку сертификатов, выбрав предложение - Download certificate chain.
Рисунок 26
Шаг 5: файл с сертификатами сохраните на USB-носителе и доставьте на С-Терра Шлюз.
Шаг 6: перед регистрацией сертификатов в базе Продукта потребуется узнать индекс объекта (сертификата) в файле:
administrator@sterragate] run cert_mgr show -f media:041F-4C1B/certnew.p7b
Certificates/CRLs from file media:041F-4C1B/certnew.p7b
Found 3 certificates. No CRLs found.
1 C=RU,O=S-Terra,CN=User1
2 CN=S-Terra Center Sub-CA 2012-512
3 CN=S-Terra Center CA 2012-256
Шаг 7: зарегистрируйте полученные сертификаты в базе Продукта:
Регистрация корневого сертификата УЦ:
administrator@sterragate] run cert_mgr import -f media:041F-4C1B/certnew.p7b -i 3 -t
Регистрация сертификата промежуточного УЦ, на котором был выпущен сертификат:
administrator@sterragate] run cert_mgr import -f media:041F-4C1B/certnew.p7b -i 2
Регистрация локального сертификата:
administrator@sterragate] run cert_mgr import -f media:041F-4C1B/certnew.p7b -i 1 -l
Шаг 8: убедитесь, что сертификаты импортированы успешно:
administrator@sterragate] run cert_mgr show
Found 3 certificates. No CRLs found.
1 Status: trusted CN=S-Terra Center CA 2012-256
2 Status: remote CN=S-Terra Center Sub-CA 2012-512
3 Status: local C=RU,O=S-Terra,CN=User1