После установки лицензии (см. раздел 2.1) необходимо инициализировать центр сертификации.

  • Для инициализации ЦС с генерацией собственного ключа нажмите кнопку <Сгенерировать ключ и создать центр сертификации> и выполните инструкции из раздела 3.1.
  • Для инициализации ЦС с импортом существующего ключа из контейнера PKCS#12 нажмите кнопку <Импортировать ключ и создать центр сертификации> и выполните инструкции из раздела 3.2.

Инициализация Центра сертификации с генерацией ключа

Инициализация Корневого Центра сертификации с генерацией ключа

Для инициализации Корневого ЦС с генерацией ключа выполните следующие шаги:

  • Если в поле «Типы центров сертификации» указано значение «корневой, подчиненный», то отобразится модальное окно «Окно инициализации корневого центра сертификации. Шаг 1/4» с шагом выбора лицензии (см. Рисунок 13). Для инициализации Корневого ЦС необходимо выбрать тип «Корневой» и нажать на кнопку <Продолжить>. Если в поле «Типы центров сертификации» указано значение «корневой», то данный шаг пропускается.

Рисунок 13 – Окно инициализации ЦС. Шаг 1/4 . Выбор типа ЦС

  • На шаге 2/4 (см. Рисунок 14) заполните поля:
    • «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в веб‑интерфейсе Центра сертификации Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
    • «Имя центра сертификации» (Common Name) – выберите имя создаваемого корневого ЦС из перечня возможных имен в соответствии с параметрами лицензии;
    • «Суффикс различающегося имени» – укажите суффикс различающегося имени корневого сертификата (формат ввода суффикса приведен справа от поля). Ограничители ввода между параметрами – запятые и запятые с пробелами. Длина вводимого суффикса различающегося имени не должна превышать 250 байт. Ввод атрибутов возможен в любом порядке, но в сертификате порядок атрибутов будет установлен в соответствии с номерами пунктов, указанными в таблице ниже (Таблица 2).

Рисунок 14 – Окно инициализации корневого центра сертификации. Шаг 2/4

Таблица 2 – Поддерживаемые атрибуты суффикса различающегося имени

Наименование атрибута

Описание атрибута

1

EMAILADDRESS=

E‑mail address (адрес электронной почты) OID: 1.2.840.113549.1.9.1

2

CN=

Common name OID: 2.5.4.3

3

UID=

Unique Identifier (уникальный идентификатор) OID: 2.5.4.45

4

SERIALNUMBER=

Serial number (серийный номер) OID: 2.5.4.5

5

OU=

Organizational Unit (отдел (организации) OID: 2.5.4.11

6

O=

Organization (организация) OID: 2.5.4.10

7

L=

Locality (район) OID: 2.5.4.7

8

ST=

State or Province (область, край, республика) OID: 2.5.4.8

9

C=

Country (страна, ввод осуществлять согласно регламенту ISO 3166) OID: 2.5.4.6

10

T=

Title (заглавие) OID: 2.5.4.12

11

SURNAME=

Surname (фамилия) OID: 2.5.4.4

12

STREET=

Street address (адрес – улица) OID: 2.5.4.9

13

INITIALS=

First name abbreviation (инициалы) OID: 2.5.4.43

14

GIVENNAME=

Given name (first name ‑ имя) OID: 2.5.4.42

15

DC=

Domain Component (first) (первый доменный компонент, при повторном вводе – второй) OID: 0.9.2342.19200300.100.1.25

16

UNSTRUCTUREDADDRESS=

IP Address (IP‑адрес) OID: 1.2.840.113549.1.9.8

17

UNSTRUCTUREDNAME=

Domain name (доменное имя – FQDN) OID: 1.2.840.113549.1.9.2

18

POSTALCODE=

Postal code (почтовый индекс) OID: 2.5.4.17

19

BUSINESSCATEGORY=

Organization type (категория (тип) организации OID: 2.5.4.15

20

TELEPHONENUMBER=

Telephone number (телефонный номер) OID: 2.5.4.20

21

PSEUDONYM=

Pseudonym (псевдоним) OID: 2.5.4.65

22

POSTALADDRESS=

Postal adress (почтовый адрес) OID: 2.5.4.16

23

NAME=

//Name (дополнительное имя) OID: 2.5.4.41

24

DN=

DN Qualifier (признак отличительного имени для идентификации субъекта) OID: 2.5.4.46

