Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
330
Работа с запросами на сертификаты
Работа с запросами на сертификаты (см. «
Запрос на сертификат
» на стр. 374) выполняется в окне Менеджер сертификатов на вкладке Запросы на сертификат.
Для вызова окна Менеджер сертификатов:
1 В окне Настройка параметров безопасности откройте вкладку Подпись.
2 Нажмите кнопку Запросы на сертификаты.
Просмотр запроса на сертификат
Для просмотра подробной информации о запросе на сертификат:
1 В окне Менеджер сертификатов на вкладке Запросы на сертификат выберите нужный запрос, после чего нажмите кнопку Свойства или дважды щелкните по этому запросу.
2 В окне Запрос на сертификат просмотрите нужную информацию на соответствующих вкладках.
При необходимости запрос можно распечатать (на принтере, используемом по умолчанию на данном компьютере) с помощью кнопки Печать, а также сохранить в файл формата
*.txt
— с помощью кнопки Копировать в файл.

ViPNet Client Монитор 3.2. Руководство пользователя
331
Рисунок 160: Просмотр подробной информации о запросе на сертификат
Удаление запроса на сертификат
Для удаления запроса на сертификат:
1 В окне Менеджер сертификатов на вкладке Запросы на сертификат выберите нужный запрос (или несколько, удерживая клавишу Ctrl), после чего нажмите кнопку Удалить.
2 В окне подтверждения нажмите кнопку Да.
Информация о запросе будет удалена. Удаленный запрос не будет отображаться на вкладке Запросы на сертификаты.

ViPNet Client Монитор 3.2. Руководство пользователя
332
Экспорт сертификата
В программе ViPNet можно выполнить экспорт сертификата пользователя в различные форматы. Выбор формата экспорта зависит от целей, для которых проводится данный экспорт.
Экспорт сертификата может понадобиться для выполнения следующих задач:

архивирование сертификата;

копирование сертификата для использования на другом компьютере;

отправка сертификата другому пользователю для установления процесса обмена защищенными сообщениями;

вывод сертификата на печать.
Для экспорта сертификата в файл определенного формата:
1 Вызовите окно Сертификат для того сертификата, который необходимо экспортировать (см. «
Просмотр сертификатов
» на стр. 305).
2 Откройте вкладку Состав, после чего нажмите кнопку Копировать в файл.
3 На стартовой странице мастера экспорта сертификатов нажмите кнопку Далее.
Совет. Если при последующих запусках мастера желательно пропускать те или иные страницы, на этих страницах следует устанавливать флажок Не отображать
в дальнейшем эту страницу.
4 На странице Формат экспортируемого файла выберите один из предлагаемых форматов (см. «
Форматы экспорта сертификатов
» на стр. 333), после чего нажмите кнопку Далее.

ViPNet Client Монитор 3.2. Руководство пользователя
333
Рисунок 161: Выбор формата файла
5 На странице Имя файла экспорта укажите полный путь к создаваемому файлу, после чего нажмите кнопку Далее.
6 На странице Завершение работы мастера экспорта сертификатов убедитесь в правильности параметров экспорта, заданных на предыдущих страницах мастера, после чего нажмите кнопку Готово.
7 В окне с сообщением «Экспорт успешно выполнен» нажмите кнопку ОК.
Форматы экспорта сертификатов
При выборе формата экспорта сертификата следует руководствоваться перечисленными положениями.

При экспорте сертификатов для импорта на компьютер с ОС Windows наиболее предпочтительный формат экспорта — PKCS #7, в первую очередь потому, что этот формат обеспечивает сохранение цепочки центров сертификации, или пути сертификации любого сертификата. Некоторые приложения требуют при импорте сертификата из файла представления в виде DER или Base64. Поэтому формат экспорта необходимо выбирать в соответствии с требованиями приложения или системы, в которую этот сертификат предполагается импортировать.

Для просмотра сертификата и вывода его на печать используются текстовый и
HTML-форматы.

ViPNet Client Монитор 3.2. Руководство пользователя
334
Ниже находится подробная информация о каждом из форматов экспорта сертификатов, поддерживаемыми ПО ViPNet

Стандарт Cryptographic Message Syntax (PKCS #7)
Формат PKCS #7 позволяет передавать сертификат и все сертификаты в цепочке сертификации с одного компьютера на другой или с компьютера на внешнее устройство. Файлы PKCS #7 обычно имеют расширение .p7b и совместимы со стандартом ITU-T X.509. Формат PKCS#7 разрешает такие атрибуты, как удостоверяющие подписи, связанные с обычными подписями. Для таких атрибутов, как метка времени, можно выполнить проверку подлинности вместе с содержимым сообщения. Дополнительные сведения о формате PKCS #7 см. на странице PKCS #7 веб-узла RSA Labs http://www.rsa.com/rsalabs/node.asp?id=2129

