После установки лицензии (см. раздел 2.1) необходимо инициализировать центр сертификации.
- Для инициализации ЦС с генерацией собственного ключа нажмите кнопку <Сгенерировать ключ и создать центр сертификации> и выполните инструкции из раздела 3.1.
- Для инициализации ЦС с импортом существующего ключа из контейнера PKCS#12 нажмите кнопку <Импортировать ключ и создать центр сертификации> и выполните инструкции из раздела 3.2.
Инициализация Центра сертификации с генерацией ключа
Инициализация Корневого Центра сертификации с генерацией ключа
Для инициализации Корневого ЦС с генерацией ключа выполните следующие шаги:
- Если в поле «Типы центров сертификации» указано значение «корневой, подчиненный», то отобразится модальное окно «Окно инициализации корневого центра сертификации. Шаг 1/4» с шагом выбора лицензии (см. Рисунок 13). Для инициализации Корневого ЦС необходимо выбрать тип «Корневой» и нажать на кнопку <Продолжить>. Если в поле «Типы центров сертификации» указано значение «корневой», то данный шаг пропускается.
Рисунок 13 – Окно инициализации ЦС. Шаг 1/4 . Выбор типа ЦС
- На шаге 2/4 (см. Рисунок 14) заполните поля:
- «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в веб‑интерфейсе Центра сертификации Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
- «Имя центра сертификации» (Common Name) – выберите имя создаваемого корневого ЦС из перечня возможных имен в соответствии с параметрами лицензии;
- «Суффикс различающегося имени» – укажите суффикс различающегося имени корневого сертификата (формат ввода суффикса приведен справа от поля). Ограничители ввода между параметрами – запятые и запятые с пробелами. Длина вводимого суффикса различающегося имени не должна превышать 250 байт. Ввод атрибутов возможен в любом порядке, но в сертификате порядок атрибутов будет установлен в соответствии с номерами пунктов, указанными в таблице ниже (Таблица 2).
Рисунок 14 – Окно инициализации корневого центра сертификации. Шаг 2/4
Таблица 2 – Поддерживаемые атрибуты суффикса различающегося имени
№ | Наименование атрибута | Описание атрибута |
|---|---|---|
1 | EMAILADDRESS= | E‑mail address (адрес электронной почты) OID: 1.2.840.113549.1.9.1 |
2 | CN= | Common name OID: 2.5.4.3 |
3 | UID= | Unique Identifier (уникальный идентификатор) OID: 2.5.4.45 |
4 | SERIALNUMBER= | Serial number (серийный номер) OID: 2.5.4.5 |
5 | OU= | Organizational Unit (отдел (организации) OID: 2.5.4.11 |
6 | O= | Organization (организация) OID: 2.5.4.10 |
7 | L= | Locality (район) OID: 2.5.4.7 |
8 | ST= | State or Province (область, край, республика) OID: 2.5.4.8 |
9 | C= | Country (страна, ввод осуществлять согласно регламенту ISO 3166) OID: 2.5.4.6 |
10 | T= | Title (заглавие) OID: 2.5.4.12 |
11 | SURNAME= | Surname (фамилия) OID: 2.5.4.4 |
12 | STREET= | Street address (адрес – улица) OID: 2.5.4.9 |
13 | INITIALS= | First name abbreviation (инициалы) OID: 2.5.4.43 |
14 | GIVENNAME= | Given name (first name ‑ имя) OID: 2.5.4.42 |
15 | DC= | Domain Component (first) (первый доменный компонент, при повторном вводе – второй) OID: 0.9.2342.19200300.100.1.25 |
16 | UNSTRUCTUREDADDRESS= | IP Address (IP‑адрес) OID: 1.2.840.113549.1.9.8 |
17 | UNSTRUCTUREDNAME= | Domain name (доменное имя – FQDN) OID: 1.2.840.113549.1.9.2 |
18 | POSTALCODE= | Postal code (почтовый индекс) OID: 2.5.4.17 |
19 | BUSINESSCATEGORY= | Organization type (категория (тип) организации OID: 2.5.4.15 |
20 | TELEPHONENUMBER= | Telephone number (телефонный номер) OID: 2.5.4.20 |
21 | PSEUDONYM= | Pseudonym (псевдоним) OID: 2.5.4.65 |
22 | POSTALADDRESS= | Postal adress (почтовый адрес) OID: 2.5.4.16 |
23 | NAME= | //Name (дополнительное имя) OID: 2.5.4.41 |
24 | DN= | DN Qualifier (признак отличительного имени для идентификации субъекта) OID: 2.5.4.46 |
25 | DESCRIPTION= | Description (краткое описание) OID: 2.5.4.13 |
26 | INN= | ИНН (идентификационный номер налогоплательщика) OID: 1.2.643.3.131.1.1 |
27 | OGRN= | ОГРН (основной государственный регистрационный номер) OID: 1.2.643.100.1 |
28 | OGRNIP= | ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя) OID: 1.2.643.100.5 |
29 | SNILS= | СНИЛС (Страховой номер индивидуального лицевого счёта) OID: 1.2.643.100.3 |
30 | INNLE= | ИНН юридического лица OID: 1.2.643.100.4 |
- После заполнения полей нажмите на кнопку <Продолжить> для перехода к следующему шагу.
