рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
254
При успешном выполнении описанных действий выбранный сертификат назначается текущим. При этом на вкладке Ключи (см. рисунок на стр. 260) в группе Электронная подпись меняется информация о контейнере ключей, с которым сопоставлен выбранный сертификат.
Работа с запросами на сертификаты
Работа с запросами на сертификаты
(см. глоссарий, стр. 382) выполняется в окне Менеджер
сертификатов на вкладке Запросы на сертификат.
Для вызова окна Менеджер сертификатов:
1 В окне Настройка параметров безопасности откройте вкладку Электронная подпись.
2 Нажмите кнопку Запросы на сертификат.
Просмотр запроса на сертификат
Для просмотра подробной информации о запросе на сертификат:
1 В окне Менеджер сертификатов на вкладке Запросы на сертификат выберите нужный запрос, после чего нажмите кнопку Свойства или дважды щелкните по этому запросу.
2 В окне Запрос на сертификат просмотрите нужную информацию на соответствующих вкладках.
При необходимости запрос можно распечатать (на принтере, используемом по умолчанию на данном компьютере) с помощью кнопки Печать, а также сохранить в файл формата
*.txt
— с помощью кнопки Копировать в файл.

ViPNet Client 4. Руководство пользователя |
255
Рисунок 122. Просмотр подробной информации о запросе на сертификат
Удаление запроса на сертификат
Для удаления запроса на сертификат:
1 В окне Менеджер сертификатов на вкладке Запросы на сертификат выберите нужный запрос
(или несколько, удерживая клавишу Ctrl), после чего нажмите кнопку Удалить.
2 В окне подтверждения нажмите кнопку Да.
Информация о запросе будет удалена. Удаленный запрос не будет отображаться на вкладке
Запросы на сертификат, при этом сертификат, изданный по этому запросу, сохранится.
Экспорт сертификата
В программе ViPNet можно выполнить экспорт сертификата пользователя в различные форматы.
Выбор формата экспорта зависит от целей, для которых проводится данный экспорт.
Экспорт сертификата может понадобиться для выполнения следующих задач:
 архивирование сертификата;
 копирование сертификата для использования на другом компьютере;

ViPNet Client 4. Руководство пользователя |
256
 отправка сертификата другому пользователю для организации обмена зашифрованными сообщениями;
 просмотр сертификата в удобной форме.
Для экспорта сертификата в файл определенного формата:
1 Вызовите окно Сертификат для того сертификата, который необходимо экспортировать
(см.
Просмотр сертификатов на стр. 232).
2 Откройте вкладку Состав, после чего нажмите кнопку Копировать в файл.
3 На начальной странице мастера экспорта сертификатов нажмите кнопку Далее.
Совет. Если при последующих запусках мастера желательно пропускать первую страницу, установите на ней флажок Не отображать в дальнейшем эту страницу.
4 На странице Формат экспортируемого файла выберите один из предлагаемых форматов
(см.
Форматы экспорта сертификатов на стр. 256), после чего нажмите кнопку Далее.
Рисунок 123. Выбор формата файла
5 На странице Имя файла экспорта укажите полный путь к создаваемому файлу, после чего нажмите кнопку Далее.
6 На странице Завершение работы мастера экспорта сертификатов убедитесь в правильности параметров экспорта, заданных на предыдущих страницах мастера, после чего нажмите кнопку
Готово.
7 В окне с сообщением об успешном экспорте нажмите кнопку ОК.
Форматы экспорта сертификатов
При выборе формата экспорта сертификата следует руководствоваться перечисленными положениями.

ViPNet Client 4. Руководство пользователя |
257
 При экспорте сертификатов для импорта на компьютер с ОС Windows предпочтительный формат экспорта — PKCS #7, поскольку этот формат обеспечивает сохранение цепочки центров сертификации (пути сертификации). Некоторые приложения требуют при импорте сертификата из файла представления в виде DER или Base64. Поэтому формат экспорта необходимо выбирать в соответствии с требованиями приложения или системы, в которую этот сертификат предполагается импортировать.
 Для просмотра сертификата и вывода его на печать используются текстовый и HTML-форматы.
Ниже приведена подробная информация о каждом из форматов экспорта сертификатов, поддерживаемых ПО ViPNet.
 Стандарт Cryptographic Message Syntax (PKCS #7)
Формат PKCS #7 позволяет передавать сертификат и все сертификаты в цепочке сертификации с одного компьютера на другой или с компьютера на внешнее устройство. Файлы PKCS #7 обычно имеют расширение
.p7b и совместимы со стандартом ITU-T X.509. Формат PKCS#7 разрешает такие атрибуты, как удостоверяющие подписи, связанные с обычными подписями.
Для таких атрибутов, как метка времени, можно выполнить проверку подлинности вместе с содержимым сообщения. Дополнительные сведения о формате PKCS#7 см. на веб-сайте RSA
Laboratories.
 Файлы в DER-кодировке X.509
DER (Distinguished Encoding Rules) для ASN.1, как определено в рекомендации ITU-T
Recommendation X.509, — более ограниченный стандарт кодирования, чем альтернативный
BER (Basic Encoding Rules) для ASN.1, определенный в рекомендации ITU-T Recommendation
X.209, на котором основан DER. И BER, и DER обеспечивают независимый от платформы метод кодирования объектов, таких как сертификаты и сообщения, для передачи между устройствами и приложениями.
При кодировании сертификата большинство приложений используют стандарт DER, так как сертификат (сведения о запросе на сертификат) должен быть закодирован с помощью DER и подписан. Файлы сертификатов DER имеют расширение
.cer
Дополнительные сведения см. в документе «ITU-T Recommendation X.509, Information
Technology — Open Systems Interconnection — The Directory: Authentication Framework» на веб-узле
International Telecommunication Union (ITU)
 Файлы в Base64-кодировке X.509
Этот метод кодирования создан для работы с протоколом S/MIME, который популярен при передаче бинарных файлов через Интернет. Base64 кодирует файлы в текстовый формат ASCII, что обеспечивает целостность информации при ее передаче по сети. Протокол S/MIME обеспечивает работу некоторых криптографических служб безопасности для приложений электронной почты, включая механизм неотрекаемости (с помощью электронных подписей), секретность и безопасность данных (с помощью кодирования, процесса проверки подлинности и целостности сообщений). Файлы сертификатов Base64 имеют расширение
.cer
MIME (Multipurpose Internet Mail Extensions, спецификация RFC 1341 и последующие) определяет механизмы кодирования произвольных двоичных данных для передачи по электронной почте.

