Руководство по эксплуатации ru. Амбс. 58. 29. 12. 004 91 Компания "Код Безопасности", 2020. Все права защищены

Глава 4
Управление сертификатами
СКЗИ "Континент-АП" позволяет добавлять сертификаты в хранилище, созда- вать запросы на издание сертификата пользователя и осуществлять запись закрытых ключей на съемный носитель или в Систему (хранилище на локальном компьютере пользователя).
Для работы с "Континент-АП" необходимы корневые сертификаты, сертификаты пользователя и сертификаты сервера, получаемые в соответствии с общим по- рядком, установленным конкретным удостоверяющим центром. Процедура созда- ния запроса на выдачу сертификата по алгоритму ГОСТ Р 34.10– 2012
приводится на стр.
28
Примечание. Допустимо использовать действительный уникальный сертификат пользователя,
выпущенный ранее удостоверяющим центром.
Для передачи сертификатов рекомендуется использовать отчуждаемый но- ситель.
Примечание. В качестве ключевых носителей в комплексе могут использоваться аппаратные но- сители следующих типов:
• USB-флеш-накопители;
• USB-ключи и смарт-карты — Рутокен ECP, Рутокен Lite, Рутокен ECP 2.0, Рутокен S, Esmart,
Esmart GOST, JaCarta PKI, JaCarta GOST, JaCarta 2 GOST, JaCarta GOST LT;
• идентификаторы DS1995, DS1996.
После получения всех сертификатов пользователь должен установить серти- фикаты в локальное хранилище компьютера средствами ПО "Континент-АП" (см.
стр.
33
).
Создание запроса
Запрос на получение сертификата создается пользователем средствами ПО "Кон- тинент-АП" по требованию администратора безопасности. Одновременно с запро- сом средствами криптопровайдера генерируется закрытый ключ пользователя.
Запрос в виде файла сохраняется в указанную пользователем папку, ключевой контейнер с закрытым ключом сохраняется на ключевом носителе, указанном в настройках.
Совет. Перед тем как приступить к созданию запроса, приготовьте чистый отформатированный клю- чевой носитель для записи ключевого контейнера.
Для создания запроса на получение сертификата:
1. Выберите в главном меню "Континент-АП" пункт "Сертификаты".
В области отображения информации появится список установленных сер- тификатов.
2. На панели инструментов выберите вкладку пользовательских сертификатов и нажмите кнопку "Создать запрос".
На экране появится диалог выбора версии протокола и варианта исполь- зования ключей.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
28
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

3. Выберите нужные пункты меню:
•
в поле "Тип запроса" выберите в раскрывающемся списке тип запроса на сертификат:
•
"Запрос для менеджера конфигурации 4.Х (СД 4.Х) или УЦ (CA)"
(по умолчанию) — формат запроса для создания сертификата ме- неджером конфигурации (или СД З.9.1 в режиме работы протокола
4.X)
или внешним центром сертификации
(алгоритм по ГОСТ Р 34.10–2012);
•
"Запрос для сервера доступа 3.Х (СД 3.Х)" — формат запроса для созда- ния сертификата в ПУ СД (алгоритм по ГОСТ Р 34.10–2012);
•
в поле "Использование ключей" выберите из раскрывающегося списка на- бор использования ключей:
•
Стандартный набор (минимально необходимые параметры для функ- ционирования ключа шифрования);
•
Расширенный набор (выбор использования дополнительных пара- метров ключа шифрования, если это предусмотрено политикой ин- формационной безопасности компании).
4. Нажмите кнопку "Далее".
На экране появится диалог для ввода параметров запроса.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
29
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

5. В поле "Выберите тип субъекта" укажите в раскрывающемся списке тип пользователя, создающего запрос:
•
Произвольный тип (по умолчанию);
•
Физическое лицо;
•
Физическое лицо с доверенностью от юридического;
•
Индивидуальный предприниматель;
•
Юридическое лицо.
6. Заполните остальные параметры диалога.
Внимание! Поля, подчеркнутые красной линией и помеченные красным восклицательным зна- ком, обязательны для заполнения.
7. Нажмите кнопку "Далее".
Если был выбран расширенный набор параметров использования ключа (см.
стр.
29
), на экране появится диалог выбора параметров.
Примечание. Если был выбран стандартный набор параметров использования ключа, на эк- ране появится диалог для ввода имени ключевого контейнера и имени файла для запроса сертификата. Перейдите к п.
9.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
30
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