- На шаге 3/4 необходимо определить, какой должен использоваться криптопровайдер для каждого алгоритма при создании сертификата ЦС и в последующих сценариях выпуска сертификатов субъектов. Для отключенных криптопровайдеров выбор алгоритма будет недоступен и при выпуске сертификатов, несмотря на допустимые значения в шаблонах. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 15):
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- КриптоПро CSP[1] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA);
- Отключен.
- «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- Отключен.
- «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
- КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA»);
- Отключен (по умолчанию).
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
На следующем шаге не будет доступен для выбора алгоритм ключа, для которого указано значение криптопровайдера «Отключен».
При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.
Рисунок 15 ‑ Окно инициализации корневого центра сертификации. Шаг 3/4
После выбора криптопровайдеров нажмите кнопку <Продолжить> для перехода к следующему шагу.
- На шаге 4/4 необходимо указать срок действия сертификата ЦС и задать параметры криптографии (см. Рисунок 16). Заполните следующие поля:
- «Cрок действия сертификата» – срок действия Корневого сертификата (по умолчанию – 10 лет). Ввод осуществляется вручную или выбором даты окончания действия сертификата в открывшемся календаре. Максимальный срок действия сертификата определяется шаблоном «Root CA» [2];
- «Алгоритм ключа» (состав алгоритмов зависит от выбранных провайдеров):
- RSA;
- ECDSA;
- ГОСТ Р 34.10‑2012.
- «Длина ключа»:
- для RSA: 1024, 1536, 2048, 3072, 4096, 6144, 8192 (по умолчанию 4096);
- для ECDSA: 256, 384, 521 (по умолчанию 384);
- для ГОСТ Р 34.10‑2012: 256, 512 (по умолчанию 512).
- «Алгоритм хэш‑суммы»:
- для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384, SHA512 (выбран по умолчанию);
- для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.
- «Место хранения закрытого ключа»:
- Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является СКЗИ «КриптоПро CSP»:
- Локальное хранилище Aladdin eCA (выбрано по умолчанию, требует заранее подготовленной на БДСЧ криптопровайдера СКЗИ «КриптоПро CSP» гаммы);
- КриптоПро CSP (HDIMAGE);
- КриптоПро HSM (доступно только при наличии подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM», создаваемые на ПАКМ «КриптоПро HSM» закрытые ключи ЦС являются неэкспортируемыми).
- В противном случает в данном поле указано неизменяемое значение «Локальное хранилище Aladdin eCA».
- Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является СКЗИ «КриптоПро CSP»:
- Чек‑бокс «Экспортируемый закрытый ключ». Если выбрано место хранения закрытого ключа «Локальное хранилище Aladdin eCA», данный чек‑бокс включен по умолчанию и недоступен для изменения.
При выпуске сертификата доступа ЦС рекомендуется выбирать алгоритмы хэш‑суммы SHA256, SHA384 или SHA512 (в случае если в качестве алгоритма ключа выбран RSA или ECDSA).
Криптографическая хэш‑функция SHA1 не обеспечивает требуемой безопасности и может быть выбрана только при необходимости обеспечения совместимости.
Рисунок 16 – Окно инициализации корневого ЦС. Шаг 4/4
После задания значений нажать ставшую активной кнопку <Создать ЦС>.
- В случае неудачной попытки создания ЦС будет отображено сообщение об ошибке (Таблица 3).