ViPNet Client 4. Руководство пользователя |
258
Дополнительные сведения см. в документе «RFC 2633 S/MIME Version 3 Message Specification,
1999» на веб-узле
Internet Engineering Task Force (IETF)
 Файлы в HTML-формате
Файлы для просмотра и печати в любом веб-браузере, а также в офисных и других программах, поддерживающих язык разметки гипертекста HTML.
 Текстовые файлы
Файлы в кодировке ANSI для просмотра в любом текстовом редакторе и вывода на печать.
 Файлы в формате PFX (PKCS #12)
Формат PFX (PKCS#12) поддерживает безопасное хранение сертификата и закрытого ключа, соответствующего сертификату пользователя, может содержать все сертификаты в цепочке доверия от сертификата пользователя до корневого сертификата удостоверяющего центра и
CRL.

ViPNet Client 4. Руководство пользователя |
259
Работа с контейнером ключей
Контейнер ключей
(см. глоссарий, стр. 383) содержит ключ электронной подписи
(см. глоссарий, стр. 383) и соответствующий ему сертификат ключа проверки электронной подписи
(см. глоссарий, стр. 386), если он установлен в контейнер.
В программе ViPNet Client вы можете выполнять следующие операции с контейнером ключей:
 Установка (см.
Установка контейнера ключей на стр. 263).
Установка нового контейнера ключей указанным способом требуется в том случае, если у вас есть новый контейнер ключей, и вы хотите его использовать.
Вы также можете установить контейнер ключей с помощью программы ViPNet CSP, входящей в состав ViPNet Client. Но при этом использовать ключ и сертификат из такого контейнера ключей вы сможете только в том случае, если вам разрешено использование внешних сертификатов (см.
Дополнительные настройки параметров безопасности на стр. 220). В противном случае, они будут вам недоступны, даже если контейнер ключей будет установлен.
 Смена и удаление сохраненного пароля к контейнеру (см.
Смена пароля к контейнеру на стр. 261).
Заданный пароль к контейнеру ключей рекомендуется использовать в течение 1 года. По истечении этого срока следует задать новый пароль. Удаление сохраненного пароля может потребоваться, если изменился регламент безопасности вашей организации и хранение пароля на компьютере стало недопустимым.
 Изменение расположения контейнера (см.
Перенос контейнера ключей на стр. 265).
Перенос текущего контейнера ключей требуется в следующих случаях: o если расположение контейнера было изменено, например, вследствие того, что хранение контейнера по прежнему пути было признано небезопасным; o при переходе на способ аутентификации Устройство в случае, если используются процедуры электронной подписи и шифрования внутри сторонних приложений и при этом контейнер ключей изначально не хранился на внешнем устройстве, используемом для аутентификации (см.
Изменение способа аутентификации пользователя на стр. 221).
Внимание! В сети ViPNet, управляемой с помощью ПО ViPNet Administrator, выполнять различные операции с контейнером ключей может только пользователь, который обладает правом подписи. Такое право предоставляется пользователям сети ViPNet в программе ViPNet Удостоверяющий и ключевой центр.
Для работы с контейнером ключей:
1 Откройте вкладку Ключи.

ViPNet Client 4. Руководство пользователя |
260
Рисунок 124. Работа с контейнером ключей
2 В группе Электронная подпись нажмите одну из следующих кнопок: o
Просмотр — для просмотра подробной информации об используемом контейнере ключей, а также для изменения свойств контейнера:
 смены пароля (см.
Смена пароля к контейнеру на стр. 261);
 удаления пароля (см.
Удаление сохраненного на компьютере пароля к контейнеру ключей на стр. 262);
 проверки соответствия ключа электронной подписи сертификату (см.
Проверка контейнера ключей на стр. 263);
 удаления ключа электронной подписи. o
Установить контейнер — для установки нового контейнера ключей (см.
Установка контейнера ключей на стр. 263). o
Перенести — для изменения расположения контейнера ключей (см.
Перенос контейнера ключей на стр. 265).
Примечание. В группе Электронная подпись отображается информация о ключе электронной подписи, соответствующем текущему сертификату.