8. Укажите необходимые параметры ключа шифрования и нажмите кнопку "Да- лее".
На экране появится диалог для определения свойства файла запроса и клю- чевого носителя.
9. Укажите:
•
имя ключевого контейнера;
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
31
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Примечание. По умолчанию запрос сохраняется в файле с расширением *.req и именем, со- держащим имя пользователя, создающего запрос, а также текущие время и дату.
•
тип ключевого носителя, введя название ключевого хранилища (по умол- чанию закрытый ключ сохраняется в Системе). Для выбора ключевого хра- нилища нажмите кнопку "Установить" и выберите в открывшемся окне тип ключевого носителя;
•
формат, в котором будет сохранен файл (по умолчанию — двоичные дан- ные);
•
в поле "Подготовить бланк запроса на сертификат" установите отметку,
если необходимо сохранить версию запроса для печати.
Примечание. По умолчанию запрос сохраняется в файле с расширением *.html и именем,
содержащим имя пользователя, создающего запрос, а также текущие время и дату.
Для изменения расположения или имени файла с электронной или бумажной формой запроса нажмите кнопку "Обзор…", расположенную справа от со- ответствующего поля. В открывшемся окне менеджера файлов ОС Linux, поя- вившемся на экране, выполните следующие действия:
•
укажите диск (папку) для создания файла;
•
укажите имя файла запроса;
•
нажмите кнопку "Сохранить".
10.Нажмите кнопку "Далее".
Появится сообщение о завершении работы мастера запроса сертификата,
и на экране отобразятся параметры создаваемого запроса.
11.Нажмите кнопку "Готово".
Криптопровайдер приступит к созданию закрытого ключа.
Процедура создания закрытого ключа описана на стр.
33
После завершения процедуры на экране появится сообщение о завершении создания запроса на сертификат.
12. Нажмите кнопку "OK" в окне сообщения для завершения процедуры созда- ния запроса.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
32
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Передайте созданный файл запроса администратору безопасности. При этом мож- но пользоваться общедоступной сетью передачи данных, например, переслать файл как вложение электронной почты.
Для формирования закрытого ключа:
1. После нажатия в окне завершения работы мастера запроса сертификата кноп- ки "Готово" на экране появится окно накопления энтропии для био- логического датчика случайных чисел.
Примечание. Если используется физический датчик случайных чисел ПАК "Соболь", набор эн- тропии выполняется автоматически и на экране не отображается. Вместо окна накопления эн- тропии появится окно ввода пароля. Перейдите к п.
3.
2. Следуйте указаниям инструкции на экране и дождитесь завершения набора энтропии.
После завершения процедуры на экране появится диалог ввода пароля для доступа к содержимому ключевого контейнера.
3. Введите и подтвердите пароль для доступа к создаваемому ключевому контей- неру и нажмите кнопку "ОК".
Примечание. Длина пароля должна быть не менее 6 символов.
Начнется создание запроса и криптографического контейнера. После успеш- ного завершения операции на экране появится соответствующее ин- формационное сообщение.
Внимание! Если используемый съемный носитель содержит файлы, имена которых совпадают с именами записываемых файлов, то:
• файлы на USB-флеш-накопителе будут автоматически переименованы и сохранены;
• файлы на Рутокен будут перезаписаны.
4. Нажмите кнопку "ОК" и извлеките носитель, если закрытый ключ был сохра- нен на нем.
Импорт и удаление сертификатов
Для импорта сертификатов:
1. Выберите в главном меню "Континент-АП" раздел "Сертификаты" и вкладку с нужным видом сертификата.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
33
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