Файлы в DER-кодировке X.509
DER (Distinguished Encoding Rules) для ASN.1, как определено в рекомендации ITU-
T Recommendation X.509, — более ограниченный стандарт кодирования, чем альтернативный BER (Basic Encoding Rules) для ASN.1, определенный в рекомендации ITU-T Recommendation X.209, на котором основан DER. И BER, и
DER обеспечивают независимый от платформы метод кодирования объектов, таких как сертификаты и сообщения, для передачи между устройствами и приложениями.
При кодировании сертификата большинство приложений используют стандарт DER, так как сертификат (сведения о запросе на сертификат) должен быть закодирован с помощью DER и подписан. Файлы сертификатов DER имеют расширение .cer.
Дополнительные сведения см. в документе «ITU-T Recommendation X.509,
Information Technology — Open Systems Interconnection — The Directory:
Authentication Framework» на веб-узле International Telecommunication Union (ITU) http://www.itu.int/ru/Pages/default.aspx

Файлы в Base64-кодировке X.509
Этот метод кодирования создан для работы с протоколом S/MIME, который популярен при передаче бинарных файлов через Интернет. Base64 кодирует файлы в текстовый формат ASCII, при этом в процессе прохождения через шлюз файлы практически не повреждаются. Протокол S/MIME обеспечивает работу некоторых криптографических служб безопасности для приложений электронной почты, включая механизм неотрекаемости (с помощью электронных подписей), секретность и безопасность данных (с помощью кодирования, процесса проверки подлинности и целостности сообщений). Файлы сертификатов Base64 имеют расширение .cer.
MIME (Multipurpose Internet Mail Extensions) спецификации (RFC 1341 and successors) определяет механизмы кодирования произвольных двоичных данных для передачи по электронной почте.

ViPNet Client Монитор 3.2. Руководство пользователя
335
Дополнительные сведения см. в документе «RFC 2633 S/MIME Version 3 Message
Specification, 1999» на веб-узле Internet Engineering Task Force (IETF) http://www.ietf.org/rfc/rfc2633.txt?number=2633

Файлы в HTML-формате
Файлы для просмотра и печати в любом веб-браузере, а также офисных и других программах, поддерживающих язык разметки гипертекста HTML.

Текстовые файлы
Файлы кодировки ANSI для просмотра в любом текстовом редакторе и вывода на печать.

ViPNet Client Монитор 3.2. Руководство пользователя
336
Работа с контейнером ключей
Контейнер ключей содержит закрытый ключ подписи и сертификат (см. «
Сертификат открытого ключа подписи пользователя
» на стр. 378), соответствующий закрытому ключу.
В программе ViPNet Client доступны следующие операции с контейнером ключей:

Установка (см. «
Установка нового контейнера ключей и смена контейнера ключей с текущим сертификатом
» на стр. 343).
Устанавливать новый или выполнять смену контейнера ключей с текущим сертификатом может потребоваться в следующих случаях: o
Если сертификат не был сопоставлен закрытому ключу, который хранится в контейнере, — например, вследствие того, что сертификат хранится отдельно от закрытого ключа. Контейнер ключей может быть установлен как совместно с сертификатом (см. «
Установка сертификатов в хранилище
» на стр. 311), так и отдельно (см. «
Установка нового контейнера ключей и смена контейнера ключей с текущим сертификатом
» на стр. 343) (например, в случае, если закрытый ключ хранится в контейнере, а сертификат сформирован по запросу пользователя в программе ViPNet Удостоверяющий и ключевой центр или
ViPNet Manager). o
Если контейнер был сформирован другим приложением или перенесен с другого компьютера.

Смена и удаление сохраненного пароля к контейнеру (см. «
Смена пароля к контейнеру
» на стр. 338).
Заданный пароль к контейнеру ключей рекомендуется использовать в течение
1 года. По истечении этого срока следует задать новый пароль. Удалять сохраненный пароль к контейнеру ключей может потребоваться в том случае, если изменились условия эксплуатации пароля и (или) регламент вашей организации, вследствие чего хранение пароля на компьютере стало недопустимым.

Удаление закрытого ключа, который хранится в контейнере (см. «
Удаление закрытого ключа
» на стр. 342).
Удаление закрытого ключа из контейнера ключей требуется в следующих случаях: o в том случае, если в этом закрытом ключе нет больше необходимости — например, вследствие истечения срока его действия; o при компрометации или отзыве сертификата, соответствующего закрытому ключу.