25

DESCRIPTION=

Description (краткое описание) OID: 2.5.4.13

26

INN=

ИНН (идентификационный номер налогоплательщика) OID: 1.2.643.3.131.1.1

27

OGRN=

ОГРН (основной государственный регистрационный номер) OID: 1.2.643.100.1

28

OGRNIP=

ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя) OID: 1.2.643.100.5

29

SNILS=

СНИЛС (Страховой номер индивидуального лицевого счёта) OID: 1.2.643.100.3

30

INNLE=

ИНН юридического лица OID: 1.2.643.100.4

  • После заполнения полей нажмите на кнопку <Продолжить> для перехода к следующему шагу.
  • На шаге 3/4 необходимо определить, какой должен использоваться криптопровайдер для каждого алгоритма при создании сертификата ЦС и в последующих сценариях выпуска сертификатов субъектов. Для отключенных криптопровайдеров выбор алгоритма будет недоступен и при выпуске сертификатов, несмотря на допустимые значения в шаблонах. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 15):
    • «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
      • Стандартный (по умолчанию);
      • КриптоПро CSP[1] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA);
      • Отключен.
    • «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
      • Стандартный (по умолчанию);
      • Отключен.
    • «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
      • КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA»);
      • Отключен (по умолчанию).

На следующем шаге не будет доступен для выбора алгоритм ключа, для которого указано значение криптопровайдера «Отключен».

При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.

Рисунок 15 ‑ Окно инициализации корневого центра сертификации. Шаг 3/4

После выбора криптопровайдеров нажмите кнопку <Продолжить> для перехода к следующему шагу.

  • На шаге 4/4 необходимо указать срок действия сертификата ЦС и задать параметры криптографии (см. Рисунок 16). Заполните следующие поля:
    • «Cрок действия сертификата» – срок действия Корневого сертификата (по умолчанию – 10 лет). Ввод осуществляется вручную или выбором даты окончания действия сертификата в открывшемся календаре. Максимальный срок действия сертификата определяется шаблоном «Root CA» [2];
    • «Алгоритм ключа» (состав алгоритмов зависит от выбранных провайдеров):
      • RSA;
      • ECDSA;
      • ГОСТ Р 34.10‑2012.
    • «Длина ключа»:
      • для RSA: 1024, 1536, 2048, 3072, 4096, 6144, 8192 (по умолчанию 4096);
      • для ECDSA: 256, 384, 521 (по умолчанию 384);
      • для ГОСТ Р 34.10‑2012: 256, 512 (по умолчанию 512).
    • «Алгоритм хэш‑суммы»:
      • для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384, SHA512 (выбран по умолчанию);
      • для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.
    • «Место хранения закрытого ключа»:
      • Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является СКЗИ «КриптоПро CSP»:
        • Локальное хранилище Aladdin eCA (выбрано по умолчанию, требует заранее подготовленной на БДСЧ криптопровайдера СКЗИ «КриптоПро CSP» гаммы);
        • КриптоПро CSP (HDIMAGE);
        • КриптоПро HSM (доступно только при наличии подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM», создаваемые на ПАКМ «КриптоПро HSM» закрытые ключи ЦС являются неэкспортируемыми).
      • В противном случает в данном поле указано неизменяемое значение «Локальное хранилище Aladdin eCA».
    • Чек‑бокс «Экспортируемый закрытый ключ». Если выбрано место хранения закрытого ключа «Локальное хранилище Aladdin eCA», данный чек‑бокс включен по умолчанию и недоступен для изменения.

При выпуске сертификата доступа ЦС рекомендуется выбирать алгоритмы хэш‑суммы SHA256, SHA384 или SHA512 (в случае если в качестве алгоритма ключа выбран RSA или ECDSA).

Криптографическая хэш‑функция SHA1 не обеспечивает требуемой безопасности и может быть выбрана только при необходимости обеспечения совместимости.

Рисунок 16 – Окно инициализации корневого ЦС. Шаг 4/4

После задания значений нажать ставшую активной кнопку <Создать ЦС>.

  • В случае неудачной попытки создания ЦС будет отображено сообщение об ошибке (Таблица 3).

Таблица 3 – Перечень сообщений в случае неудачной попытки создания ЦС

Текст ошибки

Причина

Ошибка.

Некорректный компонент суффикса различающегося имени – <Имя компонента>

Ошибка ввода неизвестного имени компонента суффикса различающегося имени

Ошибка.