В области отображения информации появится список установленных сер- тификатов.
2.
На панели инструментов выберите категорию и нажмите кнопку "Им- портировать".
На экране появится стандартное окно открытия файла.
3. Укажите файл загружаемого сертификата и нажмите кнопку "Открыть".
Начнется загрузка и установка сертификата. После успешного завершения операции на экране появится соответствующее информационное сооб- щение.
4. Нажмите кнопку "ОК".
Внимание! Сертификат пользователя не может быть удален, если он привязан к профилю подклю- чения.
Для удаления сертификата пользователя:
1. Выберите в главном меню "Континент-АП" раздел "Профили" и откройте ок- но редактирования профиля.
2. Выберите другой возможный сертификат пользователя и нажмите кнопку "Сохранить".
3. Выберите в главном меню "Континент-АП" раздел "Сертификаты" и вкладку "Пользовательские сертификаты".
В области отображения информации появится список установленных сер- тификатов.
4. На панели инструментов выберите категорию и нажмите кнопку "Удалить".
На экране появится информационное сообщение о необходимости под- тверждения операции.
5. Нажмите кнопку "ОК".
Для удаления корневого или серверного сертификата:
1. Выберите в главном меню "Континент-АП" раздел "Сертификаты" и вкладку с нужным видом сертификата.
В области отображения информации появится список установленных сер- тификатов.
2. На панели инструментов выберите категорию и нажмите кнопку "Удалить".
На экране появится информационное сообщение о необходимости под- тверждения операции.
3. Нажмите кнопку "ОК".
Импорт закрытого ключа
"Континент- АП" может использовать закрытые ключи, созданные на других компьютерах с помощью других ОС.
Администратор безопасности формирует ключевой контейнер с закрытым клю- чом пользователя, сохраняет его на отчуждаемом носителе и вместе с паролем передает его пользователю или администратору абонентского пункта. Для рабо- ты с таким ключом на абонентском пункте необходимо предварительно выпол- нить операцию импорта закрытого ключа.
Операция импорта заключается в преобразовании формата ключа и сохранении его в локальном хранилище компьютера или на внешнем носителе.
Для сохранения импортируемого закрытого ключа могут быть использованы:
•
локальное хранилище компьютера;
•
исходный носитель с закрытым ключом, полученный от администратора безо- пасности;
•
другой внешний носитель.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
34
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Для импорта закрытого ключа:
1. Вставьте ключевой носитель, полученный от администратора безопасности.
2. В главном меню (например, в группе "Сеть") ОС Linux выберите утилиту "Кон- тинент-АП Импорт закрытого ключа".
На экране появится окно утилиты импорта ключей.
3.
Для того чтобы указать место, где находится импортируемый ключевой конейнер, нажмите кнопку "Выбрать" и выберите хранилище ключей в открывшемся окне.
4. Нажмите кнопку "ОК".
5. Для того чтобы указать место, куда будет сохранен импортируемый ключевой конейнер, нажмите кнопку "Выбрать" и выберите хранилище ключей в открывшемся окне.
6. Выберите версию протокола соединения с СД в открывающемся списке.
7. Нажмите кнопку "Импорт".
8. Следуйте указаниям инструкции на экране и дождитесь завершения.
Импортируемый ключ будет сохранен.
Просмотр сведений о сертификате
Получить сведения о сертификате можно с помощью средств "Континент-АП".
Для просмотра сведений о сертификате:
1. Выберите в главном меню "Континент-АП" пункт "Сертификаты", а затем вкладку с требуемым типом сертификатов на панели инструментов.
В области отображения информации появится список установленных сер- тификатов.
2. Вызовите окно сведений о сертификате двойным щелчком левой кнопки мы- ши по соответствующей строке списка установленных сертификатов.
Откроется стандартное окно сведений о сертификате.
Управление CRL
СКЗИ "Континент-АП" позволяет в автоматическом или ручном режиме получать
CDP, а также скачивать CRL для проверки валидности используемых сер- тификатов.
Настройка CDP
Если используемые сертификаты содержат информацию о CDP, "Континент-АП"
получит ее при импорте сертификатов. Для автоматической загрузки CDP им- портируйте пользовательский, корневой или серверный сертификаты, как опи- сано на стр.
33
. Ниже приведен пример CDP, полученных из корневого сертификата, который был импортирован в систему.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
35
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Если же импортированные сертификаты не содержат CDP, то можно добавить список CDP вручную.
Для настройки списка CDP вручную:
1.
Выберите в главном меню "Континент-АП" пункт "Сертификаты", вкладку "CDP".
В области отображения информации основного окна появится список исполь- зуемых CDP.
2. Нажмите кнопку "Добавить".
На экране появится окно для ввода URL CDP.
3. Введите адрес CDP и нажмите кнопку "ОК".
На экране произойдет возврат во вкладку "CDP" с обновленным списком пара- метров.
4. Для редактирования или удаления добавленного пользователем CDP выбе- рите его в соответствующем списке и нажмите на панели инструментов кноп- ку "Редактировать" или "Удалить".
5. Подтвердите вносимые изменения.
Загрузка CRL
Автоматическая загрузка CRL происходит в результате добавления CDP после импорта сертификатов.
CRL также может быть добавлен вручную с помощью кнопки "Скачать CRL".
Если по какой-либо причине CRL не удалось скачать или он был удален из сис- темы, то в таблице CDP отобразится соответствующее состояние CRL.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
36
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Чтобы обновить сразу весь список CRL, выполните скачивание CRL вручную.
Для импорта файла CRL:
1. Выберите в главном меню "Континент-АП" раздел "Сертификаты" и вкладку "CDP".
В области отображения информации появится список имеющихся CDP.
2. Нажмите кнопку "Импортировать CRL".
На экране появится стандартное окно открытия файла.
3. Укажите загружаемый файл CRL и нажмите кнопку "Открыть".
Начнется загрузка. После успешного завершения операции на экране поя- вится соответствующее информационное сообщение.
4. Нажмите кнопку "ОК".
Для загрузки файлов CRL вручную:
1.
Выберите в меню настроек "Континент- АП" пункт "Управление сер- тификатами", а затем вкладку "CDP" на панели инструментов.
В области отображения информации основного окна появится список CDP.
Примечание. Если CDP не прописан в установленном сертификате или не добавлен поль- зователем ранее, то необходимо добавить CDP (см. выше процедуру настройки списка CDP).
2. Нажмите на панели инструментов кнопку "Скачать CRL".
Начнется загрузка. После успешного завершения операции на экране поя- вится соответствующее информационное сообщение.
3. Нажмите кнопку "ОК".
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
37
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Глава 5
Управление работой "Континент-АП"
Настройка параметров работы "Континент-АП"
Изменение параметров ПО "Континент- АП" осуществляется через меню на- строек, вызов которого происходит при выборе пункта "Параметры" в главном ме- ню основного окна "Континент-АП".
Основные настройки
Для настройки "Континент-АП":
1. Выберите в меню настроек пункт "Основные".
В области отображения информации основного окна откроется соответ- ствующее подменю.
Внимание! Для изменения настроек сертификатов и CRL необходимо запустить "Континент-
АП" от имени администратора.