Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
317
Примечание. Кнопка Добавить активна в том случае, если в контейнере хранится хотя бы один закрытый ключ, не сопоставленный сертификату (в таблице Закрытые ключи столбец Сертификат для строки с информацией о закрытом ключе является пустым).
3 В появившемся окне Открыть выберите формат файла сертификата (
*.cer или
*.p7b
), после чего выберите сертификат, соответствующий закрытому ключу.
Если указанный сертификат не соответствует закрытому ключу, появится окно с сообщением «Ключ не найден».
Если указанный сертификат соответствует закрытому ключу, в таблице Закрытые
ключи в столбце Сертификат для строки с информацией о закрытом ключе появится значок . После этого сертификат может быть использован криптопровайдером ViPNet CSP для подписи и шифрования.
Смена текущего сертификата
Если у вас есть несколько действительных личных сертификатов, вы можете использовать любой из них в качестве текущего.
Внимание! Если при обновлении сертификата новый сертификат, изданный по запросу пользователя, передан на сетевой узел в составе ключей пользователя, то для использования такого сертификата необходимо выбрать его в качестве текущего.
Для выбора действительного личного сертификата в качестве текущего:
1 В окне Настройка параметров безопасности откройте вкладку Подпись, после чего нажмите кнопку Выбрать.
Если у вас есть хотя бы один действительный личный сертификат, появится окно
Выбор сертификата с информацией обо всех личных сертификатах, а также о сертификатах, установленных в хранилище операционной системы.
Примечание. Сертификаты, установленные в хранилище операционной системы, отображаются в том случае, если на вкладке Администратор окна Настройка
параметров безопасности установлен флажок Разрешить использование
внешних сертификатов (см. «
Дополнительные настройки параметров безопасности
» на стр. 260).

ViPNet Client Монитор 3.2. Руководство пользователя
318
Если не найден ни один действительный личный сертификат, появится окно с сообщением «Нет действительных сертификатов с действительным закрытым ключом».
2 В окне Выбор сертификата выберите нужный сертификат, при необходимости воспользовавшись кнопкой Свойства для просмотра подробной информации о сертификате, после чего нажмите кнопку ОК.
Примечание. В качестве текущего можно использовать только тот действительный личный сертификат, который введен в действие. Изданный, но не введенный в действие личный сертификат необходимо сначала ввести в действие
(см. «
Ввод сертификатов в действие
» на стр. 328), а затем назначить текущим.
При успешном выполнении описанных действий выбранный сертификат назначается текущим. При этом на вкладке Ключи (см. Рисунок 162 на стр. 337) в группе Подпись меняется информация о контейнере ключей, в котором хранится выбранный сертификат.
Обновление закрытого ключа и сертификата
Сертификат открытого ключа и закрытый ключ имеют ограниченный срок действия, поэтому их требуется регулярно обновлять. При обновлении сертификата закрытый ключ также обновляется.
Обновление сертификата и закрытого ключа, который соответствует данному сертификату, требуется в следующих случаях:

Истек срок действия сертификата открытого ключа. Срок действия сертификата может составлять до 5 лет.

Истек срок действия закрытого ключа. Срок действия закрытого ключа составляет 1 год (если срок действия сертификата превышает 1 год) или равен сроку действия сертификата (если срок действия сертификата меньше 1 года).

Требуется получить сертификат, содержащий дополнительные атрибуты. Например, для использования сертификата в системах документооборота могут быть добавлены назначения сертификата, изменены данные о владельце сертификата
(должность, подразделение и другие), добавлены расширения либо политики применения сертификата.

ViPNet Client Монитор 3.2. Руководство пользователя
319
Таким образом, требуется обновлять сертификат открытого ключа и закрытый ключ не реже, чем 1 раз в год.
Примечание. Если истек срок действия закрытого ключа, но при этом сертификат открытого ключа остается действительным, можно создать запрос на обновление сертификата. Запрос будет подписан закрытым ключом, но подпись будет недействительной. Она будет использоваться не для подтверждения авторства, а только для проверки целостности запроса. В этом случае потребуется ваше подтверждение корректности запроса согласно регламенту, принятому в
Удостоверяющем центре.
Если истек срока действия и закрытого ключа и сертификата, запрос на обновление создать невозможно. Новый сертификат в этом случае может быть издан только по инициативе администратора программы ViPNet Удостоверяющий и ключевой центр.
Настройка оповещения об истечении срока действия закрытого ключа и
сертификата
По умолчанию программа ViPNet Client начинает выдавать предупреждения за 15 дней до истечения срока действия сертификата или закрытого ключа.
Чтобы изменить настройки оповещения, выполните следующие действия:
1 В окне Настройка параметров безопасности откройте вкладку Подпись.
В поле Информация о текущем сертификате указан срок действия сертификата.

