рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС
Скачать 7.67 Mb.
|
Настройка параметров безопасности на вкладке Электронная подпись установите флажок Автоматически вводить в действие сертификаты, изданные по запросу пользователя. При этом новый сертификат станет текущим только в том случае, если старый сертификат недействителен. Для выбора действительного личного сертификата в качестве текущего: 1 В окне Настройка параметров безопасности откройте вкладку Электронная подпись, после чего нажмите кнопку Выбрать. Если у вас есть хотя бы один действительный личный сертификат, появится окно Назначение сертификата текущим с информацией обо всех личных сертификатах, а также о сертификатах, установленных в хранилище операционной системы. Примечание. Сертификаты, установленные в хранилище операционной системы, отображаются в том случае, если на вкладке Администратор окна Настройка параметров безопасности установлен флажок Разрешить использование сертификатов из хранилища ОС (см. Дополнительные настройки параметров безопасности на стр. 220). Если не найден ни один действительный личный сертификат, появится окно с сообщением «Нет действительных сертификатов с действительным ключом электронной подписи». 2 В окне Назначение сертификата текущим выберите нужный сертификат, при необходимости воспользовавшись кнопкой Свойства для просмотра подробной информации о сертификате, после чего нажмите кнопку ОК. Примечание. В качестве текущего допускается использовать сертификат, который введен в действие. Изданный, но не введенный в действие личный сертификат необходимо сначала ввести в действие (см. Ввод сертификата в действие на стр. 251), а затем назначить текущим. ViPNet Client 4. Руководство пользователя | 254 При успешном выполнении описанных действий выбранный сертификат назначается текущим. При этом на вкладке Ключи (см. рисунок на стр. 260) в группе Электронная подпись меняется информация о контейнере ключей, с которым сопоставлен выбранный сертификат. Работа с запросами на сертификаты Работа с запросами на сертификаты (см. глоссарий, стр. 382) выполняется в окне Менеджер сертификатов на вкладке Запросы на сертификат. Для вызова окна Менеджер сертификатов: 1 В окне Настройка параметров безопасности откройте вкладку Электронная подпись. 2 Нажмите кнопку Запросы на сертификат. Просмотр запроса на сертификат Для просмотра подробной информации о запросе на сертификат: 1 В окне Менеджер сертификатов на вкладке Запросы на сертификат выберите нужный запрос, после чего нажмите кнопку Свойства или дважды щелкните по этому запросу. 2 В окне Запрос на сертификат просмотрите нужную информацию на соответствующих вкладках. При необходимости запрос можно распечатать (на принтере, используемом по умолчанию на данном компьютере) с помощью кнопки Печать, а также сохранить в файл формата *.txt — с помощью кнопки Копировать в файл. ViPNet Client 4. Руководство пользователя | 255 Рисунок 122. Просмотр подробной информации о запросе на сертификат Удаление запроса на сертификат Для удаления запроса на сертификат: 1 В окне Менеджер сертификатов на вкладке Запросы на сертификат выберите нужный запрос (или несколько, удерживая клавишу Ctrl), после чего нажмите кнопку Удалить. 2 В окне подтверждения нажмите кнопку Да. Информация о запросе будет удалена. Удаленный запрос не будет отображаться на вкладке Запросы на сертификат, при этом сертификат, изданный по этому запросу, сохранится. Экспорт сертификата В программе ViPNet можно выполнить экспорт сертификата пользователя в различные форматы. Выбор формата экспорта зависит от целей, для которых проводится данный экспорт. Экспорт сертификата может понадобиться для выполнения следующих задач: архивирование сертификата; копирование сертификата для использования на другом компьютере; ViPNet Client 4. Руководство пользователя | 256 отправка сертификата другому пользователю для организации обмена зашифрованными сообщениями; просмотр сертификата в удобной форме. Для экспорта сертификата в файл определенного формата: 1 Вызовите окно Сертификат для того сертификата, который необходимо экспортировать (см. Просмотр сертификатов на стр. 232). 