ViPNet Client 4. Руководство пользователя |
261
Смена пароля к контейнеру
Заданный пароль к контейнеру ключей рекомендуется использовать в течение 1 года. По истечении этого срока следует задать новый пароль. Описанный ниже сценарий смены пароля к контейнеру ключей применяется только для контейнеров, которые были созданы в программе
ViPNet Registration Point, либо были перенесены из папки ключей пользователя (по умолчанию
C:\ProgramData\InfoTeCS\ViPNet Registration Point\Mftp_Transport\<идентификатор пользователя>\key_disk\dom
) в другую папку. В остальных случаях смена пароля к контейнеру предполагает смену пароля пользователя ViPNet (см.
Смена пароля пользователя на стр. 228).
Для смены пароля к контейнеру ключей:
1 В окне Настройка параметров безопасности на вкладке Ключи (см. рисунок на стр. 260) нажмите кнопку Просмотр.
2 В окне Свойства контейнера ключей нажмите кнопку Сменить пароль.
Рисунок 125: Смена пароля к контейнеру ключей
3 При появлении сообщения «Для данного контейнера смена пароля возможна только в настройке безопасности приложений ViPNet» нажмите кнопку OK, после чего завершите работу с окном Свойства контейнера ключей и измените пароль пользователя (см.
Смена пароля пользователя на стр. 228).
4 В окне Пароль введите текущий пароль доступа к контейнеру ключей и нажмите кнопку OK.
Примечание. Если ранее был установлен режим Сохранить пароль, то окно
Пароль не появится.

ViPNet Client 4. Руководство пользователя |
262
5 В окне ViPNet CSP - смена пароля контейнера ключей укажите текущий пароль, задайте и подтвердите новый пароль. Нажмите кнопку OK.
Внимание! Запрещается вводить пароль при помощи операций копирования и вставки через буфер обмена.
Чтобы сохранить пароль для последующих обращений к контейнеру ключей, установите флажок Сохранить пароль.
Рисунок 126. Смена пароля доступа к контейнеру ключей
Внимание! Не создавайте пароль длиной в 32 символа. Пароли с такой длиной не могут использоваться в текущих версиях приложений ViPNet. Данное ограничение связано с существующим алгоритмом передачи пароля в криптопровайдер. В соответствии с этим алгоритмом длина пароля не должна превышать 31 символ.
Пароль доступа к контейнеру ключей изменен.
Удаление сохраненного на компьютере пароля к контейнеру ключей
Удаление сохраненного пароля к контейнеру ключей может потребоваться, если изменились условия эксплуатации пароля или регламент вашей организации, вследствие чего хранение пароля на компьютере стало недопустимым.
Для удаления сохраненного пароля к контейнеру ключей и отображения окна ввода пароля при доступе к контейнеру:
1 В окне Настройка параметров безопасности на вкладке Ключи (см. рисунок на стр. 260) нажмите кнопку Просмотр.
2 В окне Свойства контейнера ключей нажмите кнопку Удалить сохраненный пароль.
Сохраненный пароль будет удален. Теперь пароль необходимо вводить всякий раз при доступе к контейнеру ключей.

ViPNet Client 4. Руководство пользователя |
263
Проверка контейнера ключей
Проверка контейнера ключей позволяет убедиться, что файл контейнера не поврежден, хранящиеся в контейнере сертификат и ключ электронной подписи соответствуют друг другу и могут быть использованы для работы с защищенными документами.
Чтобы проверить контейнер ключей, выполните следующие действия:
1 В окне Настройка параметров безопасности на вкладке Ключи (см. рисунок на стр. 260) нажмите кнопку Просмотр.
2 В окне Свойства контейнера ключей нажмите кнопку Проверить.
Программа сформирует фрагмент данных, который будет подписан с помощью ключа электронной подписи. После чего будет выполнена проверка электронной подписи. Таким образом, можно выяснить пригодность ключа электронной подписи и его соответствие сертификату ключа проверки электронной подписи, хранящемуся в контейнере.
Примечание. Проверка возможна только в том случае, если в контейнере ключей есть сертификат, соответствующий ключу электронной подписи. Сертификат может отсутствовать в контейнере ключей, если он размещен отдельно.
Сертификат размещается отдельно от контейнера ключей, если запрос на обновление сертификата сформирован в ПО ViPNet CSP. Если запрос сформирован в другой программе, сертификат автоматически помещается в контейнер ключей.
При проверке ключа электронной подписи проверка действительности сертификата (срок его действия, отсутствие в списках аннулированных сертификатов и прочее) не выполняется.
Установка контейнера ключей
Если у вас есть контейнер ключей с сертификатом, который вы хотите использовать в программе
ViPNet Client, то вы можете его установить в окне Настройка параметров безопасности на вкладке