Лицензионные ограничения не позволяют создать ЦС используя данное имя

Ошибка несоответствия значения в компоненте «CN» суффикса различающегося имени значению, указанному в лицензии

Ошибка.

Произошла ошибка при создании ключевой пары для алгоритма «Название алгоритма».

Ошибка обращения к криптопровайдеру алгоритма генерации ключевой пары.

Ошибка.

Ошибка атрибута attributeName: Значение не соответствует регулярному выражению: «regex»

Ошибка валидации введенного значения атрибута различающегося имени[3]. Возможные значения переменной «attributeName» и соответствующие им значения переменной «regex» представлены в таблице ниже:

attributeName

regex

C

^[A‑Za‑z]{2}$

DN

^[A‑Za‑z0‑9''()+,\‑.\/:=? ]+$

EMAILADDRESS

^[A‑Za‑zА‑Яа‑я0‑9._‑]+@[A‑Za‑zА‑Яа‑я0‑9._‑]+$

SERIALNUMBER

^[A‑Za‑z0‑9''()+,\‑.\/:=? ]+$

INN

^\\d{12}$

OGRN

^\\d{13}$

OGRNIP

^\\d{15}$

SNILS

^\\d{11}$

INNLE

^\\d{10}$

Ошибка при создании Центра сертификации. Неизвестная ошибка

Внутренняя ошибка ПО

  • При успешном создании Корневого ЦС и завершении инициализации ЦС будет отображено соответствующее окно (см. Рисунок 17). В нём возможно:
    • скачать сертификат созданного Корневого ЦС;
    • скачать цепочку сертификатов в формате .pem;
    • или открыть страницу созданного Центра сертификации.

Также в результате успешного создания данного ЦС в контейнере закрытого ключа данного ЦС будут содержаться закрытый ключ данного ЦС и цепочка сертификатов данного ЦС [4].

Рисунок 17 – Окно завершения инициализации корневого ЦС

[1] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа «     . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.

[2] Про шаблон «Root CA» см. в Приложении 2 «Описание полей предустановленных шаблонов сертификатов». Приложение 2. Описание полей предустановленных шаблонов сертификатов

[3] Правила валидации значений атрибутов представлены в Приложении 3 «Правила валидации значений полей по умолчанию предустановленных шаблонов сертификатов».

[4] Если местом хранения закрытого ключа ЦС является ПАКМ «КриптоПро HSM», то созданный закрытый ключ ЦС будет неэкспортируемым.

Инициализация Подчиненного Центра сертификации с генерацией ключа

Для инициализации Подчиненного ЦС с созданием ключа выполните следующие шаги:

Если в поле «Типы центров сертификации» указано значение «корневой, подчиненный», то отобразится модальное окно «Окно инициализации корневого центра сертификации. Шаг 1/4» с шагом выбора лицензии (см. Рисунок 13). Для инициализации Подчиненного ЦС необходимо выбрать тип «Подчиненный» и нажать на кнопку <Продолжить>. Если в поле «Типы центров сертификации» указано значение «подчиненный», то данный шаг пропускается.

Рисунок 18 – Окно инициализации ЦС. Шаг 1/4 . Выбор типа ЦС

  • На шаге 2/4 (см. Рисунок 19) заполните поля:
    • «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в интерфейсе Центра сертификации Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
    • «Имя центра сертификации» (Common Name) – выберите имя создаваемого подчиненного ЦС из перечня возможных имен в соответствии с параметрами лицензии;
    • «Суффикс различающегося имени» – укажите суффикс различающегося имени подчиненного ЦС (формат ввода суффикса приведен справа от поля). Ограничители ввода между параметрами – запятые и запятые с пробелами. Длина вводимого суффикса различающегося имени не должна превышать 250 байт. Ввод атрибутов возможен в любом порядке, но в сертификате порядок атрибутов будет установлен в соответствии с номерами пунктов, указанных в таблице ниже (Таблица 4).

Рисунок 19 – Окно инициализации подчиненного центра сертификации. Шаг 2/4

Таблица 4 – Поддерживаемые атрибуты суффикса различающегося имени

Наименование атрибута

Описание атрибута

1

EMAILADDRESS=

E‑mail address (адрес электронной почты) OID: 1.2.840.113549.1.9.1

2

CN=

Common name OID: 2.5.4.3

3

UID=

Unique Identifier (уникальный идентификатор) OID: 2.5.4.45

4

SERIALNUMBER=

Serial number (серийный номер) OID: 2.5.4.5

5

OU=

Organizational Unit (отдел (организации) OID: 2.5.4.11

6

O=

Organization (организация) OID: 2.5.4.10

7

L=

Locality (район) OID: 2.5.4.7

8

ST=

State or Province (область, край, республика) OID: 2.5.4.8

9

C=

Country (страна, ввод осуществлять согласно регламенту ISO 3166) OID: 2.5.4.6

10

T=

Title (заглавие) OID: 2.5.4.12

11

SURNAME=

Surname (фамилия) OID: 2.5.4.4

12

STREET=

Street address (адрес – улица) OID: 2.5.4.9

13

INITIALS=

First name abbreviation (инициалы) OID: 2.5.4.43

14

GIVENNAME=

Given name (first name ‑ имя) OID: 2.5.4.42

15

DC=

Domain Component (first) (первый доменный компонент, при повторном вводе – второй) OID: 0.9.2342.19200300.100.1.25

16

UNSTRUCTUREDADDRESS=

IP Address (IP‑адрес) OID: 1.2.840.113549.1.9.8

17

UNSTRUCTUREDNAME=

Domain name (доменное имя – FQDN) OID: 1.2.840.113549.1.9.2

18

POSTALCODE=

Postal code (почтовый индекс) OID: 2.5.4.17

19

BUSINESSCATEGORY=

Organization type (категория (тип) организации OID: 2.5.4.15

20

TELEPHONENUMBER=

Telephone number (телефонный номер) OID: 2.5.4.20

21

PSEUDONYM=

Pseudonym (псевдоним) OID: 2.5.4.65

22

POSTALADDRESS=

Postal adress (почтовый адрес) OID: 2.5.4.16

23

NAME=

//Name (дополнительное имя) OID: 2.5.4.41

24

DN=

DN Qualifier (признак отличительного имени для идентификации субъекта) OID: 2.5.4.46

25

DESCRIPTION=

Description (краткое описание) OID: 2.5.4.13

26

INN=

ИНН (идентификационный номер налогоплательщика) OID: 1.2.643.3.131.1.1

27

OGRN=

ОГРН (основной государственный регистрационный номер) OID: 1.2.643.100.1

28

OGRNIP=

ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя) OID: 1.2.643.100.5

29

SNILS=

СНИЛС (Страховой номер индивидуального лицевого счёта) OID: 1.2.643.100.3

30

INNLE=

ИНН юридического лица OID: 1.2.643.100.4

  • После заполнения полей нажмите на кнопку <Продолжить> для перехода к следующему шагу.
  • На шаге 3/4 необходимо определить, какой должен использоваться криптопровайдер для каждого алгоритма при создании сертификата ЦС и в последующих сценариях выпуска сертификатов субъектов. Для отключенных криптопровайдеров выбор алгоритма будет недоступен и при выпуске сертификатов, несмотря на допустимые значения в шаблонах. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 20):
    • «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
      • Стандартный (по умолчанию);
      • КриптоПро CSP [1] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA»);
      • Отключен.
    • «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
      • Стандартный (по умолчанию);
      • Отключен.
    • «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
      • КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центр сертификации Aladdin eCA);
      • Отключен (по умолчанию).

На следующем шаге не будет доступен для выбора алгоритм ключа, для которого указано значение криптопровайдера «Отключен».

При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.

Рисунок 20 ‑ Окно инициализации подчиненного центра сертификации. Шаг 2/3

После выбора криптопровайдера во всех полях нажмите ставшую активной кнопку <Продолжить>.

  • На шаге 4/4 необходимо задать параметры криптографии (см. Рисунок 21):
    • «Алгоритм ключа» (состав алгоритмов зависит от выбранных провайдеров):
      • RSA;
      • ECDSA;
      • ГОСТ Р 34.10‑2012.
    • «Длина ключа» (по умолчанию выбирается наименьшая доступная длина ключа для выбранного алгоритма):
      • для RSA: 1024, 1536, 2048, 3072, 4096, 6144, 8192 (по умолчанию 3072);
      • для ECDSA: 256, 384, 521 (по умолчанию 256);
      • для ГОСТ Р 34.10‑2012: 256, 512 (по умолчанию 256).
    • «Алгоритм хэш‑суммы»:
      • для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384 (выбран по умолчанию), SHA512;
      • для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.
    • «Место хранения закрытого ключа»:
      • Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является КриптоПро CSP:
      • Локальное хранилище Aladdin eCA (выбрано по умолчанию, требует заранее подготовленной на БДСЧ криптопровайдера СКЗИ «КриптоПро CSP» гаммы);
      • КриптоПро CSP (HDIMAGE);
      • КриптоПро HSM (доступно только при наличии подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM», создаваемые на ПАКМ «КриптоПро HSM» закрытые ключи ЦС являются неэкспортируемыми).
    • В противном случает в данном поле указано неизменяемое значение «Локальное хранилище Aladdin eCA».
  • Чек‑бокс «Экспортируемый закрытый ключ». Если выбрано место хранения закрытого ключа «Локальное хранилище Aladdin eCA», данный чек‑бокс включен по умолчанию и недоступен для изменения.