2 Откройте вкладку Состав, после чего нажмите кнопку Копировать в файл. 3 На начальной странице мастера экспорта сертификатов нажмите кнопку Далее. Совет. Если при последующих запусках мастера желательно пропускать первую страницу, установите на ней флажок Не отображать в дальнейшем эту страницу. 4 На странице Формат экспортируемого файла выберите один из предлагаемых форматов (см. Форматы экспорта сертификатов на стр. 256), после чего нажмите кнопку Далее. Рисунок 123. Выбор формата файла 5 На странице Имя файла экспорта укажите полный путь к создаваемому файлу, после чего нажмите кнопку Далее. 6 На странице Завершение работы мастера экспорта сертификатов убедитесь в правильности параметров экспорта, заданных на предыдущих страницах мастера, после чего нажмите кнопку Готово. 7 В окне с сообщением об успешном экспорте нажмите кнопку ОК. Форматы экспорта сертификатов При выборе формата экспорта сертификата следует руководствоваться перечисленными положениями. ViPNet Client 4. Руководство пользователя | 257 При экспорте сертификатов для импорта на компьютер с ОС Windows предпочтительный формат экспорта — PKCS #7, поскольку этот формат обеспечивает сохранение цепочки центров сертификации (пути сертификации). Некоторые приложения требуют при импорте сертификата из файла представления в виде DER или Base64. Поэтому формат экспорта необходимо выбирать в соответствии с требованиями приложения или системы, в которую этот сертификат предполагается импортировать. Для просмотра сертификата и вывода его на печать используются текстовый и HTML-форматы. Ниже приведена подробная информация о каждом из форматов экспорта сертификатов, поддерживаемых ПО ViPNet. Стандарт Cryptographic Message Syntax (PKCS #7) Формат PKCS #7 позволяет передавать сертификат и все сертификаты в цепочке сертификации с одного компьютера на другой или с компьютера на внешнее устройство. Файлы PKCS #7 обычно имеют расширение .p7b и совместимы со стандартом ITU-T X.509. Формат PKCS#7 разрешает такие атрибуты, как удостоверяющие подписи, связанные с обычными подписями. Для таких атрибутов, как метка времени, можно выполнить проверку подлинности вместе с содержимым сообщения. Дополнительные сведения о формате PKCS#7 см. на веб-сайте RSA Laboratories. Файлы в DER-кодировке X.509 DER (Distinguished Encoding Rules) для ASN.1, как определено в рекомендации ITU-T Recommendation X.509, — более ограниченный стандарт кодирования, чем альтернативный BER (Basic Encoding Rules) для ASN.1, определенный в рекомендации ITU-T Recommendation X.209, на котором основан DER. И BER, и DER обеспечивают независимый от платформы метод кодирования объектов, таких как сертификаты и сообщения, для передачи между устройствами и приложениями. При кодировании сертификата большинство приложений используют стандарт DER, так как сертификат (сведения о запросе на сертификат) должен быть закодирован с помощью DER и подписан. Файлы сертификатов DER имеют расширение .cer Дополнительные сведения см. в документе «ITU-T Recommendation X.509, Information Technology — Open Systems Interconnection — The Directory: Authentication Framework» на веб-узле International Telecommunication Union (ITU) Файлы в Base64-кодировке X.509 Этот метод кодирования создан для работы с протоколом S/MIME, который популярен при передаче бинарных файлов через Интернет. Base64 кодирует файлы в текстовый формат ASCII, что обеспечивает целостность информации при ее передаче по сети. Протокол S/MIME обеспечивает работу некоторых криптографических служб безопасности для приложений электронной почты, включая механизм неотрекаемости (с помощью электронных подписей), секретность и безопасность данных (с помощью кодирования, процесса проверки подлинности и целостности сообщений). Файлы сертификатов Base64 имеют расширение .cer MIME (Multipurpose Internet Mail Extensions, спецификация RFC 1341 и последующие) определяет механизмы кодирования произвольных двоичных данных для передачи по электронной почте. ViPNet Client 4. Руководство пользователя | 258 Дополнительные сведения см. в документе «RFC 2633 S/MIME Version 3 Message Specification, 1999» на веб-узле Internet Engineering Task Force (IETF) Файлы в HTML-формате Файлы для просмотра и печати в любом веб-браузере, а также в офисных и других программах, поддерживающих язык разметки гипертекста HTML. Текстовые файлы Файлы в кодировке ANSI для просмотра в любом текстовом редакторе и вывода на печать. Файлы в формате PFX (PKCS #12) Формат PFX (PKCS#12) поддерживает безопасное хранение сертификата и закрытого ключа, соответствующего сертификату пользователя, может содержать все сертификаты в цепочке доверия от сертификата пользователя до корневого сертификата удостоверяющего центра и CRL. ViPNet Client 4. Руководство пользователя | 259 Работа с контейнером ключей Контейнер ключей (см. глоссарий, стр. 383) содержит ключ электронной подписи (см. глоссарий, стр. 383) и соответствующий ему сертификат ключа проверки электронной подписи (см. глоссарий, стр. 386), если он установлен в контейнер. В программе ViPNet Client вы можете выполнять следующие операции с контейнером ключей: Установка (см. Установка контейнера ключей на стр. 263). Установка нового контейнера ключей указанным способом требуется в том случае, если у вас есть новый контейнер ключей, и вы хотите его использовать. Вы также можете установить контейнер ключей с помощью программы ViPNet CSP, входящей в состав ViPNet Client. Но при этом использовать ключ и сертификат из такого контейнера ключей вы сможете только в том случае, если вам разрешено использование внешних сертификатов (см. Дополнительные настройки параметров безопасности на стр. 220). В противном случае, они будут вам недоступны, даже если контейнер ключей будет установлен. Смена и удаление сохраненного пароля к контейнеру (см. Смена пароля к контейнеру на стр. 261). Заданный пароль к контейнеру ключей рекомендуется использовать в течение 1 года. По истечении этого срока следует задать новый пароль. Удаление сохраненного пароля может потребоваться, если изменился регламент безопасности вашей организации и хранение пароля на компьютере стало недопустимым. Изменение расположения контейнера (см. Перенос контейнера ключей на стр. 265). Перенос текущего контейнера ключей требуется в следующих случаях: o если расположение контейнера было изменено, например, вследствие того, что хранение контейнера по прежнему пути было признано небезопасным; o при переходе на способ аутентификации Устройство в случае, если используются процедуры электронной подписи и шифрования внутри сторонних приложений и при этом контейнер ключей изначально не хранился на внешнем устройстве, используемом для аутентификации (см. Изменение способа аутентификации пользователя на стр. 221). Внимание! В сети ViPNet, управляемой с помощью ПО ViPNet Administrator, выполнять различные операции с контейнером ключей может только пользователь, который обладает правом подписи. Такое право предоставляется пользователям сети ViPNet в программе ViPNet Удостоверяющий и ключевой центр. Для работы с контейнером ключей: 1 Откройте вкладку Ключи. ViPNet Client 4. Руководство пользователя | 260 Рисунок 124. Работа с контейнером ключей 2 В группе Электронная подпись нажмите одну из следующих кнопок: o Просмотр — для просмотра подробной информации об используемом контейнере ключей, а также для изменения свойств контейнера: смены пароля (см. Смена пароля к контейнеру на стр. 261); удаления пароля (см. Удаление сохраненного на компьютере пароля к контейнеру ключей на стр. 262); проверки соответствия ключа электронной подписи сертификату (см. Проверка контейнера ключей на стр. 263); удаления ключа электронной подписи. o Установить контейнер — для установки нового контейнера ключей (см. Установка контейнера ключей на стр. 263). o Перенести — для изменения расположения контейнера ключей (см. Перенос контейнера ключей на стр. 265). Примечание. В группе Электронная подпись отображается информация о ключе электронной подписи, соответствующем текущему сертификату. ViPNet Client 4. Руководство пользователя | 261 Смена пароля к контейнеру Заданный пароль к контейнеру ключей рекомендуется использовать в течение 1 года. По истечении этого срока следует задать новый пароль. Описанный ниже сценарий смены пароля к контейнеру ключей применяется только для контейнеров, которые были созданы в программе ViPNet Registration Point, либо были перенесены из папки ключей пользователя (по умолчанию C:\ProgramData\InfoTeCS\ViPNet Registration Point\Mftp_Transport\<идентификатор пользователя>\key_disk\dom ) в другую папку. В остальных случаях смена пароля к контейнеру предполагает смену пароля пользователя ViPNet (см. Смена пароля пользователя на стр. 228). Для смены пароля к контейнеру ключей: 1 В окне Настройка параметров безопасности на вкладке Ключи (см. рисунок на стр. 260) нажмите кнопку Просмотр. 2 В окне Свойства контейнера ключей нажмите кнопку Сменить пароль. Рисунок 125: Смена пароля к контейнеру ключей 3 При появлении сообщения «Для данного контейнера смена пароля возможна только в настройке безопасности приложений ViPNet» нажмите кнопку OK, после чего завершите работу с окном Свойства контейнера ключей и измените пароль пользователя (см. Смена пароля пользователя на стр. 228). 4 В окне Пароль введите текущий пароль доступа к контейнеру ключей и нажмите кнопку OK. Примечание. Если ранее был установлен режим Сохранить пароль, то окно Пароль не появится. ViPNet Client 4. Руководство пользователя | 262 5 В окне ViPNet CSP - смена пароля контейнера ключей укажите текущий пароль, задайте и подтвердите новый пароль. Нажмите кнопку OK. Внимание! Запрещается вводить пароль при помощи операций копирования и вставки через буфер обмена. Чтобы сохранить пароль для последующих обращений к контейнеру ключей, установите флажок Сохранить пароль. Рисунок 126. Смена пароля доступа к контейнеру ключей Внимание! Не создавайте пароль длиной в 32 символа. Пароли с такой длиной не могут использоваться в текущих версиях приложений ViPNet. Данное ограничение связано с существующим алгоритмом передачи пароля в криптопровайдер. В соответствии с этим алгоритмом длина пароля не должна превышать 31 символ. Пароль доступа к контейнеру ключей изменен. Удаление сохраненного на компьютере пароля к контейнеру ключей Удаление сохраненного пароля к контейнеру ключей может потребоваться, если изменились условия эксплуатации пароля или регламент вашей организации, вследствие чего хранение пароля на компьютере стало недопустимым. Для удаления сохраненного пароля к контейнеру ключей и отображения окна ввода пароля при доступе к контейнеру: 1 В окне Настройка параметров безопасности на вкладке Ключи (см. рисунок на стр. 260) нажмите кнопку Просмотр. 2 В окне Свойства контейнера ключей нажмите кнопку Удалить сохраненный пароль. Сохраненный пароль будет удален. Теперь пароль необходимо вводить всякий раз при доступе к контейнеру ключей. ViPNet Client 4. Руководство пользователя | 263 Проверка контейнера ключей Проверка контейнера ключей позволяет убедиться, что файл контейнера не поврежден, хранящиеся в контейнере сертификат и ключ электронной подписи соответствуют друг другу и могут быть использованы для работы с защищенными документами. Чтобы проверить контейнер ключей, выполните следующие действия: 1 В окне Настройка параметров безопасности на вкладке Ключи (см. рисунок на стр. 260) нажмите кнопку Просмотр. 2 В окне Свойства контейнера ключей нажмите кнопку Проверить. Программа сформирует фрагмент данных, который будет подписан с помощью ключа электронной подписи. После чего будет выполнена проверка электронной подписи. Таким образом, можно выяснить пригодность ключа электронной подписи и его соответствие сертификату ключа проверки электронной подписи, хранящемуся в контейнере. Примечание. Проверка возможна только в том случае, если в контейнере ключей есть сертификат, соответствующий ключу электронной подписи. Сертификат может отсутствовать в контейнере ключей, если он размещен отдельно. Сертификат размещается отдельно от контейнера ключей, если запрос на обновление сертификата сформирован в ПО ViPNet CSP. Если запрос сформирован в другой программе, сертификат автоматически помещается в контейнер ключей. При проверке ключа электронной подписи проверка действительности сертификата (срок его действия, отсутствие в списках аннулированных сертификатов и прочее) не выполняется. Установка контейнера ключей Если у вас есть контейнер ключей с сертификатом, который вы хотите использовать в программе ViPNet Client, то вы можете его установить в окне Настройка параметров безопасности на вкладке |