Таблица 3 – Перечень сообщений в случае неудачной попытки создания ЦС
Текст ошибки | Причина | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Ошибка. Некорректный компонент суффикса различающегося имени – <Имя компонента> | Ошибка ввода неизвестного имени компонента суффикса различающегося имени | ||||||||||||||||||||
Ошибка. Лицензионные ограничения не позволяют создать ЦС используя данное имя | Ошибка несоответствия значения в компоненте «CN» суффикса различающегося имени значению, указанному в лицензии | ||||||||||||||||||||
Ошибка. Произошла ошибка при создании ключевой пары для алгоритма «Название алгоритма». | Ошибка обращения к криптопровайдеру алгоритма генерации ключевой пары. | ||||||||||||||||||||
Ошибка. Ошибка атрибута attributeName: Значение не соответствует регулярному выражению: «regex» | Ошибка валидации введенного значения атрибута различающегося имени[3]. Возможные значения переменной «attributeName» и соответствующие им значения переменной «regex» представлены в таблице ниже:
| ||||||||||||||||||||
Ошибка при создании Центра сертификации. Неизвестная ошибка | Внутренняя ошибка ПО |
- При успешном создании Корневого ЦС и завершении инициализации ЦС будет отображено соответствующее окно (см. Рисунок 17). В нём возможно:
- скачать сертификат созданного Корневого ЦС;
- скачать цепочку сертификатов в формате .pem;
- или открыть страницу созданного Центра сертификации.
Также в результате успешного создания данного ЦС в контейнере закрытого ключа данного ЦС будут содержаться закрытый ключ данного ЦС и цепочка сертификатов данного ЦС [4].
Рисунок 17 – Окно завершения инициализации корневого ЦС
[1] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа « . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.
[2] Про шаблон «Root CA» см. в Приложении 2 «Описание полей предустановленных шаблонов сертификатов». Приложение 2. Описание полей предустановленных шаблонов сертификатов
[3] Правила валидации значений атрибутов представлены в Приложении 3 «Правила валидации значений полей по умолчанию предустановленных шаблонов сертификатов».
[4] Если местом хранения закрытого ключа ЦС является ПАКМ «КриптоПро HSM», то созданный закрытый ключ ЦС будет неэкспортируемым.
Инициализация Подчиненного Центра сертификации с генерацией ключа
Для инициализации Подчиненного ЦС с созданием ключа выполните следующие шаги:
Если в поле «Типы центров сертификации» указано значение «корневой, подчиненный», то отобразится модальное окно «Окно инициализации корневого центра сертификации. Шаг 1/4» с шагом выбора лицензии (см. Рисунок 13). Для инициализации Подчиненного ЦС необходимо выбрать тип «Подчиненный» и нажать на кнопку <Продолжить>. Если в поле «Типы центров сертификации» указано значение «подчиненный», то данный шаг пропускается.
Рисунок 18 – Окно инициализации ЦС. Шаг 1/4 . Выбор типа ЦС
- На шаге 2/4 (см. Рисунок 19) заполните поля:
- «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в интерфейсе Центра сертификации Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
- «Имя центра сертификации» (Common Name) – выберите имя создаваемого подчиненного ЦС из перечня возможных имен в соответствии с параметрами лицензии;
- «Суффикс различающегося имени» – укажите суффикс различающегося имени подчиненного ЦС (формат ввода суффикса приведен справа от поля). Ограничители ввода между параметрами – запятые и запятые с пробелами. Длина вводимого суффикса различающегося имени не должна превышать 250 байт. Ввод атрибутов возможен в любом порядке, но в сертификате порядок атрибутов будет установлен в соответствии с номерами пунктов, указанных в таблице ниже (Таблица 4).