При выпуске сертификата доступа ЦС рекомендуется выбирать алгоритмы хэш‑суммы SHA256, SHA384 или SHA512 (в случае если в качестве алгоритма ключа выбран RSA или ECDSA).

Криптографическая хэш‑функция SHA1 не обеспечивает требуемой безопасности и может быть выбрана только при необходимости обеспечения совместимости.

Срок действия сертификата по умолчанию устанавливается равным сроку действия, заданному в шаблоне, используемом при выпуске сертификата (подписании запроса), но не превышает срок действия сертификата Корневого ЦС.

Рисунок 21 – Окно инициализации подчиненного ЦС. Шаг 4/4

После задания значений нажать ставшую активной кнопку <Создать ЦС>.

  • В случае неудачной попытки создания ЦС будет отображено сообщение об ошибке (Таблица 5).

Таблица 5 – Перечень сообщений в случае неудачной попытки создания ЦС

Текст ошибки

Причина

Ошибка.

Некорректный компонент суффикса различающегося имени – <Имя компонента>

Ошибка ввода неизвестного имени компонента суффикса различающегося имени

Ошибка.

Лицензионные ограничения не позволяют создать ЦС используя данное имя

Ошибка несоответствия значения в компоненте «CN» суффикса различающегося имени значению, указанному в лицензии

Ошибка.

Произошла ошибка при создании ключевой пары для алгоритма «Название алгоритма».

Ошибка обращения к криптопровайдеру алгоритма генерации ключевой пары.

Ошибка.

Ошибка атрибута attributeName: Значение не соответствует регулярному выражению: «regex»

Ошибка валидации введенного значения атрибута различающегося имени[2]. Возможные значения переменной «attributeName» и соответствующие им значения переменной «regex» представлены в таблице ниже:

attributeName

regex

C

^[A‑Za‑z]{2}$

DN

^[A‑Za‑z0‑9''()+,\‑.\/:=? ]+$

EMAILADDRESS

^[A‑Za‑zА‑Яа‑я0‑9._‑]+@[A‑Za‑zА‑Яа‑я0‑9._‑]+$

SERIALNUMBER

^[A‑Za‑z0‑9''()+,\‑.\/:=? ]+$

INN

^\\d{12}$

OGRN

^\\d{13}$

OGRNIP

^\\d{15}$

SNILS

^\\d{11}$

INNLE

^\\d{10}$

Ошибка при создании Центра сертификации. Неизвестная ошибка

Внутренняя ошибка ПО

  • При успешном создании Подчиненного ЦС и завершении инициализации центра сертификации будет отображено соответствующее окно (см. Рисунок 22). В нём возможно:
    • скачать запрос на сертификат созданного подчинённого ЦС;
    • импортировать цепочки сертификатов корневого ЦС после подписания запроса на сертификат подчиненного ЦС;
    • закрыть окно инициализации ЦС.

Рисунок 22 – Окно завершения инициализации подчиненного центра сертификации

  • Скачайте созданный запрос на сертификат Подчиненного ЦС в формате .csr.
  • На данном этапе Подчиненный ЦС создан, отображается на вкладке «Свои сертификаты» и имеет статус «Запрос» (см. Рисунок 23).
  • Для перевода ЦС в состояние «Активирован»:
    • необходимо выполнить подписание запроса на Корневом ЦС (см. раздел 7.3.2.2);

и затем импорт подписанного сертификата Подчиненного ЦС (см. раздел 7.3.1.6).

До момента активации у Подчиненного ЦС в контейнере закрытого ключа содержится самоподписанный технологический сертификат, а после успешной активации в контейнере закрытого ключа Подчиненного ЦС будут содержаться закрытый ключ данного ЦС и цепочка сертификатов данного ЦС[3].

