Синтаксис

cert_mgr [-T timeout] create -subj CERT_SUBJ [-RSA|-DSA|-GOST_R3410EL|
-GOST_R341012_256|-GOST_R341012_512] [-512|-1024] [-mail MAIL]
[-ip IP_ADDR] [-dns DNS] [-ku_bits KU_BITS] [-eku_oids EKU_OIDS] [-e_ctl E_CTL_OID,E_CTL_INTEGER] {-e_any EXT_FILE} [-kc K_CONTAINER_NAME] [-kcp K_CONTAINER_PWD] [-f OUT_DER_FILE_NAME] [-fb64 OUT_BASE64_FILE_NAME]

-T timeout

время ожидания ответа от vpnsvc сервиса.

Допустимые значения - 10..36000 секунд, 0 - бесконечное время ожидания. Значение по умолчанию - 600 секунд.

-subj CERT_SUBJ

значение поля Subject Name сертификата.

-RSA

идентификатор алгоритма RSA, который будет использован для генерации ключевой пары.

Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса.

-DSA

идентификатор алгоритма DSA, который будет использован для генерации ключевой пары.

Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса.

-GOST_R3410EL 

идентификатор алгоритма ГОСТ Р 34.10-2001, который будет использован для генерации ключевой пары.

Затем секретный ключ будет применен для формирования ЭЦП для создаваемого запроса.

-GOST_R341012_256

идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 256 бит.

Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса.

-GOST_R341012_512

идентификатор алгоритма ГОСТ Р 34.10-2012, который будет использован для генерации ключевой пары, с длиной секретного ключа 512 бит.

Затем секретный ключ будет применен для формирования ЭЦП создаваемого запроса.

-512

длина открытого ключа - 512 бит (только для алгоритмов RSA и DSA).

-1024

длина открытого ключа - 1024 бита (только для алгоритмов RSA и DSA).

-mail MAIL 

значение поля Mail для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца.

-ip IP_ADDR 

значение поля IP Address для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца.

-dns DNS 

значение поля DNS для альтернативного имени (Alternative Subject Name) владельца сертификата, которое может использоваться в качестве идентификатора владельца.

-ku_bits KU_BITS 

" или список с элементами из: digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign, encipherOnly, decipherOnly. Указывать имена элементов можно с использованием любого регистра (верхний/нижний).

-eku_oids EKU_OIDS

" или список из OID из набора OID “KeyPurposeId”.

-e_ctl E_CTL_OID,E_CTL_INTEGER

параметры стандартного расширения "certificateTemplate" (например: "1.2.643.2.2.46.0.8,1").

-e_any EXT_FILE

base64- или der- ASN1-файл с произвольным дополнительным расширением сертификата.

-kc K_CONTAINER_NAME 

имя контейнера с секретным ключом. Формат контейнеров PKCS#15 (имя контейнера должно иметь вид - file_p15://cont_name или etoken_p15://cont_name).

-kcp K_CONTAINER_PWD 

пароль к контейнеру с секретным ключом.

-f OUT_DER_FILE_NAME

имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в бинарной кодировке DER.

-fb64 OUT_BASE64_FILE_NAME

имя файла, в который будет помещен запрос на сертификат в формате PKCS#10 в текстовой кодировке BASE64.

Значение по

умолчанию

По умолчанию используется алгоритм RSA и открытый ключ длиной 512 бит.

Рекомендации по

использованию

В режиме КС1, в момент генерации ключевой пары (по алгоритму ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012) запускается «биологическая» инициализация датчика случайных чисел, поэтому на консоли появляется просьба понажимать любые клавиши.

Команда cert_mgr create позволяет сохранить контейнер с секретным ключом на шлюзе безопасности, избежав ситуации переноса контейнера с одного носителя на другой. Если в команде не указать имя контейнера, он будет создан и размещен на жестком диске с именем: file_p15://vpnXXXXXXXX,

где

vpnXXXXXXXX - автоматически сформированное уникальное имя контейнера.

•      Если в команде не указать имя файла для размещения запроса, то сформированный запрос будет выведен на экран в формате PEM.

•      Запрос защищается от подмены при помощи ЭЦП, которая формируется с использованием созданного секретного ключа и выбранного алгоритма ЭЦП.

•      Одновременно хранится только один сертификатный запрос. При генерации следующего запроса и незаконченном первом (по которому не создан сертификат), старый запрос удаляется. При таком удалении неиспользованного запроса будет так же удаляться и контейнер, с ним связанный.

•   В режиме КС2/КС3 при генерации ключевой пары может применяться датчик случайных чисел АПМДЗ. Ключевую пару можно разместить в контейнере на жестком диске.
В случае если для используемого АМПДЗ не поддерживается функциональность ДСЧ, то рекомендуемые действия описаны в документе «Настройки шлюза», в разделе «Особенности генерации ключевой пары для исполнения класса защиты КС2/КС3, если для АМПДЗ не поддерживается функциональность ДСЧ».

•   Создание ключевой пары и запроса на сертификат с использованием алгоритма ГОСТ можно выполнить при помощи утилит excont_mgr и cont_mgr.

•   Процедура получения сертификата описана в документе Программный комплекс «С-Терра Шлюз. Версия 4.3». Приложение либо в документе Программный комплекс «С-Терра Юнит. Версия 4.3». Приложение.

Работа с eToken

Если создание контейнера и запроса на локальный сертификат выполняется на токене, то использование опции kcp обязательно. В качестве пароля к контейнеру должен использоваться PIN-код к токену.

Пример

Ниже приведен пример создания запроса на сертификат с использованием алгоритма ГОСТ Р 34.10-2012:

cert_mgr create -subj "O=S-Terra, CN=LocalCert" -GOST_R341012_256 -dns local.s-terra.com -f /opt/VPNagent/bin/certs/local_cert

Пример создания запроса на локальный сертификат и контейнера на токене:

cert_mgr create -subj "O=S-Terra, CN=LocalCert" -GOST_R341012_256 -kc etoken_p15://h1 -kcp 1234