Рисунок 19 – Окно инициализации подчиненного центра сертификации. Шаг 2/4
Таблица 4 – Поддерживаемые атрибуты суффикса различающегося имени
№ | Наименование атрибута | Описание атрибута |
|---|---|---|
1 | EMAILADDRESS= | E‑mail address (адрес электронной почты) OID: 1.2.840.113549.1.9.1 |
2 | CN= | Common name OID: 2.5.4.3 |
3 | UID= | Unique Identifier (уникальный идентификатор) OID: 2.5.4.45 |
4 | SERIALNUMBER= | Serial number (серийный номер) OID: 2.5.4.5 |
5 | OU= | Organizational Unit (отдел (организации) OID: 2.5.4.11 |
6 | O= | Organization (организация) OID: 2.5.4.10 |
7 | L= | Locality (район) OID: 2.5.4.7 |
8 | ST= | State or Province (область, край, республика) OID: 2.5.4.8 |
9 | C= | Country (страна, ввод осуществлять согласно регламенту ISO 3166) OID: 2.5.4.6 |
10 | T= | Title (заглавие) OID: 2.5.4.12 |
11 | SURNAME= | Surname (фамилия) OID: 2.5.4.4 |
12 | STREET= | Street address (адрес – улица) OID: 2.5.4.9 |
13 | INITIALS= | First name abbreviation (инициалы) OID: 2.5.4.43 |
14 | GIVENNAME= | Given name (first name ‑ имя) OID: 2.5.4.42 |
15 | DC= | Domain Component (first) (первый доменный компонент, при повторном вводе – второй) OID: 0.9.2342.19200300.100.1.25 |
16 | UNSTRUCTUREDADDRESS= | IP Address (IP‑адрес) OID: 1.2.840.113549.1.9.8 |
17 | UNSTRUCTUREDNAME= | Domain name (доменное имя – FQDN) OID: 1.2.840.113549.1.9.2 |
18 | POSTALCODE= | Postal code (почтовый индекс) OID: 2.5.4.17 |
19 | BUSINESSCATEGORY= | Organization type (категория (тип) организации OID: 2.5.4.15 |
20 | TELEPHONENUMBER= | Telephone number (телефонный номер) OID: 2.5.4.20 |
21 | PSEUDONYM= | Pseudonym (псевдоним) OID: 2.5.4.65 |
22 | POSTALADDRESS= | Postal adress (почтовый адрес) OID: 2.5.4.16 |
23 | NAME= | //Name (дополнительное имя) OID: 2.5.4.41 |
24 | DN= | DN Qualifier (признак отличительного имени для идентификации субъекта) OID: 2.5.4.46 |
25 | DESCRIPTION= | Description (краткое описание) OID: 2.5.4.13 |
26 | INN= | ИНН (идентификационный номер налогоплательщика) OID: 1.2.643.3.131.1.1 |
27 | OGRN= | ОГРН (основной государственный регистрационный номер) OID: 1.2.643.100.1 |
28 | OGRNIP= | ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя) OID: 1.2.643.100.5 |
29 | SNILS= | СНИЛС (Страховой номер индивидуального лицевого счёта) OID: 1.2.643.100.3 |
30 | INNLE= | ИНН юридического лица OID: 1.2.643.100.4 |
- После заполнения полей нажмите на кнопку <Продолжить> для перехода к следующему шагу.
- На шаге 3/4 необходимо определить, какой должен использоваться криптопровайдер для каждого алгоритма при создании сертификата ЦС и в последующих сценариях выпуска сертификатов субъектов. Для отключенных криптопровайдеров выбор алгоритма будет недоступен и при выпуске сертификатов, несмотря на допустимые значения в шаблонах. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 20):
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- КриптоПро CSP [1] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA»);
- Отключен.
- «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- Отключен.
- «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
- КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центр сертификации Aladdin eCA);
- Отключен (по умолчанию).
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
На следующем шаге не будет доступен для выбора алгоритм ключа, для которого указано значение криптопровайдера «Отключен».
При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.
Рисунок 20 ‑ Окно инициализации подчиненного центра сертификации. Шаг 2/3
После выбора криптопровайдера во всех полях нажмите ставшую активной кнопку <Продолжить>.
- На шаге 4/4 необходимо задать параметры криптографии (см. Рисунок 21):
- «Алгоритм ключа» (состав алгоритмов зависит от выбранных провайдеров):
- RSA;
- ECDSA;
- ГОСТ Р 34.10‑2012.
- «Длина ключа» (по умолчанию выбирается наименьшая доступная длина ключа для выбранного алгоритма):
- для RSA: 1024, 1536, 2048, 3072, 4096, 6144, 8192 (по умолчанию 3072);
- для ECDSA: 256, 384, 521 (по умолчанию 256);
- для ГОСТ Р 34.10‑2012: 256, 512 (по умолчанию 256).