Рисунок 23 – Окно Центра сертификации. Подчинённый ЦС в состоянии «Запрос»

[1] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа «Центр сертификатов доступа      . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.

[2] Правила валидации значений атрибутов представлены в Приложении 3 «Правила валидации значений полей по умолчанию предустановленных шаблонов сертификатов».

[3] Если местом хранения закрытого ключа ЦС является ПАКМ «КриптоПро HSM», то созданный закрытый ключ ЦС будет неэкспортируемым.

Инициализация Центра сертификации с импортом ключа

Для инициализации ЦС с импортом внешнего ключа из контейнера PKCS#12 выполните следующие шаги:

  • В появившемся модальном окне «Окно инициализации центра сертификации с импортом ключа. Шаг 1/3» (см. Рисунок 24) выберите файл контейнера ключей PKCS#12 и введите пароль от него.

Центр сертификации Aladdin eCA поддерживает следующие алгоритмы хэш‑суммы ключа при импорте контейнера Корневого ЦС: SHA1, SHA256, SHA384, SHA512, SHA3‑256, SHA3‑384, SHA3‑512, RSASSA‑PSS.

Рисунок 24 – Окно инициализации центра сертификации с импортом ключа. Шаг 1/3

  • После выбора файла и ввода пароля необходимо нажать кнопку <Проверить>, которая появляется после их заполнения (см. Рисунок 25).

Рисунок 25 – Окно инициализации ЦС с импортом ключа. Шаг 1/3 – после заполнения полей

При нажатии на неё происходит проверка контейнера ключей PKCS#12. Если в результат проверки возникла ошибка, то в окне отображается соответствующее сообщение. Список возможных ошибок приведен в таблице ниже (Таблица 6).

Таблица 6 – Возможные ошибки при проверке контейнера ключей PKCS#12

Ошибка

Причина

Формат файла

Ошибка.

Некорректный формат файла контейнера.

Формат файла контейнера не соответствует PKCS#12.

Ошибка.

Неверный пароль контейнера.

Не удалось открыть контейнер с помощью указанного пароля.

Лицензионные ограничения

Ошибка.

Лицензионные ограничения не позволяют создать <Тип ЦС> ЦС.

Тип ЦС из контейнера не входит в разрешенные типы ЦС из лицензии.

Ошибка.

Лицензионные ограничения не позволяют создать ЦС с именем <Имя ЦС>.

Указанное в контейнера «CN» суффикса различающегося имени значение не входит в перечень значений имени ЦС из лицензии.

Ошибка.

Лицензионные ограничения не позволяют создать ЦС с издателем <Имя издателя>.

Указанный в контейнере имя издателя сертификата не входит в перечень значений имени корневых ЦС из лицензии.

Сертификат

Ошибка.

Срок действия сертификата истек.

Дата «Действителен до» сертификата из контейнера превышает текущую.

Ошибка.

Срок действия сертификата <Имя> из цепочки истек.

Дата «Действителен до» сертификата из цепочки сертификатов контейнера превышает текущую.

За исключение сертификата ЦС из контейнера – в этом случае отображается предыдущая ошибка (более конкретная).

Ошибка

Сертификат не является сертификатом ЦС.

У сертификата в поле 2.5.29.19 «Basic Constraints» (Основные ограничения) не указано, что субъектом является ЦС.

Параметры криптографии

Ошибка.

Неподдерживаемый алгоритм ключа: <Алгоритм> <Длина ключа>.

Неподдерживаемый алгоритм ключа «значение» с длиной ключа «значение»;


Ошибка.

Неподдерживаемый алгоритм хэш‑суммы: <Алгоритм>.

Неподдерживаемый алгоритм хэш‑суммы «значение».

Прочее

Ошибка.

Неизвестная ошибка.

Внутренняя ошибка ПО.

  • При корректности данных контейнера PKCS#12 в окне отобразится соответствующая информация, включающая (см. Рисунок 26):
    • Наименование издателя:
    • Наименование субъекта;
    • Срок действия сертификата;
    • Цепочку сертификатов;
    • Алгоритм ключа;
    • Длину ключа.

Рисунок 26 – Окно инициализации ЦС с импортом ключа. Шаг 1/3. Ошибка лицензионного ограничения

  • При отсутствии ошибок становится доступной кнопка <Продолжить> (см. Рисунок 27).

