Продукт не поддерживает разностные (delta) списки отзыва сертификатов, только базовые. Учитывайте это при выборе или развертывании УЦ.
Для аутентификации партнеров по IPsec можно использовать только цифровые сертификаты, выпущенные при помощи сертифицированного СКЗИ.
Аутентификация по предопределенным ключам запрещена и возможна только в тестовых целях.
Закрытый ключ для сертификата С-Терра Юнит будет сгенерирован при помощи утилиты cert_mgr с использованием биологического датчика случайных чисел (БИО ДСЧ). Закрытый ключ может храниться либо на файловой системе устройства, либо на защищенном ключевом носителе (токен). В данном сценарии закрытый ключ будет располагаться в специальном контейнере на файловой системе устройства. Если требуется, чтобы контейнер располагался на токене, то смотрите описание параметра create утилиты cert_mgr на портале документации http://doc.s-terra.ru.
В момент генерации ключевой пары будет также сгенерирован запрос на локальный сертификат Юнита. Данный запрос для его последующей доставки на УЦ будет сохранен на USB Flash накопитель.
Настройка осуществляется в CLI разграничения доступа.
При выполнении сторонних команд в CLI разграничения доступа/консоли cisco-like перед командой нужно указывать ключевое слово run. Автодополнение для команд, указываемых после run не поддерживается.
1. Генерация закрытого ключа и запроса на сертификат С-Терра Юнит.
1.1. Вставьте USB Flash накопитель в свободный USB порт на Юните (накопитель будет автоматически примонтирован).
1.2. Определите имя (идентификатор) USB Flash накопителя:
administrator@STerra-Unit] dir media:
1 drwx 4096 Wed Mar 4 11:09:51 2020 sda
Имя (идентификатор) USB Flash накопителя - sda.
1.3. Запустите процесс генерации закрытого ключа и запроса на сертификат Юнита с сохранением файла запроса на USB Flash накопителе (закрытый ключ остается на Юните):
administrator@STerra-Unit] run cert_mgr create -subj "C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=Unit" -GOST_R341012_256 -fb64 media:sda/unit.request
· ключ –subj задает отличительное имя сертификата (Distinguished Name, DN);
Отличительное имя сертификата должно быть уникальным для каждого устройства.
· ключ -GOST_R341012_256 задает использование алгоритма подписи – ГОСТ Р 34.10-2012 (ключ 256 бит).
На УЦ для поддержки алгоритма ГОСТ Р 34.10-2012 (ключ 256 бит) должно быть установлено СКЗИ «КриптоПро CSP» версии 4.0 или новее.
· ключ -fb64 задает месторасположение и формат представления запроса на сертификат; будет использован формат представления BASE64 с сохранением файла запроса в корень USB Flash накопителя под именем unit.request.
Нажимайте предлагаемые клавиши на клавиатуре для инициализации БИО ДСЧ:
Progress: [********* ]
Press key: U
После завершения работы БИО ДСЧ файл запроса будет сохранен в корне USB Flash накопителя:
administrator@STerra-Unit] dir media:sda/
1 -rwx 473 Wed Mar 4 11:12:34 2020 unit.request
Настоятельно рекомендуется сохранить контейнер закрытого ключа при помощи утилиты cont_mgr. Контейнер может понадобиться в случае восстановления Юнита при отказе. Носитель с файлом контейнера нужно хранить в защищенном и недоступном для третьих лиц месте.
1.4. Отмонтируйте и извлеките USB Flash накопитель (посмотреть точки монтирования можно при помощи команды run mount):
administrator@STerra-Unit] run umount /media/sda/
2. Выпуск сертификата С-Терра Юнит на УЦ и импорт сертификатов в базу Продукта.
2.1. Доставьте файл запроса на УЦ и выпустите по нему сертификат Юнита.
2.2. Скопируйте выпущенный сертификат под именем unit.cer и сертификат УЦ под именем ca.cer в корень USB Flash накопителя.
2.3. Вновь вставьте USB Flash накопитель, содержащий файлы сертификатов, в свободный порт USB на Юните.
2.4. Убедитесь в наличии сертификатов на USB Flash накопителе:
administrator@STerra-Unit] dir media:sda/
1 -rwx 592 Wed Mar 4 11:14:55 2020 ca.cer
2 -rwx 804 Wed Mar 4 11:14:55 2020 unit.cer
3 -rwx 473 Wed Mar 4 11:12:34 2020 unit.request
Сохраняйте сертификаты. Они могут понадобиться в случае восстановления Юнита при отказе.
2.5. Импортируйте сертификат УЦ в базу Продукта:
administrator@STerra-Unit] run cert_mgr import -f media:sda/ca.cer -t
· ключ –f задает месторасположение файла сертификата;
· ключ –t используется для импортирования доверенного (trusted) сертификата УЦ.
2.6. Импортируйте сертификат Юнита в базу Продукта:
administrator@STerra-Unit] run cert_mgr import -f media:sda/unit.cer
2.7. Убедитесь, что сертификаты успешно импортированы в базу Продукта:
administrator@STerra-Unit] run cert_mgr show
Found 2 certificates. No CRLs found.
1 Status: trusted C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=S-Terra CSP Test Root CA
2 Status: local C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=Unit
Видно, что сертификат УЦ импортирован как trusted, а сертификат Юнита как local (local означает, что для данного сертификата есть соответствующий ключевой контейнер).
2.8. Выполните проверку статуса сертификатов в базе Продукта:
administrator@STerra-Unit] run cert_mgr check
1 State: Inactive C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=S-Terra CSP Test Root CA
Certificate can not be verified.
2 State: Inactive C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=Unit
Certificate can not be verified.
Видно, что все сертификаты имеют статус Inactive (неактивный) с пометкой: «Certificate can not be verified» (сертификат не может быть проверен). Причиной этому является включенный по умолчанию в консоли cisco-like механизм проверки списка отозванных сертификатов (далее СОС или CRL). Так как в базе Продукта СОС отсутствует, поэтому проверка не может быть осуществлена. Далее будет описан процесс настройки автоматической загрузки СОС и импортирование его в базу Продукта. Загрузка СОС осуществляется по протоколу HTTP с заданной периодичностью.