- «Алгоритм хэш‑суммы»:
- для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384 (выбран по умолчанию), SHA512;
- для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.
- «Место хранения закрытого ключа»:
- Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является КриптоПро CSP:
- Локальное хранилище Aladdin eCA (выбрано по умолчанию, требует заранее подготовленной на БДСЧ криптопровайдера СКЗИ «КриптоПро CSP» гаммы);
- КриптоПро CSP (HDIMAGE);
- КриптоПро HSM (доступно только при наличии подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM», создаваемые на ПАКМ «КриптоПро HSM» закрытые ключи ЦС являются неэкспортируемыми).
- В противном случает в данном поле указано неизменяемое значение «Локальное хранилище Aladdin eCA».
- «Алгоритм ключа» (состав алгоритмов зависит от выбранных провайдеров):
- Чек‑бокс «Экспортируемый закрытый ключ». Если выбрано место хранения закрытого ключа «Локальное хранилище Aladdin eCA», данный чек‑бокс включен по умолчанию и недоступен для изменения.
При выпуске сертификата доступа ЦС рекомендуется выбирать алгоритмы хэш‑суммы SHA256, SHA384 или SHA512 (в случае если в качестве алгоритма ключа выбран RSA или ECDSA).
Криптографическая хэш‑функция SHA1 не обеспечивает требуемой безопасности и может быть выбрана только при необходимости обеспечения совместимости.
Срок действия сертификата по умолчанию устанавливается равным сроку действия, заданному в шаблоне, используемом при выпуске сертификата (подписании запроса), но не превышает срок действия сертификата Корневого ЦС.
Рисунок 21 – Окно инициализации подчиненного ЦС. Шаг 4/4
После задания значений нажать ставшую активной кнопку <Создать ЦС>.
- В случае неудачной попытки создания ЦС будет отображено сообщение об ошибке (Таблица 5).
Таблица 5 – Перечень сообщений в случае неудачной попытки создания ЦС
Текст ошибки | Причина | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Ошибка. Некорректный компонент суффикса различающегося имени – <Имя компонента> | Ошибка ввода неизвестного имени компонента суффикса различающегося имени | ||||||||||||||||||||
Ошибка. Лицензионные ограничения не позволяют создать ЦС используя данное имя | Ошибка несоответствия значения в компоненте «CN» суффикса различающегося имени значению, указанному в лицензии | ||||||||||||||||||||
Ошибка. Произошла ошибка при создании ключевой пары для алгоритма «Название алгоритма». | Ошибка обращения к криптопровайдеру алгоритма генерации ключевой пары. | ||||||||||||||||||||
Ошибка. Ошибка атрибута attributeName: Значение не соответствует регулярному выражению: «regex» | Ошибка валидации введенного значения атрибута различающегося имени[2]. Возможные значения переменной «attributeName» и соответствующие им значения переменной «regex» представлены в таблице ниже:
| ||||||||||||||||||||
Ошибка при создании Центра сертификации. Неизвестная ошибка | Внутренняя ошибка ПО |
- При успешном создании Подчиненного ЦС и завершении инициализации центра сертификации будет отображено соответствующее окно (см. Рисунок 22). В нём возможно:
- скачать запрос на сертификат созданного подчинённого ЦС;
- импортировать цепочки сертификатов корневого ЦС после подписания запроса на сертификат подчиненного ЦС;
- закрыть окно инициализации ЦС.
Рисунок 22 – Окно завершения инициализации подчиненного центра сертификации
- Скачайте созданный запрос на сертификат Подчиненного ЦС в формате .csr.
- На данном этапе Подчиненный ЦС создан, отображается на вкладке «Свои сертификаты» и имеет статус «Запрос» (см. Рисунок 23).
- Для перевода ЦС в состояние «Активирован»:
- необходимо выполнить подписание запроса на Корневом ЦС (см. раздел 7.3.2.2);
и затем импорт подписанного сертификата Подчиненного ЦС (см. раздел 7.3.1.6).
До момента активации у Подчиненного ЦС в контейнере закрытого ключа содержится самоподписанный технологический сертификат, а после успешной активации в контейнере закрытого ключа Подчиненного ЦС будут содержаться закрытый ключ данного ЦС и цепочка сертификатов данного ЦС[3].
Рисунок 23 – Окно Центра сертификации. Подчинённый ЦС в состоянии «Запрос»
[1] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа «Центр сертификатов доступа . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.
[2] Правила валидации значений атрибутов представлены в Приложении 3 «Правила валидации значений полей по умолчанию предустановленных шаблонов сертификатов».
[3] Если местом хранения закрытого ключа ЦС является ПАКМ «КриптоПро HSM», то созданный закрытый ключ ЦС будет неэкспортируемым.
Инициализация Центра сертификации с импортом ключа
Для инициализации ЦС с импортом внешнего ключа из контейнера PKCS#12 выполните следующие шаги:
- В появившемся модальном окне «Окно инициализации центра сертификации с импортом ключа. Шаг 1/3» (см. Рисунок 24) выберите файл контейнера ключей PKCS#12 и введите пароль от него.
Центр сертификации Aladdin eCA поддерживает следующие алгоритмы хэш‑суммы ключа при импорте контейнера Корневого ЦС: SHA1, SHA256, SHA384, SHA512, SHA3‑256, SHA3‑384, SHA3‑512, RSASSA‑PSS.
Рисунок 24 – Окно инициализации центра сертификации с импортом ключа. Шаг 1/3
- После выбора файла и ввода пароля необходимо нажать кнопку <Проверить>, которая появляется после их заполнения (см. Рисунок 25).
Рисунок 25 – Окно инициализации ЦС с импортом ключа. Шаг 1/3 – после заполнения полей
При нажатии на неё происходит проверка контейнера ключей PKCS#12. Если в результат проверки возникла ошибка, то в окне отображается соответствующее сообщение. Список возможных ошибок приведен в таблице ниже (Таблица 6).
Таблица 6 – Возможные ошибки при проверке контейнера ключей PKCS#12
Ошибка | Причина |
|---|---|
Формат файла | |
Ошибка. Некорректный формат файла контейнера. | Формат файла контейнера не соответствует PKCS#12. |
Ошибка. Неверный пароль контейнера. | Не удалось открыть контейнер с помощью указанного пароля. |
Лицензионные ограничения | |
Ошибка. Лицензионные ограничения не позволяют создать <Тип ЦС> ЦС. | Тип ЦС из контейнера не входит в разрешенные типы ЦС из лицензии. |
Ошибка. Лицензионные ограничения не позволяют создать ЦС с именем <Имя ЦС>. | Указанное в контейнера «CN» суффикса различающегося имени значение не входит в перечень значений имени ЦС из лицензии. |
Ошибка. Лицензионные ограничения не позволяют создать ЦС с издателем <Имя издателя>. | Указанный в контейнере имя издателя сертификата не входит в перечень значений имени корневых ЦС из лицензии. |
Сертификат | |
Ошибка. Срок действия сертификата истек. | Дата «Действителен до» сертификата из контейнера превышает текущую. |
Ошибка. Срок действия сертификата <Имя> из цепочки истек. | Дата «Действителен до» сертификата из цепочки сертификатов контейнера превышает текущую. За исключение сертификата ЦС из контейнера – в этом случае отображается предыдущая ошибка (более конкретная). |
Ошибка Сертификат не является сертификатом ЦС. | У сертификата в поле 2.5.29.19 «Basic Constraints» (Основные ограничения) не указано, что субъектом является ЦС. |
Параметры криптографии | |
Ошибка. Неподдерживаемый алгоритм ключа: <Алгоритм> <Длина ключа>. | Неподдерживаемый алгоритм ключа «значение» с длиной ключа «значение»; |
Ошибка. Неподдерживаемый алгоритм хэш‑суммы: <Алгоритм>. | Неподдерживаемый алгоритм хэш‑суммы «значение». |
Прочее | |
Ошибка. Неизвестная ошибка. | Внутренняя ошибка ПО. |
- При корректности данных контейнера PKCS#12 в окне отобразится соответствующая информация, включающая (см. Рисунок 26):
- Наименование издателя:
- Наименование субъекта;
- Срок действия сертификата;
- Цепочку сертификатов;
- Алгоритм ключа;
- Длину ключа.
Рисунок 26 – Окно инициализации ЦС с импортом ключа. Шаг 1/3. Ошибка лицензионного ограничения
- При отсутствии ошибок становится доступной кнопка <Продолжить> (см. Рисунок 27).