ViPNet Client Монитор 3.2. Руководство пользователя
320
Рисунок 150: Просмотр информации о текущем сертификате и настройка
параметров оповещения об истечении сроков действия закрытого ключа и
сертификата
2 Установите или снимите флажок Сообщать об истечении сроков действия
текущего сертификата и ключа за и в поле справа введите число дней не более 30.
Процедура обновления закрытого ключа и сертификата
За несколько дней до истечения срока действия сертификата или закрытого ключа требуется выполнить следующие действия:

Если включено оповещение об истечении срока действия сертификата и закрытого ключа:

ViPNet Client Монитор 3.2. Руководство пользователя
321
o
Когда до истечения срока остается заданное количество дней, программа ViPNet
Client выдаст соответствующее сообщение.
Рисунок 151: Предупреждения о скором истечении срока действия сертификата
и закрытого ключа
o
Если истекает срок действия сертификата, в окне сообщения выберите
Отправить запрос на обновление сертификата, после чего нажмите кнопку
OK. Будет запущен Мастер обновления сертификата.
Примечание. Можно также открыть окно настройки параметров подписи или отложить отправку запроса на обновление сертификата. o
Если истекает срок действия закрытого ключа, в окне сообщения выберите
Открыть настройки подписи, после чего нажмите кнопку ОК. В появившемся окне Настройка параметров безопасности на вкладке Подпись нажмите кнопку Обновить сертификат.

Если оповещение об истечении срока действия сертификата и закрытого ключа отключено: o
В окне Настройка параметров безопасности откройте вкладку Подпись. o
На вкладке Подпись (см. Рисунок 150 на стр. 320) нажмите кнопку Обновить
сертификат. Будет запущен Мастер обновления сертификата.

ViPNet Client Монитор 3.2. Руководство пользователя
322
Чтобы сформировать и отправить запрос на обновление сертификата и закрытого ключа с помощью мастера:
1 На стартовой странице мастера обновления сертификата нажмите кнопку Далее.
Рисунок 152: Стартовая страница мастера обновления сертификата
2 На странице Открытый ключ: o
Укажите параметры открытого ключа в соответствии с приведенной ниже таблицей:
Таблица8. Характеристики алгоритма ГОСТ Р 34.10-2001
Алгоритм
подписи
Описание
Параметры
алгоритма
Описание параметров
Длина
ключа
ГОСТ Р
34.10-2001
Новый стандарт электронной подписи, основанный на арифметике эллиптических кривых.
OID
«1.2.643.2.2.19»
ГОСТ Р 34.10-
2001
Параметры по умолчанию
(рекомендуется).
OID «1.2.643.2.2. 35.1»
512
ГОСТ Р 34.10-
2001
Параметры подписи 3 (в соответствии с RFC 4357 http://www.ietf.org/rfc/rfc
4357.txt
).
OID «1.2.643.2.2. 35.3»
Совет. Рекомендуется использовать параметры алгоритма, предлагаемые по умолчанию. Данные параметры характеризуются наибольшей скоростью вычисления и проверки подписи.

ViPNet Client Монитор 3.2. Руководство пользователя
323
Рисунок 153: Выбор параметров открытого ключа
o
В списке Назначение ключа выберите нужное значение:

если сертификат предполагается использовать в рамках ПО ViPNet — значение Подпись;

если сертификат предполагается использовать как в рамках ПО ViPNet, так и во внешних программах (например, в MS Outlook), — значение Подпись и
шифрование. o
Нажмите кнопку Далее.
3 На странице Контейнер с закрытым ключом укажите место хранения контейнера ключей: o папку на диске, o устройство с указанием его параметров и ПИН-кода.
Примечание. Для использования какого-либо внешнего устройства необходимо подключить и установить драйверы этого устройства. Перечень доступных устройств хранения данных и полезная информация об использовании устройств содержится в разделе
Информация о внешних устройствах хранения данных
(на стр. 46).
После этого нажмите кнопку Далее.

ViPNet Client Монитор 3.2. Руководство пользователя
324
Рисунок 154: Указание места хранения контейнера ключей
4 На странице Срок действия сертификата задайте желаемый срок действия обновляемого сертификата удобным для вас способом, после чего нажмите кнопку
Далее.
Рисунок 155: Указание желаемого срока действия сертификата
5 На странице Способ передачи сертификата выберите, каким образом запрос на обновление сертификата будет передан в программу ViPNet Удостоверяющий и ключевой центр или ViPNet Manager: o
Передать через транспортный модуль — отправка запроса через транспортный модуль ViPNet MFTP.