Рисунок 27 – Окно инициализации ЦС. Шаг 1/3. После успешной проверки

Для перехода к следующему шагу нажмите кнопку <Продолжить>.

Тип ЦС (Корневой или Подчиненный) выбирается автоматически в соответствии с данными контейнера PKCS#12.

  • На шаге 2/3 заполните поля:
    • «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в интерфейсе ЦС Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
    • «Место хранения закрытого ключа центра сертификации». Список вариантов мест хранения закрытого ключа зависит от:
      • алгоритма ключа, указанного в контейнере PKCS#12;
      • криптопровайдера закрытого ключа, определяемого при проверке контейнера PKCS#12[1];
      • наличия активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA;
      • наличия подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM».

Варианты мест хранения закрытого ключа представлены в таблице ниже (Таблица 7).

Таблица 7 – Варианты мест хранения закрытого ключа

Алгоритм ключа

Криптопровайдер ключа

Место хранения

RSA

Стандартный

·         Локальное хранилище Aladdin eCA

·         КриптоПро CSP (HDIMAGE)

при наличии активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте ЦС Aladdin eCA

·         КриптоПро HSM

при активном криптопровайдере СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA и подключении криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM»

RSA

КриптоПро CSP

·         КриптоПро CSP (HDIMAGE)

при наличии активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте ЦС Aladdin eCA

·         КриптоПро HSM

при активном криптопровайдере СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA и подключении криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM

ECDSA

Стандартный

·         Локальное хранилище Aladdin eCA

ГОСТ Р 34.11‑2012

КриптоПро CSP

·         КриптоПро CSP (HDIMAGE)

при наличии активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте ЦС Aladdin eCA

·         КриптоПро HSM

при активном криптопровайдере СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA и подключении криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM

Рисунок 28 – Окно инициализации ЦС. Шаг 2/3

  • Для перехода к следующему шагу нажмите кнопку <Продолжить>.
  • На шаге 3/3 выберите криптопровайдеры для всех криптографических операций центра сертификации. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 29 и Рисунок 30):
    • «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
      • Стандартный (по умолчанию);
      • КриптоПро CSP[2] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно Центром сертификации Aladdin eCA);
      • Отключен.
    • «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
      • Стандартный (по умолчанию);
      • Отключен.
    • «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
      • КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA);
      • Отключен (по умолчанию).
    • поле «Алгоритм хэш‑суммы»:
      • Для корневого ЦС значение берется из контейнера PKCS#12 (см. Рисунок 29). При этом поле заблокировано. Поддерживаются следующие алгоритмы хэш‑суммы ключа: SHA1, SHA256, SHA384, SHA512, SHA3‑256, SHA3‑384, SHA3‑512, RSASSA‑PSS.
      • Для подчиненного ЦС необходимо задать значение (см. Рисунок 30):
        • для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384 (выбран по умолчанию), SHA512;
        • для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.

Рисунок 29 – Окно инициализации корневого ЦС. Шаг 3/3

Рисунок 30 – Окно инициализации подчиненного ЦС. Шаг 3/3

При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.

После задания значений нажмите кнопку <Создать ЦС>.

  • В результате успешного создания ЦС отобразится модальное окно с сообщением об успешном создании и активации ЦС (см. Рисунок 31 и Рисунок 32). В модальном окне есть следующие кнопки:
    • <Скачать сертификат> – при нажатии происходит скачивание сертификата созданного ЦС;
    • <Скачать цепочку сертификатов> – при нажатии происходит скачивание цепочки сертификатов созданного ЦС;
    • <Открыть созданный центр сертификации> – при нажатии на кнопку происходит переход в раздел «Центр сертификации» с активной вкладкой «Свои сертификаты».

Рисунок 31 – Окно завершения инициализации корневого ЦС

Рисунок 32 – Окно завершения инициализации подчиненного ЦС

[1] Данная зависимость обусловлена тем, что возможности работы с закрытым ключом в Java зависят от криптопровайдера, создавшего данный ключ. Например, при использовании криптопровайдера СКЗИ «КриптоПро CSP» работа происходит не с самим закрытым ключом, а с его дескриптором – и доступ к данным закрытого ключа отсутствует.

Возможно, результат дальнейших исследований покажет, как обойти это ограничение. И тогда необходимо будет обновить таблицу.

[2] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа «Центр сертификатов доступа      . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.