Рисунок 27 – Окно инициализации ЦС. Шаг 1/3. После успешной проверки
Для перехода к следующему шагу нажмите кнопку <Продолжить>.
Тип ЦС (Корневой или Подчиненный) выбирается автоматически в соответствии с данными контейнера PKCS#12.
- На шаге 2/3 заполните поля:
- «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в интерфейсе ЦС Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
- «Место хранения закрытого ключа центра сертификации». Список вариантов мест хранения закрытого ключа зависит от:
- алгоритма ключа, указанного в контейнере PKCS#12;
- криптопровайдера закрытого ключа, определяемого при проверке контейнера PKCS#12[1];
- наличия активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA;
- наличия подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM».
Варианты мест хранения закрытого ключа представлены в таблице ниже (Таблица 7).
Таблица 7 – Варианты мест хранения закрытого ключа
Алгоритм ключа | Криптопровайдер ключа | Место хранения |
|---|---|---|
RSA | Стандартный | · Локальное хранилище Aladdin eCA · КриптоПро CSP (HDIMAGE) при наличии активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте ЦС Aladdin eCA · КриптоПро HSM при активном криптопровайдере СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA и подключении криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM» |
RSA | КриптоПро CSP | · КриптоПро CSP (HDIMAGE) при наличии активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте ЦС Aladdin eCA · КриптоПро HSM при активном криптопровайдере СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA и подключении криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM |
ECDSA | Стандартный | · Локальное хранилище Aladdin eCA |
ГОСТ Р 34.11‑2012 | КриптоПро CSP | · КриптоПро CSP (HDIMAGE) при наличии активного криптопровайдера СКЗИ «КриптоПро CSP» на хосте ЦС Aladdin eCA · КриптоПро HSM при активном криптопровайдере СКЗИ «КриптоПро CSP» на хосте Центра сертификации Aladdin eCA и подключении криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM |
Рисунок 28 – Окно инициализации ЦС. Шаг 2/3
- Для перехода к следующему шагу нажмите кнопку <Продолжить>.
- На шаге 3/3 выберите криптопровайдеры для всех криптографических операций центра сертификации. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 29 и Рисунок 30):
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- КриптоПро CSP[2] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно Центром сертификации Aladdin eCA);
- Отключен.
- «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- Отключен.
- «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
- КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA);
- Отключен (по умолчанию).
- поле «Алгоритм хэш‑суммы»:
- Для корневого ЦС значение берется из контейнера PKCS#12 (см. Рисунок 29). При этом поле заблокировано. Поддерживаются следующие алгоритмы хэш‑суммы ключа: SHA1, SHA256, SHA384, SHA512, SHA3‑256, SHA3‑384, SHA3‑512, RSASSA‑PSS.
- Для подчиненного ЦС необходимо задать значение (см. Рисунок 30):
- для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384 (выбран по умолчанию), SHA512;
- для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
Рисунок 29 – Окно инициализации корневого ЦС. Шаг 3/3
Рисунок 30 – Окно инициализации подчиненного ЦС. Шаг 3/3
При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.
После задания значений нажмите кнопку <Создать ЦС>.
- В результате успешного создания ЦС отобразится модальное окно с сообщением об успешном создании и активации ЦС (см. Рисунок 31 и Рисунок 32). В модальном окне есть следующие кнопки:
- <Скачать сертификат> – при нажатии происходит скачивание сертификата созданного ЦС;
- <Скачать цепочку сертификатов> – при нажатии происходит скачивание цепочки сертификатов созданного ЦС;
- <Открыть созданный центр сертификации> – при нажатии на кнопку происходит переход в раздел «Центр сертификации» с активной вкладкой «Свои сертификаты».
Рисунок 31 – Окно завершения инициализации корневого ЦС
Рисунок 32 – Окно завершения инициализации подчиненного ЦС
[1] Данная зависимость обусловлена тем, что возможности работы с закрытым ключом в Java зависят от криптопровайдера, создавшего данный ключ. Например, при использовании криптопровайдера СКЗИ «КриптоПро CSP» работа происходит не с самим закрытым ключом, а с его дескриптором – и доступ к данным закрытого ключа отсутствует.
Возможно, результат дальнейших исследований покажет, как обойти это ограничение. И тогда необходимо будет обновить таблицу.
[2] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа «Центр сертификатов доступа . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.



