ViPNet Client Монитор 3.2. Руководство пользователя
325
o
Передать через файл — сохранение запроса в файл формата *.sok по пути, указанному с помощью кнопки Обзор. По завершении работы мастера обновления этот файл необходимо передать администратору вашей сети ViPNet.
После этого нажмите кнопку Далее.
Рисунок 156: Выбор способа передачи сертификата в программу ViPNet
Удостоверяющий и ключевой центр или ViPNet Manager
6 На странице Готовность к созданию запроса на сертификат: o
Убедитесь в правильности параметров, заданных на предыдущих страницах мастера. При необходимости изменения параметров вернитесь на нужную страницу с помощью кнопки Назад. o
При необходимости печати информации о запросе на принтере, используемом по умолчанию на данном сетевом узле, убедитесь в том, что установлен флажок
Печатать информацию о запросе. В противном случае снимите флажок.
После этого нажмите кнопку Далее.
7 При появлении электронной рулетки следуйте указаниям окна.
Примечание. В случае если в рамках текущей сессии электронная рулетка уже была запущена, данное окно не появится.
8 На странице Завершение работы мастера обновления сертификата:

ViPNet Client Монитор 3.2. Руководство пользователя
326
o
В случае если ранее на странице Способ передачи сертификата выбран способ
Передать через файл, нажмите кнопку Готово. Работа мастера обновления сертификата завершена. Созданный файл необходимо передать администратору вашей сети ViPNet. o
В случае если ранее на странице Способ передачи сертификата выбран способ
Передать через транспортный модуль, задайте значения следующих параметров:

Ожидать ответа на запрос — для входа в режим ожидания ответа от программы ViPNet Удостоверяющий и ключевой центр или ViPNet Manager.
Примечание. Время ожидания ответа от программы ViPNet Удостоверяющий и ключевой центр может значительно варьироваться в зависимости от параметров настройки этой программы. Если программа ViPNet Удостоверяющий и ключевой центр настроена на автоматическую обработку запросов на сертификаты, время ожидания ответа не превышает 5 мин. Если обработка запросов в программе
ViPNet Удостоверяющий и ключевой центр осуществляется вручную, время ожидания ответа не ограничено. Подробнее см. документ «ViPNet Administrator
Удостоверяющий и ключевой центр. Руководство администратора».

Ввести изданный сертификат в действие — для ввода изданного сертификата в действие и назначения его текущим сразу после получения.
Примечание. Флажок Ввести изданный сертификат в действие можно не устанавливать, если в окне Настройка параметров безопасности на вкладке
Подпись установлен флажок Автоматически вводить в действие
сертификаты, изданные по запросу пользователя.
Нажмите кнопку Готово.
9 Если при выборе передачи сертификата через транспортный модуль был установлен флажок Ожидать ответа на запрос, при появлении сообщения «Ожидание ответа удостоверяющего центра» дождитесь отображения ответа от программы ViPNet
Удостоверяющий и ключевой центр или ViPNet Manager: o
Запрос на сертификат удовлетворен — обновленный сертификат получен. o
Запрос на сертификат отклонен — сертификат не был обновлен. Обратитесь к администратору вашей сети ViPNet для уточнения причин отклонения запроса.

ViPNet Client Монитор 3.2. Руководство пользователя
327
Примечание. Запрос, переданный программе ViPNet Manager, обрабатывается автоматически и не может быть отклонен.
Рисунок 157: Ожидание ответа от программы ViPNet Удостоверяющий и ключевой
центр или ViPNet Manager
Рисунок 158: Возможные ответы от программ ViPNet Удостоверяющий и ключевой
центр или ViPNet Manager
10 Убедитесь в том, что изданный сертификат введен в действие. o
Вызовите окно Настройка параметров безопасности, после чего откройте вкладку Подпись. o
Нажмите кнопку Запросы на сертификат.

ViPNet Client Монитор 3.2. Руководство пользователя
328
o
Убедитесь в том, что для отправленного запроса отображается статус
сертификат введен в действие.
Рисунок 159: Статус запроса в случае ввода сертификата в действие
11 Если сертификат издан, но не введен в действие автоматически (статус запроса
удовлетворен), выполните ввод сертификата в действие вручную (см. «
Ввод в действие вручную
» на стр. 329).
Ввод сертификатов в действие
Для того чтобы использовать сертификат, полученный из ViPNet Удостоверяющий и ключевой центр или ViPNet Manager в результате обновления либо переданный на используемый сетевой узел в виде файла, необходимо ввести этот сертификат в действие, то есть установить этот сертификат в контейнер путем сопоставления его с соответствующим закрытым ключом.
Ввод в действие автоматически
Для того чтобы ввод в действие сертификатов, полученных из программы ViPNet
Удостоверяющий и ключевой центр или ViPNet Manager, выполнялся автоматически, убедитесь в том, что установлен флажок Автоматически вводить в действие
сертификаты, изданные по запросу пользователя, а также флажок Автоматически
вводить в действие сертификаты, изданные по инициативе администратора УКЦ, после чего нажмите кнопку Применить или ОК.
Сертификаты будут введены в действие автоматически в течение часа с момента их получения.