ViPNet Client Монитор 3.2. Руководство пользователя
337

Изменение расположения контейнера (см. «
Перенос контейнера ключей
» на стр.
344).
Перенос текущего контейнера ключей требуется в следующих случаях: o если расположение контейнера было изменено, например, вследствие того, что хранение контейнера по прежнему пути было признано небезопасным; o при переходе на способ аутентификации Устройство в случае, если используются процедуры подписи и шифрования внутри сторонних приложений и при этом контейнер ключей изначально не хранился на внешнем устройстве, используемом для аутентификации (см. «
Изменение способа аутентификации пользователя
» на стр. 262).
Внимание! В рамках ПО ViPNet CUSTOM выполнять различные операции с контейнером ключей может только пользователь, который обладает правом подписи. Такое право предоставляется пользователям сети ViPNet в программе
ViPNet Центр управления сетью.
Для работы с контейнером ключей (см. «
Контейнер ключей
» на стр. 375):
1 Откройте вкладку Ключи.
Рисунок 162: Работа с контейнером ключей
2 В группе Подпись нажмите одну из следующих кнопок:

ViPNet Client Монитор 3.2. Руководство пользователя
338
o
Просмотр — для просмотра подробной информации об используемом контейнере ключей, а также для изменения свойств контейнера:

смены пароля (см. «
Смена пароля к контейнеру
» на стр. 338);

удаления пароля (см. «
Удаление сохраненного на компьютере пароля к контейнеру ключей
» на стр. 340);

проверки соответствия закрытого ключа сертификату (см. «
Проверка контейнера ключей
» на стр. 341);

удаления закрытого ключа (см. «
Удаление закрытого ключа
» на стр. 342). o
Установить контейнер — для установки нового и смены контейнера ключей с текущим сертификатом (см. «
Установка нового контейнера ключей и смена контейнера ключей с текущим сертификатом
» на стр. 343). o
Перенести — для изменения расположения контейнера ключей (см. «
Перенос контейнера ключей
» на стр. 344).
Примечание. В группе Подпись отображается информация о закрытом ключе, соответствующем текущему сертификату. При установке нового контейнера ключей (см. «
Установка нового контейнера ключей и смена контейнера ключей с текущим сертификатом
» на стр. 343) информация о текущем сертификате, отображаемая на вкладке Подпись, меняется автоматически.
Смена пароля к контейнеру
Заданный пароль к контейнеру ключей рекомендуется использовать в течение 1 года. По истечении этого срока следует задать новый пароль.
Для смены пароля к контейнеру ключей:
1 В окне Настройка параметров безопасности на вкладке Ключи (см. Рисунок 162 на стр. 337) нажмите кнопку Просмотр.
2 В окне Свойства контейнера ключей нажмите кнопку Сменить пароль.

ViPNet Client Монитор 3.2. Руководство пользователя
339
Рисунок 163: Информация о контейнере ключей
3 При появлении сообщения «Для данного контейнера смена пароля возможна только в настройке безопасности приложений ViPNet» нажмите кнопку OK, после чего завершите работу с окном Свойства контейнера ключей и измените пароль пользователя (см. «
Смена пароля пользователя
» на стр. 241).
Рисунок 164: Сообщение о невозможности смены пароля для доступа к контейнеру
Примечание. Появление данного окна связано с тем, что контейнер ключей защищен с использованием не пароля, а персонального ключа пользователя. В этом случае пароль к контейнеру совпадает с паролем пользователя, поэтому изменение пароля к контейнеру возможно только вместе с изменением пароля пользователя.
4 Если контейнер ключей пользователя создан в программе ViPNet Registration Point либо был перенесен (см. «
Перенос контейнера ключей
» на стр. 344) из папки

ViPNet Client Монитор 3.2. Руководство пользователя
340
ключей пользователя (по умолчанию
C:\Program Files (x86)\InfoTeCS\<название используемой программы ViPNet>\user_<идентификатор пользователя>\key_disk\dom
) в другую папку, после нажатия на кнопку Сменить
пароль появится окно Пароль. В окне Пароль введите текущий пароль доступа к контейнеру и нажмите кнопку OK.
Примечание. Если ранее был установлен режим Сохранить пароль, то окно
Пароль не появится.
5 В окне ViPNet CSP - пароль контейнера ключей укажите новый пароль в полях
Введите пароль и Подтверждение. Нажмите кнопку OK.
Рисунок 165: Смена пароля доступа к контейнеру ключей
Пароль доступа к контейнеру изменен.
Удаление сохраненного на компьютере пароля к
контейнеру ключей
Удалять сохраненный пароль к контейнеру ключей может потребоваться в том случае, если изменились условия эксплуатации пароля и (или) регламент вашей организации, вследствие чего хранение пароля на компьютере стало недопустимым.
Для удаления сохраненного пароля к контейнеру ключей и отображения окна ввода пароля при доступе к контейнеру:
1 В окне Настройка параметров безопасности на вкладке Ключи (см. Рисунок 162 на стр. 337) нажмите кнопку Просмотр.

ViPNet Client Монитор 3.2. Руководство пользователя
341
2 В окне Свойства контейнера ключей (см. Рисунок 163 на стр. 339) нажмите кнопку Удалить сохраненный пароль.
Сохраненный пароль удален. Теперь пароль необходимо вводить всякий раз при доступе к контейнеру ключей.
Проверка контейнера ключей
Проверка контейнера ключей позволяет убедиться, что файл контейнера не поврежден, хранящиеся в контейнере сертификат и закрытый ключ соответствуют друг другу и могут быть использованы для работы с защищенными документами.
Чтобы проверить контейнер, выполните следующие действия: