- Верхняя панель
- Боковая панель
- Раздел «Центр сертификации»
- Раздел «Сертификаты»
- Настройка уведомлений об истечении срока действия сертификата
- Раздел «Учётные записи»
- Раздел «Правила доступа»
- Раздел «Субъекты»
- Раздел «Ресурсные системы»
- Раздел «Центры валидации»
- Настройка периодичности автоматического обновления CRL
- Автоматизированная публикация списка отозванных сертификатов CRL
- Экспорт актуального списка отозванных сертификатов CRL
- Управление центрами валидации
- Управление точками распространения
- Управление службами OCSP
- Получение файлов CRL, Delta CRL и AIA
- Параметры точек распространения в сертификате
- Раздел «Журнал событий»
- Раздел «Шаблоны»
- Раздел «Настройки»
Верхняя панель
Верхняя панель (см. Рисунок 49) веб‑интерфейса фиксирована и отображается на любом шаге или переходе между разделами.
Рисунок 49 – Верхняя панель окна «Центра сертификации»
При наведении курсора на иконку панели всплывает соответствующее текстовое пояснение для каждого элемента.
· | ‑ тип активного ЦС (возможные варианты: Корневой или Подчиненный); | |
· | ‑ обозначение статуса ЦС. При отсутствии ошибок и предупреждений отображается активный статус: o активный . При наведении курсора отображается всплывающее сообщение «Активный»; Индикатор «треугольник с восклицательным знаком» присутствует в следующих случаях: o истёк срок действия сертификата текущего активного ЦС . При наведении курсора отображается всплывающее сообщение «Истек срок действия сертификата ЦС»; o истекает[1] срок действия сертификата текущего активного ЦС . При наведении курсора отображается всплывающее сообщение «Истекает срок действия сертификата ЦС»; o закрытый ключ ЦС недоступен[2] . При наведении курсора отображается всплывающее сообщение «Закрытый ключ центра сертификации недоступен». o истёк срок действия лицензии . При наведении курсора отображается всплывающее сообщение «Истек срок действия лицензии»; o достигнуто лицензионное ограничение на количество субъектов с действующими сертификатами . При наведении курсора отображается всплывающее сообщение «Достигнуто предельное количество субъектов с действующими сертификатами по лицензии». | |
· | ‑ имя текущего активного ЦС, заданное в применённой лицензии (не изменяемое). При наведении курсора всплывают заданные имя и значения суффикса различающегося имени ЦС; | |
· | ‑ отображаемое имя текущего активного ЦС (задаётся при первичной активации лицензии); | |
· | ‑ текущая авторизация учётной записи пользователя; | |
· | ‑ сведения о текущей версии программы, контактная информация разработчика, информация о лицензии. По нажатию на кнопку <Импортировать лицензию> возможно загрузить обновление лицензии. |
[1] До истечения остаётся менее 90 дней.
[2] При запуске серверного компонента Центра сертификации Aladdin eCA не удалось получить закрытый ключ данного ЦС, что может быть обусловлено удалением или повреждением локально хранимого контейнера закрытого ключа либо отсутствием доступа к криптопровайдеру алгоритма, по которому была создана ключевая пара данного ЦС.
Боковая панель
В зависимости от ширины окна веб-браузера боковая панель может:
- либо быть закрепленной и отображаться на любом шаге или переходе между разделами (при ширине окна веб-браузера более или равной 1200px). При этом боковая панель отображается в полном (см. Рисунок 50) или компактном (см. Рисунок 51) виде. Выбор вида боковой панели происходит по нажатию кнопки , расположенной внизу данной панели;
- либо быть скрытой и отображаться только после нажатия на кнопку , которая отображается только в данном режиме (при ширине окна веб-браузера менее 1200px).
Рисунок 50 – Полный вид боковой панели | Рисунок 51 – Компактный вид боковой панели |
Боковая панель состоит из разделов, определяющих соответствующие функции программы, и создана для организации управления программой:
- Раздел «Центр сертификации» – в данном разделе возможно:
- выпустить сертификат ЦС;
- подписать запрос на выпуск сертификата Подчиненного ЦС;
- скачать цепочку сертификатов активного ЦС;
- скачать сертификат Корневого и Подчиненного ЦС в формате .pem;
- отозвать сертификат Подчиненного ЦС;
- посмотреть карточку ЦС;
- Раздел «Сертификаты» – в данном разделе возможно:
- выпустить сертификат с закрытым ключом PKCS#12 для субъекта;
- выпустить сертификат на основании запроса для субъекта;
- выпустить сертификат на ключевом носителе для субъекта;
- посмотреть список всех выпущенных сертификатов субъектов, выпущенных активным ЦС, с отображением статуса сертификата, срока действия, типа субъекта, имени субъекта и серийного номера сертификата;
- произвести поиск выпущенных сертификатов по имени субъекта;
- отозвать или приостановить действие выпущенного сертификата субъекта;
- посмотреть карточку выпущенного сертификата субъекта;
- скачать сертификат субъекта в формате .pem;
- скачать цепочку сертификатов;
- скачать текущий CRL;
- скачать список всех выпущенных сертификатов в формате .csv;
- применить массовые операции к выбранным сертификатам (отзыв, приостановка, возобновление);
- Раздел «Учетные записи» – в данном разделе возможно:
- создать новую учетную запись;
- отредактировать существующую учетную запись;
- заблокировать или активировать существующую учетную запись;
- задать группы, на которые предоставляются права для управления сертификатами субъектов, для учетной записи, выполняющей роль «Оператор»;
- выпустить сертификат для пользователя учётной записи;
- Раздел «Правила доступа» – в данном разделе возможно:
- просмотреть существующие правила доступа;
- создать новое правило доступа;
- отредактировать правило доступа;
- удалить правило доступа.
- Раздел «Субъекты» – в данном разделе возможно:
- произвести поиск субъекта по его имени (или части имени);
- обновить список групп и субъектов;
- посмотреть существующие субъекты;
- создать новый локальный субъект;
- выпустить сертификат с закрытым ключом PKCS#12 для субъекта;
- выпустить сертификат по запросу для субъекта;
- выпустить сертификат на ключевом носителе для субъекта;
- посмотреть все выпущенные сертификаты для каждого субъекта;
- создать учётную запись для субъекта из группы «Users»;
- посмотреть карточку субъекта;
- опубликовать сертификат субъекта в ресурсную систему;
- Раздел «Ресурсная система» – в данном разделе возможно:
- подключить ресурсную систему для управления сертификатами доменных пользователей и других субъектов;
- обновить список субъектов ресурсной системы и их данных в ручном режиме.
- Раздел «Центры валидации» – в данном разделе возможно:
- настроить параметры рассылки CRL/Delta CRL;
- скачать CRL;
- обновить CRL по нажатию кнопки;
- просмотреть список уже зарегистрированных Центров валидации (далее – ЦВ);
- зарегистрировать сторонние ЦВ;
- создать Центр валидации Aladdin eVA;
- объединить точки распространения или службы OCSP в кластер;
- Раздел «Журнал событий» – в данном разделе возможно:
- посмотреть в интерактивном режиме полный или выборочный (с применением фильтров) журнал событий;
- скачать журнал событий в формате .csv по выбранным параметрам экспорта.
- Раздел «Шаблоны» – в данном разделе отображены предустановленные шаблоны сертификатов. Возможно выполнение следующих операций с шаблонами сертификатов:
- клонирование;
- редактирование загруженных и созданных шаблонов сертификатов;
- удаление шаблонов (кроме предустановленных);
- отображение списка шаблонов;
- загрузка шаблонов сертификатов MSCS.
- Раздел «Настройки» – в данном разделе производится:
- настройка аутентификации при подключении к веб‑серверу;
- замена сертификата текущего веб‑сервера;
- управление списком подключенных Syslog‑серверов.
Далее в настоящем документе приводится полное описание доступных функций управления Центром сертификации Aladdin eCA для каждого раздела.
Раздел «Центр сертификации»
Переход на экран управления центра сертификации осуществляется по выбору раздела «Центр сертификации» бокового меню, расположенного слева на главном экране (см. Рисунок 50).
Раздел «Центр сертификации» управления центром сертификации в правом поле экрана содержит вкладки «Свои сертификаты» (управление собственными Корневыми и Подчиненными ЦС) и «Сертификаты подчиненных центров» (работа с Подчиненными центрами сертификации нижнего уровня).
Данный раздел доступен только пользователю с ролью «Администратор».
Вкладка «Свои сертификаты»
Вид раздела «Центр сертификации» – вкладка «Свои сертификаты» показан на рисунке ниже (Рисунок 52).
Рисунок 52 ‑ Экран раздела «Центр сертификации» – вкладка «Свои сертификаты»
- На данной вкладке после инициализации отображены сертификат технологического ЦС, создаваемый по умолчанию при установке Центра сертификации Aladdin eCA, и сертификат ЦС, созданный при инициализации.
- Сертификаты ЦС в формате .pem хранятся в базе данных (имя базы данных по умолчанию, конфигурация базы данных указана в файле /opt/aecaCa/scripts/config.sh).
- Открытый и закрытый ключи ЦС хранятся в контейнере PKCS#12 по умолчанию в каталоге /opt/aeca/cryptotoken, если не изменена конфигурация развёртывания в конфигурационном файле /opt/aecaCa/scripts/config.sh.
- Пароль контейнера PKCS#12 хранится в базе данных в зашифрованном по алгоритму AES256 виде (имя базы данных по умолчанию, конфигурация базы данных указана в файле /opt/aecaCa/scripts/config.sh).
- Для сертификата ЦС из категории «Свои сертификаты», имеющего статус «активный», доступны настройки, в том числе создание и перенастройка сервисов публикации CRL DP и службы OCSP в разделе «Центры валидации».
- Таблица на вкладке «Свои сертификаты» содержит следующие поля:
- индикатор «Обратить внимание на ЦС» – отображается только при наличии проблем у данного ЦС. Подробнее см. в таблице ниже (Таблица 8);
- тип – тип центра сертификации:
- – для корневого ЦС;
- – для подчиненного ЦС;
Если центр сертификации был создан с импортом ключа из контейнера PKCS#12, то поле содержит иконку‑префикс – «Импортированный» тип ключа.
- отображаемое имя;
- владелец;
- действителен до – срок действия сертификата (дата и время):
- если до истечения срока действия остается менее 90 дней, то цвет значения – оранжевый и рядом отображается индикатор , при наведении курсора отображается всплывающая подсказка «Осталось менее 90 дней до истечения»;
- для сертификатов с истекшим сроком действия цвет значения – красный и рядом отображается индикатор , при наведении курсора отображается всплывающая подсказка «Сертификат истек».
- алгоритм ключа;
- длина ключа;
- состояние – состояние центра сертификации:
- активирован;
- запрос;
- отозван;
- истёк срок;
- не активирован.
- количество созданных – количество созданных сертификатов доступа независимо от статуса сертификатов.
Таблица 8 – Причины отображения индикатора «Обратить внимание на ЦС»
Тип | Причина отображения |
|---|---|
Ошибка | Если истёк срок действия сертификата центра сертификации. При наведении курсора на индикатор отображается всплывающее сообщение «Истек срок действия сертификата ЦС» |
Ошибка | Если закрытый ключ центра сертификации недоступен. При запуске серверного компонента Центра сертификации Aladdin eCA не удалось получить закрытый ключ данного центра сертификации, что может быть обусловлено удалением или повреждением локально хранимого контейнера закрытого ключа либо отсутствием доступа к криптопровайдеру алгоритма, по которому была создана ключевая пара данного центра сертификации. |
Ошибка | Если закрытый ключ центра сертификации находится в состоянии «Ключ экспортирован». При наведении курсора на индикатор отображается всплывающее сообщение «Закрытый ключ центра сертификации недоступен». |
Ошибка | Если до истечения срока действия сертификата центра сертификации остается менее 90 дней. При наведении курсора на индикатор отображается всплывающее сообщение «Истекает срок действия сертификата ЦС». |
- Для управления ЦС администратору доступны действия, приведённые в таблице ниже (Таблица 9).
Таблица 9 – Возможные операции, совершаемые над ЦС на вкладке «Свои сертификаты»
Операция | ЦС в состоянии «Запрос» | ЦС в состоянии «Активирован» | ЦС в состоянии «Не активирован» | Необходимое действие для выполнения операции |
|---|---|---|---|---|
Скачать сертификат | ‑ | + | + | Выделить сертификат и нажать кнопку <Скачать> |
Скачать цепочку сертификатов | ‑ | + | + | |
Скачать список отозванных сертификатов | ‑ | + | + | |
Скачать запрос на сертификат | + | ‑ | ‑ | |
Удалить центр сертификации | + | ‑ | + | Выделить сертификат и нажать кнопку <Удалить> |
Импортировать сертификат | + | ‑ | ‑ | Выделить сертификат и нажать кнопку <Загрузить> или кнопку |
Просмотр цепочки сертификатов | ‑ | + | ‑ | Выделить сертификат и нажать кнопку в строке слева от имени сертификата |
Просмотр карточки сертификата | ‑ | + | + | Нажать на строку сертификата в экранной таблице |
Смена состояния (активировать) | ‑ | ‑ | + | выделить сертификат и нажать кнопку <Активировать> в строке экранной таблицы или карточке сертификата[1] |
- Технологический ЦС может быть удалён после выпуска и загрузки нового сертификата для текущего сервера (см. раздел 6.3 настоящего руководства).
- На вкладке «Свои сертификаты» по нажатию на кнопку доступны функции добавления нового сертификата ЦС, созданного при инициализации на основании текущей лицензии. Добавленный сертификат может служить заменой текущего активного ЦС в случае компрометации его закрытого ключа.
- Для добавления сертификата ЦС с созданием ключа выберите опцию «Создать ключ» (подробнее см. раздел 7.3.1.2);
- Для добавления сертификата ЦС с импортом внешнего ключа из контейнера PKCS#12 выберите опцию «Импорт внешнего ключа» (подробнее см. раздел 7.3.1.2).
Карточка сертификата центра сертификации
- Переход к экрану «Карточка сертификата ЦС» осуществляется при нажатии на строку сертификата таблицы на вкладке «Свои сертификаты» в состоянии «Активирован» или «Не активирован» (см. Рисунок 53 и Рисунок 54).
- В карточке активного ЦС доступны следующие действия (см. Рисунок 53):
- выгрузить сертификат, цепочку сертификатов или текущий список отозванных сертификатов по нажатию кнопки <Скачать>;
- удалить Центр сертификации по нажатию кнопки <Удалить>.
Рисунок 53 – Карточка ЦС в состоянии «Активирован»
- В карточке неактивного ЦС доступны следующие действия (Рисунок 54):
- выгрузить сертификат, цепочку сертификатов или текущий список отозванных сертификатов по нажатию кнопки <Скачать>;
- удалить ЦС по нажатию кнопки <Удалить>;
- активировать центр сертификации[2].
Рисунок 54 – Карточка ЦС в состоянии «Не активирован»
- В карточке ЦС отображаются следующие сведения:
- В заголовке карточки:
- Отображаемое имя ЦС;
- Состояние ЦС;
- Индикатор «Обратить внимание на ЦС»– отображается только при наличии проблем у данного ЦС (Таблица 8).
- идентификатор ЦС;
- тип ‑ тип ЦС (корневой или подчиненный);
- тип ключа:
- собственный – ключевая пара была создана при инициализации ЦС;
- импортированный» ‑ ключевая пара была импортирована из контейнера PKCS#12;
- Подраздел «Криптопровайдеры», отображающий выбранных при создании данного ЦС криптопровайдеров алгоритмов. В случае, если криптопровайдер недоступен, слева от его названия отображается индикация «треугольник с восклицательным знаком», при наведении на которую отображается всплывающее сообщение «Криптопровайдер недоступен»;
- Вкладка «Сертификат», содержащая:
- Раскрывающийся список (дерево) «Цепочка сертификатов»;
- Сведения о сертификате ЦС в табличной форме, содержащие следующие строки в формате «ключ – значение»:
- Идентификатор сертификата (значение в данном поле соответствует идентификатору сертификата данного ЦС);
- Издатель (поле «Issuer» сертификата);
- Владелец (атрибут «CN» из поля «Subject» сертификата);
- SDN издателя (значение поля «Subject» сертификата);
- Действует с (атрибут «Not Before» из поля «Validity» сертификата);
- Действует по (атрибут «Not After» из поля «Validity» сертификата):
- если до истечения остается менее 90 дней, то цвет значения – оранжевый и рядом отображается индикатор , при наведении курсора отображается всплывающая подсказка «Осталось менее 90 дней до истечения»;
- для истекших сертификатов цвет значения – красный и рядом отображается индикатор , при наведении курсора отображается всплывающая подсказка «Сертификат истек».
- Алгоритм ключа (атрибут «Public Key Algorithm» из поля «Subject Public Key Info» сертификата);
- Длина ключа (атрибут «Public Key Algorithm» из поля «Subject Public Key Info» сертификата);
- Раскрывающийся список «Состав», содержащий следующую информацию о полях сертификата ЦС:
- Серийный номер (поле «Serial Number» сертификата);
- Открытый ключ (поле «Subject Public Key Info»);
- Отпечаток (вычисляемое значение, отсутствует в сертификате);
- Версия (поле «Version» сертификата);
- Параметр открытого ключа (всегда «X509»);
- Алгоритм цифровой подписи (поле «Signature Algorithm»);
- Основные ограничения (поле «X509v3 Basic Constraints»);
- Использование ключа (поле «X509v3 Key Usage» сертификата);
- Доcтуп к информации о центре сертификации (поле «Authority Information Access»);
- Альтернативное имя субъекта (поле «X509v3 Subject Alternative Name» сертификата);
- Идентификатор ключа центра (поле «X509v3 Authority Key Identifier» сертификата);
- Идентификатор ключа субъекта (поле «X509v3 Subject Key Identifier» сертификата);
- Расширенное использование ключа (поле «X509v3 Extended Key Usage» сертификата).
- Вкладка «Закрытый ключ», содержащая:
- Кнопку для экспорта/импорта закрытого ключа ЦС;
- Для ЦС в состоянии «Не активирован» кнопка называется <Экспортировать ключ>, если в поле «Состояние» на вкладке «Закрытый ключ» указано значение «Доступен» и в поле «Экспорт ключа» указано значение «Разрешен»;
- Для ЦС с состоянием закрытого ключа «Ключ экспортирован» кнопка называется <Импортировать ключ>.
- Иначе кнопка для экспорта/импорта закрытого ключа ЦС не отображается на вкладке «Закрытый ключ».
- Алгоритм ключа ‑ название алгоритма ключевой пары ЦС;
- Длина ключа ‑ длина закрытого ключа ЦС;
- Место хранения ‑ место хранения закрытого ключа ЦС:
- Локальное хранилище Aladdin eCA;
- КриптоПро CSP (HDIMAGE);
- КриптоПро HSM
- Кнопку для экспорта/импорта закрытого ключа ЦС;
- В заголовке карточки:
Для центра сертификации с состоянием закрытого ключа «Ключ экспортирован» в данном поле указан прочерк (символ «‑»).
- Экспорт ключа – возможность экспорта закрытого ключа ЦС:
- Разрешен;
- Запрещен.
- Экспорт ключа – возможность экспорта закрытого ключа ЦС:
Для центра сертификации в состоянии «Ключ экспортирован» в данном поле прочерк (символ «‑»).
- Состояние ‑ состояние закрытого ключа ЦС:
- Доступен;
- Недоступен;
- Экспортирован.
- Состояние ‑ состояние закрытого ключа ЦС:
Создание корневого центра сертификации с генерацией ключа
Предварительно для создание Корневого ЦС необходимо использование лицензии на Корневой ЦС. Новый Корневой ЦС будет создаваться на основании текущей лицензии. Для создания Корневого ЦС следует выполнить шаги ниже.
- На вкладке «Свои сертификаты» нажмите кнопку <Добавить сертификат> и выпадающем списке выберите опцию «Создать ключ».
- Если текущая лицензия позволяет создание корневого и подчиненного ЦС, то отобразится модальное окно «Окно инициализации корневого ЦС. Шаг 1/5» с шагом выбора лицензии (см. Рисунок 55). Для инициализации Корневого ЦС необходимо выбрать тип «Корневой» и нажать на кнопку <Продолжить>.
Если в поле «Типы центров сертификации» указано значение «корневой», то данный шаг пропускается.
Рисунок 55 – Окно инициализации ЦС. Шаг 1/5 . Выбор типа центра сертификации
- На шаге 2/5 (см. Рисунок 56) заполните поля:
- «Отображаемое имя» – введите имя создаваемого ЦС, которое будет отображаться в интерфейсе ЦС Aladdin eCA. Оно может содержать буквы латинского и/или кириллического алфавита, цифры от 0 до 9, символы таблицы ASCII, максимальная длина 200 символов;
- «Имя центра сертификации» (Common Name) – выберите имя создаваемого корневого ЦС из перечня возможных имен в соответствии с параметрами лицензии;
- «Суффикс различающегося имени» – укажите суффикс различающегося имени корневого сертификата (формат ввода суффикса приведен справа от поля). Ограничители ввода между параметрами – запятые и запятые с пробелами. Длина вводимого суффикса различающегося имени не должна превышать 250 байт. Ввод атрибутов возможен в любом порядке, но в сертификате порядок атрибутов будет установлен в соответствии с номерами пунктов, указанных в таблице ниже (Таблица 10).
Рисунок 56 – Окно инициализации корневого центра сертификации. Шаг 2/5
Таблица 10 – Поддерживаемые атрибуты суффикса различающегося имени
№ | Наименование атрибута | Описание атрибута |
|---|---|---|
1 | EMAILADDRESS= | E‑mail address (адрес электронной почты) OID: 1.2.840.113549.1.9.1 |
2 | CN= | Common name OID: 2.5.4.3 |
3 | UID= | Unique Identifier (уникальный идентификатор) OID: 2.5.4.45 |
4 | SERIALNUMBER= | Serial number (серийный номер) OID: 2.5.4.5 |
5 | OU= | Organizational Unit (отдел (организации) OID: 2.5.4.11 |
6 | O= | Organization (организация) OID: 2.5.4.10 |
7 | L= | Locality (район) OID: 2.5.4.7 |
8 | ST= | State or Province (область, край, республика) OID: 2.5.4.8 |
9 | C= | Country (страна, ввод осуществлять согласно регламенту ISO 3166) OID: 2.5.4.6 |
10 | T= | Title (заглавие) OID: 2.5.4.12 |
11 | SURNAME= | Surname (фамилия) OID: 2.5.4.4 |
12 | STREET= | Street address (адрес – улица) OID: 2.5.4.9 |
13 | INITIALS= | First name abbreviation (инициалы) OID: 2.5.4.43 |
14 | GIVENNAME= | Given name (first name ‑ имя) OID: 2.5.4.42 |
15 | DC= | Domain Component (first) (первый доменный компонент, при повторном вводе – второй) OID: 0.9.2342.19200300.100.1.25 |
16 | UNSTRUCTUREDADDRESS= | IP Address (IP‑адрес) OID: 1.2.840.113549.1.9.8 |
17 | UNSTRUCTUREDNAME= | Domain name (доменное имя – FQDN) OID: 1.2.840.113549.1.9.2 |
18 | POSTALCODE= | Postal code (почтовый индекс) OID: 2.5.4.17 |
19 | BUSINESSCATEGORY= | Organization type (категория (тип) организации OID: 2.5.4.15 |
20 | TELEPHONENUMBER= | Telephone number (телефонный номер) OID: 2.5.4.20 |
21 | PSEUDONYM= | Pseudonym (псевдоним) OID: 2.5.4.65 |
22 | POSTALADDRESS= | Postal adress (почтовый адрес) OID: 2.5.4.16 |
23 | NAME= | //Name (дополнительное имя) OID: 2.5.4.41 |
24 | DN= | DN Qualifier (признак отличительного имени для идентификации субъекта) OID: 2.5.4.46 |
25 | DESCRIPTION= | Description (краткое описание) OID: 2.5.4.13 |
26 | INN= | ИНН (идентификационный номер налогоплательщика) OID: 1.2.643.3.131.1.1 |
27 | OGRN= | ОГРН (основной государственный регистрационный номер) OID: 1.2.643.100.1 |
28 | OGRNIP= | ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя) OID: 1.2.643.100.5 |
29 | SNILS= | СНИЛС (Страховой номер индивидуального лицевого счёта) OID: 1.2.643.100.3 |
30 | INNLE= | ИНН юридического лица OID: 1.2.643.100.4 |
- После заполнения полей нажмите на кнопку <Продолжить> для перехода к следующему шагу.
- На шаге 3/5 необходимо определить, какой должен использоваться криптопровайдер для каждого алгоритма при создании сертификата ЦС и в последующих сценариях выпуска сертификатов субъектов. Для отключенных криптопровайдеров выбор алгоритма будет недоступен и при выпуске сертификатов, несмотря на допустимые значения в шаблонах. Для выбора криптопровайдеров заполните следующие поля (см. Рисунок 57):
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- КриптоПро CSP[3] (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центром сертификации Aladdin eCA);
- Отключен.
- «ECDSA» – поле выбора криптопровайдера для алгоритма ECDSA, допустимые варианты выбора:
- Стандартный (по умолчанию);
- Отключен.
- «ГОСТ Р 34.10‑2012» – поле выбора криптопровайдера для алгоритма ГОСТ Р 34.10‑2012, допустимые варианты выбора:
- КриптоПро CSP (доступен только при наличии активного и подключенного криптопровайдера СКЗИ «КриптоПро CSP», работающего на сервере совместно с Центру сертификации Aladdin eCA);
- Отключен (по умолчанию).
- «RSA» – поле выбора криптопровайдера для алгоритма RSA, допустимые варианты выбора:
На следующем шаге не будет доступен для выбора алгоритм ключа, для которого указано значение криптопровайдера «Отключен».
При отключении всех криптопровайдеров кнопка <Продолжить> не будет активирована и переход к следующему шагу будет невозможен.
Рисунок 57 ‑ Окно инициализации корневого центра сертификации. Шаг 3/5
- После выбора криптопровайдеров нажмите кнопку <Продолжить> для перехода к следующему шагу.
- На шаге 4/5 необходимо выбрать шаблон сертификата Корневого ЦС. В списке шаблонов отображаются все имеющиеся в программе шаблоны с типом «Корневой» (см. Рисунок 58).
Рисунок 58 ‑ Окно инициализации корневого центра сертификации. Шаг 4/5
- После выбора шаблона нажмите кнопку <Продолжить> для перехода к следующему шагу.
- На шаге 5/5 необходимо указать срок действия сертификата ЦС и задать параметры криптографии (см. Рисунок 59). Заполните следующие поля:
- «Cрок действия сертификата» – срок действия Корневого сертификата (по умолчанию – 15 лет). Ввод осуществляется вручную или выбором даты окончания действия сертификата в открывшемся календаре. Максимальный срок действия сертификата определяется шаблоном, выбранным на предыдущем шаге;
- «Алгоритм ключа» (состав алгоритмов зависит от выбранных провайдеров и шаблоном, выбранным на предыдущем шаге):
- RSA;
- ECDSA;
- ГОСТ Р 34.10‑2012.
- «Длина ключа» (доступные значения определяются шаблоном, выбранным на предыдущем шаге):
- для RSA: 1024, 1536, 2048, 3072, 4096, 6144, 8192 (по умолчанию 4096);
- для ECDSA: 256, 384, 521 (по умолчанию 384);
- для ГОСТ Р 34.10‑2012: 256, 512 (по умолчанию 512).
- «Алгоритм хэш‑суммы»:
- для алгоритма ключа RSA или ECDSA: SHA1, SHA256, SHA384, SHA512 (выбран по умолчанию);
- для алгоритма ключа ГОСТ Р 34.10‑2012: ГОСТ Р 34.11‑2012.
- «Место хранения закрытого ключа»:
- Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является КриптоПро CSP:
- Локальное хранилище Aladdin eCA (выбрано по умолчанию, требует заранее подготовленной на БДСЧ криптопровайдера СКЗИ «КриптоПро CSP» гаммы);
- КриптоПро CSP (HDIMAGE);
- КриптоПро HSM (доступно только при наличии подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM», создаваемые на ПАКМ «КриптоПро HSM» закрытые ключи ЦС являются неэкспортируемыми).
- В противном случает в данном поле указано неизменяемое значение «Локальное хранилище Aladdin eCA».
- Доступные варианты выбора, если криптопровайдером выбранного алгоритма ключа является КриптоПро CSP:
- Чек‑бокс «Экспортируемый закрытый ключ». Если выбрано место хранения закрытого ключа «Локальное хранилище Aladdin eCA», данный чек‑бокс включен по умолчанию и недоступен для изменения.
При выпуске сертификата доступа ЦС рекомендуется выбирать алгоритмы хэш‑суммы SHA256, SHA384 или SHA512 (в случае если в качестве алгоритма ключа выбран RSA или ECDSA).
Криптографическая хэш‑функция SHA1 не обеспечивает требуемой безопасности и может быть выбрана только при необходимости обеспечения совместимости.
Рисунок 59 – Окно инициализации корневого центра сертификации. Шаг 5/5
После задания значений нажмите ставшую активной кнопку <Создать ЦС>.
- В случае неудачной попытки создания ЦС будет отображено сообщение об ошибке (Таблица 11).
Таблица 11 – Перечень сообщений в случае неудачной попытки создания ЦС
Текст ошибки | Причина | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Ошибка. Некорректный компонент суффикса различающегося имени – <Имя компонента> | Ошибка ввода неизвестного имени компонента суффикса различающегося имени | ||||||||||||||||||||
Ошибка. Лицензионные ограничения не позволяют создать ЦС используя данное имя | Ошибка несоответствия значения в компоненте «CN» суффикса различающегося имени значению, указанному в лицензии | ||||||||||||||||||||
Ошибка. Произошла ошибка при создании ключевой пары для алгоритма «Название алгоритма». | Ошибка обращения к криптопровайдеру алгоритма генерации ключевой пары. | ||||||||||||||||||||
Ошибка. Ошибка атрибута attributeName: Значение не соответствует регулярному выражению: «regex» | Ошибка валидации введенного значения атрибута различающегося имени[4]. Возможные значения переменной «attributeName» и соответствующие им значения переменной «regex» представлены в таблице ниже:
| ||||||||||||||||||||
Ошибка при создании Центра сертификации. Неизвестная ошибка | Внутренняя ошибка ПО |
- При успешном создании Корневого ЦС и завершении инициализации ЦС будет отображено соответствующее окно (см. Рисунок 60). В нём возможно:
- скачать сертификат созданного Корневого ЦС;
- скачать цепочку сертификатов в формате .pem;
- или открыть страницу созданного Центра сертификации.
Также в результате успешного создания данного ЦС в контейнере закрытого ключа данного ЦС будут содержаться закрытый ключ данного ЦС и цепочка сертификатов данного ЦС[5].
Рисунок 60 – Окно завершения инициализации корневого центра сертификации
Создание подчиненного центра сертификации с генерацией ключа
- Для создания ЦС на вкладке «Свои сертификаты» нажмите кнопку <Добавить сертификат>.
- После этого в выпадающем списке выберите опцию «Создать ключ» для создания ЦС с генерацией собственного ключа – дальнейшие шаги создания ЦС описаны в разделе 3.1.2 при создании сертификата подчиненного ЦС;
- Новый ЦС будет создан на основании текущей лицензии.
Создание центра сертификации с импортом внешнего ключа
- Для создания ЦС на вкладке «Свои сертификаты» нажмите кнопку <Добавить сертификат>.
- После этого в выпадающем списке выберите опцию «Импорт внешнего ключа» для создания ЦС с генерацией собственного ключа – дальнейшие шаги создания ЦС описаны в разделе 3.2.
- Новый ЦС будет создан на основании текущей лицензии.
Скачивание запроса на сертификат для центра сертификации в состоянии «Запрос»
В случае, если запрос на сертификат Подчинённого ЦС по каким‑либо причинам не был скачан в окне мастера инициализации, следует:
- На вкладке «Свои сертификаты» выбрать созданный Подчиненный ЦС в состоянии «Запрос» (см. Рисунок 61).
Рисунок 61 – Окно скачивания запроса на сертификат для Подчинённого ЦС
- Нажать появившуюся в строке выбранного ЦС кнопку и скачать запрос в формате .csr.
- Далее следует подписать скачанный запрос на Корневом ЦС согласно разделу 7.3.2.2 настоящего руководства администратора.
Импорт сертификата подчиненного центра сертификации
ВНИМАНИЕ! Сценарий является контекстным и используется только для ЦС со статусом «Запрос».
В случае загрузки цепочки сертификатов, содержащей сертификат c хэш‑алгоритмом подписи ГОСТ Р 34.11‑2012, на хосте подчиненного ЦС должен быть установлен и подключен к программе криптопровайдер СКЗИ «КриптоПро CSP».
После подписания запроса на сертификат на Корневом ЦС необходимо импортировать цепочку сертификатов для Подчинённого ЦС в состоянии «Запрос».
- На вкладке «Свои сертификаты» выбрать Подчиненный ЦС в состоянии «Запрос», по запросу которого был сформирован сертификат и цепочка сертификатов в формате .pem или .p7b в разделе 7.3.1.5 данного руководства. Нажать кнопку <Загрузить> (см. Рисунок 61) или кнопку на вкладке «Свои сертификаты» для выбора цепочки сертификатов и автоматического сопоставления соответствия запросу ЦС с целью удовлетворения запроса и активации ЦС.
- Далее в появившемся окне импорта цепочки сертификатов (см. Рисунок 62) выбрать скачанный ранее файл цепочки сертификата для загрузки в формате .pem или .p7b. Нажать кнопку <Загрузить>, активированную после выбора файла цепочки сертификатов.
Рисунок 62 ‑ Окно импорта цепочки сертификатов
- В процессе загрузки будет осуществлена проверка загружаемого сертификата, а именно:
- имени подчиненного ЦС, указанного в импортируемом сертификате (компонент «Common name» в поле «Subject») на соответствие имени, указанному в лицензии подчиненного ЦС;
- имени корневого ЦС, указанного в его сертификате (компонент «Common name» в поле «Subject») на соответствие имени корневого ЦС, указанному в лицензии;
- соответствия порядка расположения компонентов SDN в поле «Subject» в сертификате подчиненного ЦС порядку, указанному в таблице 2;
- соответствие структуры сертификата стандарту Х.509;
- срока действия всех сертификатов в составе цепочки;
- аутентичность цепочки (проверка осуществляется криптографическими методами);
- соответствие открытого ключа в сертификате закрытому ключу в Подчинённом ЦС.
- В запросах на сертификат и сертификатах ЦС, создаваемых Центре сертификации Aladdin eCA компоненты SDN в поле «Subject» расположены в следующем порядке:
- EMAILADDRESS;
- CN;
- UID;
- SERIALNUMBER;
- OU;
- O;
- L;
- ST;
- DC;
- C;
- T;
- SURNAME;
- STREET;
- INITIALS;
- GIVENNAME;
- UNSTRUCTUREDADDRESS;
- UNSTRUCTUREDNAME;
- POSTALCODE;
- BUSINESSCATEGORY;
- TELEPHONENUMBER;
- PSEUDONYM;
- POSTALADDRESS;
- NAME;
- DN;
- DESCRIPTION;
- INN;
- OGRN;
- OGRNIP;
- SNILS;
- INNLE.
- В случае несоответствия каких‑либо параметров импортируемого сертификата (цепочки сертификатов) администратор будет уведомлён сообщением об ошибке импорта сертификата Подчинённого ЦС (Таблица 12), а в журнал событий будет произведена запись события CAENV013.
Таблица 12 – Перечень сообщений в случае неудачной попытки импорта сертификата подчинённого ЦС
Текст ошибки | Причина |
|---|---|
Ошибка. Недействительный сертификат. | Ошибка истечения срока действия сертификата, входящего в состав цепочки. |
Ошибка. Проверка публичного ключа сертификата не удалась. | Ошибка прохождения проверки соответствия открытого ключа закрытому ключу. |
Ошибка. Имя подчиненного ЦС, указанное в сертификате, не соответствует лицензии. | Ошибка несоответствия имени подчиненного ЦС, указанного в его сертификате (компонент «Common name» в поле «Subject» сертификата подчиненного ЦС) имени (перечню имен), указанному в лицензии. |
Ошибка. Имя корневого ЦС, указанное в сертификате, не соответствует лицензии. | Ошибка несоответствия имени корневого ЦС, указанного в его сертификате (компонент «Common name» в поле «Subject» сертификата корневого ЦС) имени (перечню имен) корневого ЦС, указанному в лицензии. |
Ошибка. Сертификат ЦС содержит некорректный порядок компонентов суффикса различающегося имени. | Сертификат ЦС содержит некорректный порядок компонентов суффикса различающегося имени. |
Ошибка. Загружаемая цепочка сертификатов содержит сертификат (CN=«CN сертификата»), не являющийся сертификатом ЦС | Указанный в ошибке сертификат из цепочки не является сертификатом ЦС (флаг isCA=false, а должен быть isCA=true). |
Ошибка. Неизвестная ошибка. | Внутренняя ошибка ПО. |
- После успешной загрузки цепочки сертификатов открывается окно с уведомлением об успешной загрузке сертификата (см. Рисунок 63) и отображается следующая информация о сертификате ЦС: издатель, субъект, срок действия сертификата. Также в результате успешной загрузки цепочки сертификатов в контейнере закрытого ключа данного ЦС будут содержаться закрытый ключ данного ЦС и цепочка сертификатов данного ЦС[6]. В журнал событий производится запись события CAENV012.
Рисунок 63 – Окно уведомления об успешном загрузки сертификата
- По нажатию на кнопку <Закрыть> в последнем окне импорта цепочки сертификатов:
- сертификат присваивается Подчиненному ЦС;
- работа мастера импорта цепочки сертификатов завершается;
- ЦС автоматически активируется.
Удаление центра сертификации
- Условия удаления ЦС:
- удаляемый ЦС находится в состоянии «Не активирован» (см. Рисунок 64);
Рисунок 64 – Раздел «Центр сертификации» – Вкладка «Свои сертификаты» – Состояние удаляемого ЦС
- выключена проверка издателя – удаляемого ЦС (см. Рисунок 65, раздел 7.13.2 настоящего руководства).
Рисунок 65 – Раздел «Настройки – Поле «Разрешённые издатели» ‑ Выключение издателя из разрешённых
- Для удаления ЦС, наведите указатель мыши на строку с выбранным ЦС и нажмите кнопку или откройте карточку выбранного ЦС и нажмите кнопку .
- В появившемся окне подтверждения внимательно ознакомьтесь с рекомендациями (см. Рисунок 66).
Внимание! После удаления ЦС будут также удалены:
- запись о ЦС, сертификат и закрытый ключ выбранного ЦС;
- все выпущенные сертификаты субъектов;
- субъекты локальной ресурсной системы;
- привязку сертификатов к учётным записям Aladdin еСА;
- шаблоны сертификатов, в которых в качестве издателя указан удаляемый ЦС;
- настроенные Центры валидации Aladdin еСА СА.
Рисунок 66 – Окно подтверждения удаления ЦС
- Сертификаты, ранее выпущенные удалённым ЦС, будут действительны до следующего запланированного обновления списка отозванных сертификатов.
- Центр валидации, ранее зарегистрированный удалённым ЦС, необходимо самостоятельно удалить на сервере отзыва.
- Для подтверждения удаления ЦС установите флаг в чек‑боксе «Подтверждаю удаление Центра сертификации» и нажмите ставшую активной кнопку <Удалить>. Для прерывания процесса удаления ЦС нажмите кнопку <Отмена>.
- В результате удаления ЦС в журнал событий будут зарегистрированы записи с кодами:
- CAENV059;
- CAENV038 (изменение списка издателей);
- CAENV060.
- При попытке удаления активного или разрешённого издателя ЦС будет выведено сообщение (см. Рисунок 67).
Рисунок 67 – Уведомление об ошибке при попытке удаления активного или разрешённого издателя ЦС
Экспорт закрытого ключа центра сертификации
Экспорт закрытого ключа ЦС доступен только для ЦС с состоянием «Не активирован» и с разрешенным экспортом закрытого ключа. Для выполнения экспорта выполните следующие шаги:
- В разделе «Центр сертификации» перейти на вкладку «Свои сертификаты», затем перейдите в карточку ЦС с состоянием «Не активирован» и с разрешенным экспортом закрытого ключа.
- В открывшейся карточке ЦС перейдите на вкладку «Закрытый ключ». На данной вкладке нажмите на кнопку <Экспортировать ключ> (см. Рисунок 68).
Рисунок 68 – Вкладка «Закрытый ключ» с возможностью экспорта закрытого ключа
- В отобразившемся окне «Экспорт закрытого ключа центра сертификации» задайте пароль для защиты контейнера PKCS#12, в который будем записан закрытый ключ данного ЦС, и подтвердить введенный пароль (см. Рисунок 69).
Пароль должен содержать не менее 8 (восьми) символов с использованием цифр, заглавных и прописных букв, ввод осуществляется на латинице.
Рисунок 69 – Создание пароля для контейнера PKCS#12 при экспорте закрытого ключа
- Для экспорта ключа нажмите на кнопку <Экспортировать ключ>.
- После этого в окне «Экспорт закрытого ключа центра сертификации» будет отображен текст «Закрытый ключ центра сертификации `Имя_ЦС` успешно экспортирован (cм. Рисунок 70).
И будет доступно скачивание контейнера PKCS#12, содержащего экспортированный закрытый ключ ЦС, путем нажатия на кнопку <Скачать>, а также закрытие данного окна путем нажатия на кнопку <Закрыть>.
Для скачивания контейнера PKCS#12 нажмите на кнопку <Скачать>.
Внимание! После закрытия данного окна скачивание контейнера PKCS#12, содержащего экспортированный закрытый ключ ЦС, будет недоступно.
В случае утери экспортированного контейнера закрытого ключа его восстановление будет невозможно.
Рисунок 70 – Окно с успешным результатом экспорта закрытого ключа ЦС
- В результате выполнения экспорта закрытого ключа ЦС:
- Закрытый ключ ЦС будет удален из места хранения, определенного при создании данного ЦС;
- ЦС, ключ которого был экспортирован, перейдет в состояние «Ключ экспортирован»;
- В журнале событий будет зафиксировано событие с кодом CAENV103. При каждом скачивании контейнера PKCS#12 в окне «Экспорт закрытого ключа центра сертификации» в журнале событий будет зафиксировано событие с кодом CAENV105.
Импорт закрытого ключа центра сертификации
Импорт закрытого ключа ЦС доступен только для ЦС с экспортированным ранее закрытым ключом. Для выполнения импорта выполните следующие шаги:
- В разделе «Центр сертификации» перейдите на вкладку «Свои сертификаты», затем в карточку ЦС с состоянием «Ключ экспортирован».
- В открывшейся карточке ЦС перейдите на вкладку «Закрытый ключ». В данной вкладке нажмите на кнопку <Импортировать ключ> (см. Рисунок 71).
Рисунок 71 – Вкладка «Закрытый ключ» с возможностью импорта закрытого ключа
- В отобразившемся окне «Импорт закрытого ключа центра сертификации» на шаге 1 необходимо выбрать место хранения для закрытого ключа ЦС (см. Рисунок 72).
Доступные варианты выбора, если криптопровайдером алгоритма ключа ЦС является СКЗИ «КриптоПро CSP»:
- «Локальное хранилище Aladdin eCA»;
- «КриптоПро CSP (HDIMAGE)»;
- «КриптоПро HSM» (только при наличии подключения криптопровайдера СКЗИ «КриптоПро CSP» к ПАКМ «КриптоПро HSM»).
Иначе в данном поле будет указано «Локальное хранилище Aladdin eCA».
Рисунок 72 – Окно «Импорт закрытого ключа центра сертификации». Шаг 1/2
- Для перехода к следующему шагу нажмите на кнопку <Продолжить>.
- На шаге 2 загрузите файл контейнера закрытого ключа и введите пароль от него (см. Рисунок 73). Допустимое расширение для загружаемых файлов – .p12. При загрузке файла с иным расширением в поле загрузки файла будет отображено сообщение об ошибке «Некорректный формат файла».
Рисунок 73 – Окно «Импорт закрытого ключа центра сертификации». Шаг 2/2
- После загрузки файла контейнера закрытого ключа и ввода пароля от него нажмите на кнопку <Импортировать ключ>.
- В случае неудачной попытки импорта закрытого ключа будет отображено сообщение об ошибке (Таблица 13).
Таблица 13 – Перечень сообщений в случае неудачной попытки импорта закрытого ключа ЦС
Текст ошибки | Причина |
|---|---|
Неверный пароль | Указание неверного пароля от контейнера закрытого ключа ЦС |
Закрытый ключ не соответствует открытому ключу ЦС | При попытке импорта закрытого ключа, не соответствующего открытому ключу данного ЦС |
Цепочка сертификатов в импортируемом контейнере не соответствует цепочке сертификатов ЦС | При попытке импорта контейнера закрытого ключа, цепочка сертификатов в котором не соответствует цепочке сертификатов данного ЦС |
- При отсутствии ошибок при импорте закрытого ключа в окне «Импорт закрытого ключа центра сертификации» будет отображен текст «Закрытый ключ центра сертификации `Имя_ЦС` успешно импортирован.» (см. Рисунок 74).
В окне «Импорт закрытого ключа центра сертификации» будет доступно закрытие данного окна путем нажатия на кнопку <Закрыть>.
Рисунок 74 – Окно с успешным результатом импорта закрытого ключа ЦС
- В результате выполнения импорта закрытого ключа ЦС:
- Закрытый ключ ЦС будет помещен в хранилище, выбранное на шаге 1 окна «Импорт закрытого ключа центра сертификации»;
- ЦС, ключ которого был импортирован, перейдет в состояние «Не активирован»;
- В журнале событий будет зафиксировано событие с кодом CAENV107.
[1] При успешной активации центра сертификации в журнале событий регистрируется запись с кодом CAENV008.
[2] При успешной активации центра сертификации будет произведена запись события CAENV008 в журнал событий.
[3] Подробная информация по настройке взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описана в Приложении 5 документа «Центр сертификатов доступа . Руководство администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01-1.
[4] Правила валидации значений атрибутов представлены в Приложении 3 «Правила валидации значений полей по умолчанию предустановленных шаблонов сертификатов».
[5] Если местом хранения закрытого ключа ЦС является ПАКМ «КриптоПро HSM, то созданный закрытый ключ ЦС будет неэкспортируемым.
[6] Если местом хранения закрытого ключа центра сертификации является ПАКМ «КриптоПро HSM», то созданный закрытый ключ центра сертификации будет неэкспортируемым.
Вкладка «Сертификаты Подчиненных центров»
- Вкладка «Сертификаты Подчиненных центров» (см. Рисунок 75) предназначена для работы с Сертификатами Подчиненных ЦС. В списке сертификатов подчиненных ЦС отображаются только сертификаты, выпущенные активным центром сертификации.
- Варианты состояния и возможных операций над сертификатами из категории «Сертификаты Подчиненных центров» с учетом наведенного указателя мыши и без приведены в таблице ниже (Таблица 14).
- Нажатие на кнопку <Подписать запрос+> запускает сценарий подписи запроса Подчиненного ЦС из категории «Сертификаты Подчиненных центров».
Рисунок 75 ‑ Экран «Сертификаты Подчиненных центров»
- Информационные элементы экрана «Сертификаты Подчиненных центров» – неуправляемые табличные поля:
- издатель;
- владелец;
- действителен до (дата);
- алгоритм ключа;
- длина ключа;
- состояние (варианты состояний: действительный, отозван, истёк срок).
- Управляемые поля. В соответствии с состоянием Подчиненного сертификата при помощи кнопок управления, расположенных на табличных полях, возможны действия, приведенные в таблице ниже (Таблица 14).
Таблица 14 – Действия над сертификатами Подчиненных центров
Состояние сертификата | Функции управления сертификатами | ||
|---|---|---|---|
скачать | удалить | отозвать | |
действительный | ✚ | | ✚ |
отозван | ✚ | | |
истек срок | ✚ | ✚ | |
- Функции управления Подчиненными сертификатами:
- скачать – скачивание сертификата (без подтверждения);
- удалить – удаление сертификата с подтверждением;
- отозвать – отзыв сертификата с подтверждением.
Карточка сертификата подчинённого ЦС
- Переход к экрану «Карточка сертификата ЦС» осуществляется при нажатии на строку сертификата таблицы на вкладке «Свои сертификаты» (см. Рисунок 53).
Рисунок 76 – Экран карточки сертификата Подчинённого ЦС в состоянии «Действительный»
- Доступные действия в карточке сертификата ЦС со статусом «Действительный» возможно:
- выгрузить сертификат по нажатию кнопки <Скачать>
- отозвать сертификат ЦС по нажатию кнопки <Отозвать>.
Набор кнопок в карточке ЦС в зависимости от статуса сертификата ЦС соответствует приведённым действиям в таблице выше (Таблица 14).
- В карточке ЦС отображаются следующие сведения:
- идентификатор ЦС;
- цепочка сертификатов;
- идентификатор сертификата;
- издатель;
- владелец;
- SDN владельца;
- срок действия («действует с», «действует по»);
- алгоритм ключа;
- длина ключа;
- состав:
- серийный номер (поле «Serial Number» сертификата);
- открытый ключ (поле «Subject Public Key Info»);
- отпечаток (вычисляемое значение, отсутствует в сертификате);
- версия (поле «Version»);
- параметры открытого ключа (всегда «X509»);
- алгоритм цифровой подписи (поле «Signature Algorithm»);
- основные ограничения (поле «X509v3 Basic Constraints»);
- использование ключа (поле «X509v3 Key Usage» сертификата);
- доступ к информации о центре сертификации (поле «Authority Information Access»);
- альтернативное имя субъекта (поле «X509v3 Subject Alternative Name» сертификата);
- идентификатор ключа центра (поле «X509v3 Authority Key Identifier» сертификата);
- идентификатор ключа субъекта (поле «X509v3 Subject Key Identifier» сертификата);
- расширенное использование ключа (поле «X509v3 Extended Key Usage» сертификата).
Подписание запроса на корневом центре сертификации
- После предварительного скачивания запроса на сертификат Подчинённого ЦС и переноса его на Корневой ЦС выполните подписание согласно нижеприведённой инструкции.
- При активном Корневом ЦС, от имени которого будет выдан сертификат, на вкладке «Сертификаты Подчиненных центров» нажать кнопку <Подписать запрос+> (см. Рисунок 77)
Внимание! Подписание файл‑запроса и выдача подписанного сертификата производится от ЦС в состоянии «Активирован» на вкладке «Сертификаты подчинённых центров». Запрос на сертификат Подчинённого ЦС может быть подписан только один раз Корневым ЦС.
Выпускаемые сертификаты подчиненных ЦС должны подписываться с использованием алгоритма хэш‑суммы центра сертификации, на котором подписывается запрос, вне зависимости от указанного в запросе алгоритма хэш‑суммы.
Рисунок 77 – Окно «Сертификаты Подчиненных ЦС»
- Далее загрузите запрос в формате .csr, скачанный на шаге 7.3.1.5, нажав кнопку <Выбрать файл> (см. Рисунок 78).
- Выберите шаблон сертификата Подчинённого ЦС (например, предварительно подготовленный шаблон путём редактирования клонированного предустановленного шаблона ЦС сертификации в разделе «Шаблоны»).
Cрок действия сертификата Подчиненного ЦС определяется шаблоном «Sub CA»[1], но не превышает срок действия сертификата Корневого ЦС.
Рисунок 78 – Окно выбора файла запроса
На текущем шаге, после выбора файла запроса, возможно изменить выбор, нажав кнопку <Изменить> (см. Рисунок 79).
- Нажмите ставшую активной кнопку <Загрузить> (см. Рисунок 79).
Рисунок 79 – Окно загрузки файла запроса
- При нажатии кнопки <Загрузить> происходит загрузка файл запроса в Корневой ЦС (текущий активный Корневой ЦС из категории «Свои сертификаты»). Далее администратор видит уведомление о том, что сертификат Подчиненного ЦС успешно сформирован и подписан Корневым ЦС (см. Рисунок 80).
Рисунок 80 – Окно успешного формирования и подписи сертификата
- В случае если на основании загруженного запроса ранее был выпущен сертификат Подчинённого ЦС администратор будет уведомлён сообщением (см. Рисунок 81).
Рисунок 81 – Уведомление о том, что по загруженному запросу ранее выпущен сертификат
- Необходимо скачать цепочку сертификатов ЦС в формате .pem, нажав кнопку <Скачать цепочку сертификатов>, в окне «Обработка запроса» на данном шаге для дальнейшего импорта на Подчинённом центре сертификации.
- Скачать сформированный и подписанный сертификат, а также цепочку сертификатов можно позднее, открыв вкладку «Сертификаты Подчиненных центров», выбрав нужный сертификат и нажав появившуюся кнопку для скачивания сертификата или цепочки сертификатов, выбрав соответствующий пункт в раскрывшемся меню (см. Рисунок 82).
Рисунок 82 – Окно вкладки «Сертификаты Подчиненных центров» с выбранным сертификатом
- Далее перенесите сертификат на Подчинённый ЦС и выполните импорт цепочки сертификатов согласно разделу 7.3.1.6 настоящего руководства.
[1] Про шаблон «Sub CA» см. в Приложении 2 «Описание полей предустановленных шаблонов сертификатов».
Раздел «Сертификаты»
Раздел «Сертификаты» обеспечивает просмотр и управление сертификатами субъектов в соответствии с правами учётной записи пользователя. Пользователю с ролью «Администратор» доступен просмотр и управление всеми сертификатами без ограничений по субъектам. Пользователю с ролью «Оператор» доступен просмотр и управление сертификатами субъектов, права на которые предоставлены для учётной записи.
Переход на экран управления ЦС осуществляется по выбору раздела «Сертификаты» бокового меню, расположенного слева на главном экране (см. Рисунок 50).
На данном экране отображаются все созданные сертификаты пользователей, контроллеров домена, веб‑серверов.
Рисунок 83 ‑ Экран раздела меню «Сертификаты»
- На экране раздела «Сертификаты» отображены информационные элементы (табличные поля):
- серийный номер сертификата;
- имя субъекта (CN);
- тип шаблона сертификата (шаблон);
- дата выпуска сертификата;
- дата срока окончания действия сертификата (действителен до);
- текущий статус сертификата (состояние).
- Доступны следующие операции по работе с сертификатами:
- выпуск нового сертификата;
- поиск выпущенных сертификатов;
- сортировка сертификатов;
- просмотр списка сертификатов с заданными критериями;
- сброс всех применённых фильтров или выборочная отмена выбранного фильтра;
- скачивание сертификатов в формате .pem;
- скачивание цепочки сертификатов;
- изменение статуса сертификатов;
- просмотр карточки сертификата;
- экспорт списка всех выпущенных сертификатов с атрибутами;
- массовые операции с выпущенными сертификатами.
- Все созданные сертификаты (в формате .pem) и закрытые ключи (в формате PKCS#12) субъектов будут сохранены в базе данных (имя базы данных по умолчанию, конфигурация базы данных указана в файле /opt/aecaCa/scripts/config.sh).
- Все созданные сертификаты субъектов на экране раздела отображаются в виде таблицы с пагинацией.
- Скачивание контейнера PKCS#12, содержащего закрытый ключ и сертификат, доступна только в окне по завершению создания сертификата.
Выпуск сертификатов для субъектов, не имеющих действующие сертификаты, доступен только при условии, что лицензионное ограничение на количество субъектов, владеющих действующими сертификатами, не достигнуто. В случае, если субъект уже является владельцем действующего сертификата, количество сертификатов, которое может быть создано для данного субъекта, не ограничено.
Выпуск сертификата
- Для выпуска сертификата для существующего или нового субъекта нажмите кнопку <Создать сертификат> и выберите способ создания из выпадающего списка (см. Рисунок 84):
- с закрытым ключом (PKCS# 12);
- на основании запроса;
- на ключевом носителе.
- Более подробно процедура выпуска сертификата приведена в Приложении 1 «Создание сертификата для субъекта».
Рисунок 84 – Выпуск сертификата в разделе «Сертификаты»
Поиск сертификатов
Строка поиска (см. Рисунок 85) предназначена для поиска сертификатов по имени (поле Common Name), альтернативному имени субъекта (поле SubjectAltName) и серийному номеру сертификата (поле Serial Number). Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.
Рисунок 85 – Поисковая строка в разделе «Сертификаты»
- Для сброса результатов поиска и возврату к полному перечню сертификатов в экранной таблице удалите содержимое строки поиска.
Сортировка сертификатов
- Средства сортировки выпущенных сертификатов представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 86):
- «Серийный номер» – сортировка осуществляется в порядке возрастания или убывания значения;
- «CN» – сортировка осуществляется в алфавитном порядке;
- «Шаблон» – осуществляется группировка по типу шаблона;
- «Дата создания», «Действителен до» – сортировка осуществляется в порядке возрастания или убывания значения даты.
- Сортировка происходит только по одному значению при нажатии на соответствующий заголовок таблицы. Активное значение, по которому выполнена фильтрация обозначен знаком с правой стороны от заголовка таблицы.
Рисунок 86 – Поля сортировки содержимого раздела «Сертификаты»
- Также отобразить в определённом порядке список сертификатов (отсортировать) в колонке возможно по нажатию кнопки <Действия в колонке>, выбрав и нажав в раскрывшемся меню «Сортировать…» (см. Рисунок 88).
Фильтрация сертификатов
Применение фильтров
- Для выборочного просмотра сертификатов на экране раздела «Сертификаты» возможно применение фильтров. Для отображения параметров фильтрации для всех колонок таблицы нажмите кнопку <Фильтр> , заголовки колонок экранной таблицы будут дополнены полями фильтра для каждой колонки (см. Рисунок 87):
- шаблон. Выберите шаблоны сертификатов для отображения списка сертификатов, которые были выпущены на основании выбранных шаблонов;
- дата создания. Выберите за какой период создания отобразить сертификаты на экране, введите дату с помощью клавиатуры или выберите в развернувшемся календаре;
- действителен до. Выберите за какой период даты окончания действия отобразить сертификаты на экране, введите дату с помощью клавиатуры или выберите в развернувшемся календаре;
- состояние. Выберите состояния сертификатов для отображения (активирован, приостановлен, отозван).
Рисунок 87 – Поля фильтра заголовков экранной таблицы
- Выберите одно или несколько значений фильтров, после выбора фильтр будет применён сразу автоматически.
- Повторное нажатие кнопки <Фильтр> скроет поля выбора критериев фильтрации, но не отменяет применённые фильтры.
- Заголовки таблицы, для которых применён фильтр, будут отмечены знаком .
Сброс применённых фильтров
- Для очистки применённых фильтров для каждого заголовка колонки:
- нажмите кнопку <Действия в колонке> и в раскрывшемся окне выберите пункт «Очистить фильтр» (см. Рисунок 88);
Рисунок 88 – Кнопка <Очистить> фильтр
- Для полной отмены всех применённых фильтров по всем колонкам воспользуйтесь кнопкой <Сбросить фильтр> на экране раздела «Сертификаты».
Скачивание сертификатов
Для скачивания наведите указатель мыши на выбранный сертификат в экранной таблице, нажмите появившуюся кнопку (см. Рисунок 83) и в раскрывшемся подменю выберите пункт <Скачать сертификат> или «Скачать цепочку» в формате .pem (см. Рисунок 89).
Рисунок 89 – Подменю «Скачать сертификат/цепочку»
Статус сертификатов
- Возможные варианты состояния и доступные действия над сертификатами в зависимости от состояния приведены в таблице ниже (Таблица 15).
Таблица 15 – Доступные действия над сертификатами в зависимости от состояния
Состояние сертификата | Доступные действия | ||
|---|---|---|---|
активация | приостановка | отзыв | |
активирован | | ✚ | ✚ |
приостановлен | ✚ | | ✚ |
отозван | | | |
- Смена состояния сертификата производится посредством выбора нужного значения из выпадающего меню при выделении строки сертификата (см. Рисунок 90).
Рисунок 90 – Выпадающее меню смены состояния сертификата
- При смене состояния сертификата посредством радиокнопки появляется окно с запросом на подтверждение операции, в зависимости от типа операции предусмотрена различная активность для данного окна:
- активация (см. Рисунок 91)
Если достигнуто предельное количество субъектов с действующими сертификатами в соответствии с лицензией, при попытке активации сертификата субъекта, у которого отсутствуют действующие сертификаты, будет отображаться сообщение об ошибке «Лицензионные ограничения не позволяют активировать данный сертификат. Достигнуто предельное количество субъектов с действующими сертификатами».
Рисунок 91 – Окно активации сертификата
- отзыв (см. Рисунок 92);
ВНИМАНИЕ! Данную операцию нельзя отменить.
Рисунок 92 – Окно отзыва сертификата
Возможные причины отзыва (в соответствии с разделом 6.3.2 RFC5280):
- неиспользуемый (unused) – исключение владельца из системы/увольнение;
- принадлежность изменена (affiliation Changed) – смена данных владельца;
- компрометация ключа (keyCompromise);
- компрометация ЦС (cACompromise);
- заменен (сертификат) – заменен на иной сертификат;
- без указания причины (unspecified).
- Приостановка действия сертификата (см. Рисунок 93):
Рисунок 93 – Окно приостановки действия сертификата
Карточка сертификата
- Просмотр данных сертификата возможен посредством страницы «Карточка сертификата».
- Переход к экрану «Карточка сертификата» (см. Рисунок 94) осуществляется при нажатии на строку сертификата таблицы главного экрана раздела «Сертификаты» (см. Рисунок 83).
Рисунок 94 – Окно «Карточка сертификата»
- Оглавление карточки сертификата включает в себя:
- тип‑сертификата;
- принадлежность;
- тип субъекта.
- Для возврата на главный экран раздела «Сертификаты» проследовать по стрелке .
- Для изменения статуса сертификата выбрать из выпадающего списка действие в соответствие с таблицей выше (Таблица 15).
Если достигнуто предельное количество субъектов с действующими сертификатами в соответствии с лицензией, при попытке активации сертификата субъекта, у которого отсутствуют действующие сертификаты, будет отображаться сообщение об ошибке «Лицензионные ограничения не позволяют активировать данный сертификат. Достигнуто предельное количество субъектов с действующими сертификатами».
- Для скачивания сертификата наведите указатель мыши на кнопку , во всплывающем меню выберите <Скачать сертификат> субъекта или <Скачать цепочку> сертификатов.
- В карточке сертификата отображаются следующие сведения:
- идентификатор;
- издатель;
- владелец;
- SDN владельца;
- срок действия («действует с», «действует по»);
- алгоритм ключа;
- длина ключа.
- Карточка сертификата содержит раскрывающиеся вкладки:
- «Цепочка сертификатов». Раскройте подменю, нажав в строке с именем вкладки символ . На раскрывшемся экране отображены все ЦС, участвующие в построении цепочки сертификатов, начиная с Корневого ЦС, на основе которого строится цепочка доверия сертификатам, до конечного ЦС, выдавшего текущий сертификат субъекта (см. Рисунок 95).
Рисунок 95 – Окно карточки сертификата. Подменю «Цепочка сертификатов»
- «Состав». Раскройте вкладку, нажав в строке с именем вкладки символ . На раскрывшемся экране отображены следующие поля (см. Рисунок 96):
- серийный номер;
- открытый ключ;
- отпечаток;
- версия;
- параметр открытого ключа;
- алгоритм цифровой подписи
- основные ограничения;
- использование ключа;
- доступ информации о ЦС;
- альтернативное имя субъекта;
- идентификатор ключа ЦС;
- идентификатор ключа субъекта;
- расширенное использование ключа.
- «Состав». Раскройте вкладку, нажав в строке с именем вкладки символ . На раскрывшемся экране отображены следующие поля (см. Рисунок 96):
При переходе на выбранное поле, в правой части экрана будет отображена информация, соответствующая выделенному полю.
Рисунок 96 – Окно карточки сертификатов. Вкладка «Состав»
- «История изменения сертификата». Раскройте вкладку, нажав в строке с именем вкладки символ . На данной вкладке зафиксирована информация о всех совершённых над сертификатом действиях в хронологическом порядке. На раскрывшемся экране отображены поля (см. Рисунок 97):
- дата – дата совершенного действия;
- пользователь – учётная запись, под которой было совершенно данное действие;
- событие – действие, совершённое над сертификатом.
- «История изменения сертификата». Раскройте вкладку, нажав в строке с именем вкладки символ . На данной вкладке зафиксирована информация о всех совершённых над сертификатом действиях в хронологическом порядке. На раскрывшемся экране отображены поля (см. Рисунок 97):
Рисунок 97 – Окно карточки сертификатов. Вкладка «История изменения сертификата»
- Выход из карточки сертификата осуществляется по кнопке <Возврат> и по кнопкам вкладки главного меню.
Экспорт списка выпущенных сертификатов
- При использовании учётной записи с ролью «Администратор» можно сохранить полный список всех выпущенных сертификатов в виде .csv файла.
- При использовании учётной записи «Оператор» в список .csv файла будут собраны только выпущенные сертификаты тех субъектов, права доступа на которые назначены данному оператору.
- Для выгрузки списка сертификатов нажмите кнопку <Скачать все сертификаты в формате CSV>. Происходит формирование списка сертификатов, по завершению действия и готовности к выгрузке списка сертификатов кнопка переходит в состояние . Нажмите кнопку <Скачать (готово)> для сохранения подготовленного списка сертификатов.
- Сохранение списка сертификатов в виде zip‑архива происходит по выбранному пути в открывшемся окне сохранения файла (см. Рисунок 98).
Рисунок 98 – Окно указания пути сохранения файла
- Выгруженный файл .csv (заархивированный при выгрузке) представлен в текстовом формате для представления табличных данных, где строки текста содержат поля таблицы, разделённые запятыми. Сформированная таблица содержит следующие столбцы (см. Рисунок 99):
- fingerprint – содержит уникальный числовой отпечаток сертификата;
- cafingerprint – содержит уникальный числовой отпечаток сертификата ЦС, подписавшего сертификат;
- expire date – содержит значение даты «годен до»;
- issuerdn – содержит отличительное имя издателя;
- revocation date – содержит дату отзыва;
- revocation reason – содержит причину отзыва;
- serialnumber – содержит серийный номер сертификата;
- status – содержит текущий статус сертификата;
- subjectdn – содержит отличительное имя держателя сертификата;
- create date – содержит дату выпуска сертификата;
- username – содержит имя держателя сертификата;
- subject alt name – содержит дополнительные имена держателя;
- template – содержит наименование шаблона;
- algorithm – содержит обозначение алгоритма;
- key length – содержит длину ключа;
- history – содержит историю изменений сертификата в формате JSON.
Рисунок 99 – Пример экспортированного файла списка выпущенных сертификатов.csv
Массовые операции с сертификатами
- Для массовой операции, применяемой к выбранному множеству сертификатов доступа, нажмите кнопку <Массовые операции>, которая запускает окно выполнения массовой операции (см. Рисунок 100).
Рисунок 100 – Окно выполнения массовых операций. Шаг 1
- Выберите необходимую операцию из раскрывающегося списка. Доступны следующие типы операций:
- возобновление действия;
- приостановить;
- отозвать.
При выборе операции «Отозвать» дополнительно необходимо будет указать причину отзыва из выпадающего списка.
- Нажмите кнопку <Продолжить>.
- На следующем шаге, до применения поиска в левом столбце окна будут отображены первые 100 сертификатов с соответствующим статусом (в зависимости от выбранной операции на шаге 1) в алфавитном порядке по атрибуту Common Name. В случае, если найдено более 100 сертификатов соответствующего выбранной операции статуса, то требуется уточнить параметры поиска сертификатов.
Также возможно осуществить поиск сертификатов по отличительному имени субъекта Subject Distinguished Names, для которых требуется применить выбранную операцию, в левом столбце окна Шага 2 (см. Рисунок 101). Поиск сертификатов производится с учётом текущего статуса сертификата и выбранного типа операции на шаге 1, отображается не более 100 результатов поиска, для выбора более 100 сертификатов требуется уточнить и повторить поиск.
Например, при выборе типа операции «Возобновить» поиск осуществляется только среди сертификатов со статусом «Приостановлен», для которых допустимо выполнить данный тип операции.
- Выберите, найденные сертификаты, отметив их флажками .
- Перенесите отмеченные флажками сертификаты в правую часть окна, нажав кнопку , которая находится между правой и левой частью окна выполнения операции.
Рисунок 101 – Окно выполнения массовых операций. Шаг 2. Создание списка выбранных сертификатов
- В случае необходимости исключения из выбранных сертификатов, к которым будет применена массовая операция, отметьте флажками сертификата из списка в правой части окна, и нажмите кнопку .
Рисунок 102 – Окно выполнения массовых операций. Шаг 2. Редактирование списка выбранных сертификатов
- Для перехода на следующий шаг нажмите кнопку <Продолжить>.
- В открывшемся окне подтвердите действие, нажав кнопку «Применить» (см. Рисунок 103).
Рисунок 103 – Окно выполнения массовых операций. Шаг 3
- В случае успешного выполнения операции администратор будет уведомлён на шаге 4.
Рисунок 104 – Окно выполнения массовых операций. Шаг 4
Если выбранная на шаге 1 операция не может быть выполнена в связи с лицензионными ограничениями со всеми сертификатами, выбранными на шаге 2, то в данном окне отображается количество и перечень CN из сертификатов, для которых операция не была завершена успешно (см. Рисунок 105).
Рисунок 105 – Окно выполнения массовых операций. Шаг 4. Перечень сертификатов, для которых операция не была завершена успешно
Настройка уведомлений об истечении срока действия сертификата
Центр сертификации Aladdin eCA поддерживает возможность уведомления пользователей по электронной почте об истечении срока действия сертификатов.
- Отправка уведомлений об истечении срока действия сертификата фиксируется в Журнале событий с кодом CAENV054 «отправка уведомления на почту». События сохраняются в таблицу базы данных «аесаса» (имя базы данных по умолчанию, конфигурация базы данных указана в файле /opt/aecaCa/scripts/config.sh), схема базы данных «delivery», таблица «delivery_log».
- При использовании настроек по умолчанию программа однократно отправит электронные письма с уведомлением по следующему расписанию:
- 30 дней до истечения срока;
- 7 дней до истечения срока;
- 1 день до истечения срока.
- По умолчанию эти уведомления будут отправлены по электронной почте, указанной в атрибуте «msUPN» доменного пользователя, срок действия сертификата которого истекает.
- Условия выполнения уведомления об истечении срока действия сертификата субъекта:
- статус сертификата, срок которого истекает – активный;
- для субъекта, сертификат которого истекает, определен адрес электронной почты в поле «msUPN»;
- произведена настройка параметров конфигурационного файла /opt/aecaCa/dist/environment/event‑delivery.env. Настройка данного файла осуществляется посредством настройки конфигурационного файла /opt/aecaCa/scripts/config.sh, почтовой программы и успешного обновления программного средства;
- создан и настроен хотя бы один шаблон уведомлений.
Настройка параметров конфигурационного файла config.sh
- Отредактируйте конфигурационный файл sh, размещенный по адресу /opt/aecaCa/scripts/config.sh, выполнив команду:
sudo nano /opt/aecaCa/scripts/config.sh- Блок настройки уведомлений об истечении срока действия сертификата конфигурационного файла /opt/aecaCa/scripts/config.sh и описание настроек приведены в таблице ниже (Таблица 16).
Таблица 16 – Переменные окружения, используемые сервисом event‑delivery‑service, файла config.sh
Параметр | Значение параметра по умолчанию | Описание |
Переменные окружения, используемые event‑delivery‑service | ||
email_host | 127.0.0.1 | укажите ip‑адрес почтового сервера |
email_port | 25 | укажите порт почтового сервера |
email_login | aeca | укажите логин пользователя, под которым производится авторизация в почтовом сервере |
email_password | aeca | введите пароль пользователя, под которым производится авторизация в почтовом сервере |
email_from | укажите адрес почты, с которой будет производиться рассылка уведомлений | |
email_schedule | '0 0 12 * * *' | укажите период проверки в виде CRON‑выражения, по которому будет выполняться проверка сроков действия сертификатов и рассылка уведомлений (по умолчанию ‑каждый день в полдень (12:00)) |
email_enabled | true | Флаг отправки почтовых уведомлений, если выкл. то сообщения не отправляются, но помечаются, как отправленные |
email_protocol | smtp | Протокол подключения к почтовому серверу |
email_smtp_auth | false | Флаг: использование SMTP‑авторизации |
email_start_tls | false | Флаг: использование директивы start tls при подключении к почтовому серверу |
- Для применения внесенных настроек следует запустить сценарий обновления, выполнив команду:
sudo bash /opt/aecaCa/scripts/install.shУстановщик обнаружит установленную версию Центра сертификации Aladdin eCA и предложит выбрать необходимое действие в интерактивном режиме, для запуска процесса обновления введите в терминале цифру «2». По окончанию процесса обновления программы выполненные настройки конфигурационного файла будут применены.
Настройка шаблонов уведомлений об истечении срока действия сертификата
- В базе данных в таблице «delivery_template» хранится набор шаблонов рассылки уведомлений.
- Каждый шаблон определяет следующие параметры отправки уведомления:
- наименование шаблона;
- признак необходимости запуска выполнения действий по этому шаблону;
- отслеживание времени окончания срока действия сертификата, для отправки уведомлений в установленный в шаблоне срок.
- тему письма, указанную при отправке уведомления.
- По умолчанию созданы шаблоны, описанные в таблице ниже (Таблица 17).
Таблица 17 – Шаблоны, настроенные по умолчанию
ID | Наименование шаблона | Признак запуска | Время, отслеживаемое до окончания действия сертификата, мс | Тема отправляемого письма |
1 | 30 дней | ACTIVE | 2592000000 | Срок действия Вашего сертификата истекает через 30 дней |
2 | 7 дней | ACTIVE | 604800000 | Срок действия Вашего сертификата истекает через 7 дней |
3 | 1 день | ACTIVE | 86400000 | Рассылка об истечении срока действия сертификата через 1 день |
- Уведомление формируется по следующим правилам:
- тема письма в соответствии с указанной в шаблоне;
- текст письма в соответствии с данными сертификата. Текст письма имеет формат, приведенный в листинге:
Здравствуйте, {certificate.username}!Время действия сертификата истекает {certificate.expire_date}Фингерпринт сертификата: {certificate.fingerprint}Серийный номер сертификата: {certificate.serial_number}- Для просмотра списка существующих шаблонов уведомлений выполните команду:
sh /opt/aecaCa/scripts/email_config.sh ‑list- Отредактируйте существующий шаблон при необходимости, выполнив команду:
sh /opt/aecaCa/scripts/email_config.sh ‑edit <id> <name> <subject> <interval> <status>где:
id ‑ идентификатор существующего шаблона;
template_name – название шаблона;
subject – тема сообщения;
interval – время до окончания срока действия сертификата в мс;
status – статус рассылки (ACTIVE, INACTIVE).
Пример редактирования шаблона уведомления:
bash /opt/aecaCa/scripts/email_config.sh ‑edit 4 "2 часа" "Истекает через 2 часа" 7200000 INACTIVE- Для создания нового шаблона уведомлений выполните команду:
sh /opt/aecaCa/scripts/email_config.sh ‑new <name> <subject> <interval> <status>где:
id ‑ идентификатор существующего шаблона;
name – название шаблона;
subject – тема сообщения;
interval – время до окончания срока действия сертификата в мс;
status – статус рассылки (ACTIVE, INACTIVE).
- Пример создания нового шаблона уведомлений:
./email_config.sh ‑new "1 час" "Истекает через час" 3600000 INACTIVEINSERT 0 1 id | template_name | subject | interval | status‑‑‑‑+‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑+‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑+‑‑‑‑‑‑‑‑‑‑‑‑+‑‑‑‑‑‑‑‑ 1 | 30 дней | Срок истекает через 30 дней. | 2592000000 | ACTIVE 2 | 7 дней | Срок истекает через 7 дней. | 604800000 | ACTIVE 3 | 1 день | Срок истекает через 1 день. | 86400000 | ACTIVE 4 | 1 час | Истекает через час | 3600000 | INACTIVE(4 строки)- Для применения внесенных настроек следует перезапустить сервис, выполнив команду:
sudo systemctl restart aeca‑ca.serviceНастройка параметров почтового ящика пользователя
- Указанный в шаблоне почтовый ящик пользователя, должен иметь следующие настройки:
- разрешен доступ к почтовому ящику с помощью почтовых клиентов;
- отключить автоматическое удаление писем, помеченных в IMAP как удалённые;
- разрешить доступ по протоколу POP3.
Настройка почтовой программы Яндекс.Почта
- Настройка почтовой программы показана на примере настройки Яндекс.Почта (см. Рисунок 106).
Рисунок 106 – Настройки почтового ящика Яндекс.Почта для получения уведомления об истечении срока сертификата
В настройках аккаунта Яндекс.Почты выберете пункт меню «Безопасность» (см. Рисунок 258). Рисунок 107 – Раздел «Безопасность» аккаунта почтового ящика Yandex | Перейдите в раздел «Доступ к вашим данным» (см. Рисунок 108). Рисунок 108 – Подраздел «Доступ к вашим данным» аккаунта почтового ящика Yandex |
Перейдите в подраздел «Пароли приложений» (см. Рисунок 109) Рисунок 109 – Подраздел «Пароли приложений» аккаунта почтового ящика Yandex | Перейдите в подраздел «Почта», «Создать пароль приложения» (см. Рисунок 110) Рисунок 110 – Создание пароля приложения |
Новый пароль необходимо сохранить. При потере восстановление невозможно. Возможен сброс и создание нового. | Данный пароль необходимо внести в конфигурационный файл config.sh в параметр email_password |
Настройка почтовой программы MS Exchange
- Настройка почтовой программы показана на примере настройки MS Exchange (см. Рисунок 111). Убедитесь, что настроен протокол SMPT в настройках MS Exchange.
При настройке протокола SMTP почтового ящика по умолчанию должен быть выбран 587 порт.
Рисунок 111 – Настройки почтового ящика MS Exchange для получения уведомления об истечении срока сертификата
Раздел «Учётные записи»
Раздел «Учётные записи» обеспечивает возможности управления доступом к интерфейсам управления на основе ролей, а также управление данными и ограничениями данных.
Переход к разделу «Учётные записи» осуществляется по выбору раздела «Учётные записи» бокового меню, расположенного слева на главном экране (см. Рисунок 112).
На экране раздела «Учётные записи» отображены следующие поля:
Рисунок 112 – Экран раздела меню «Учётные записи»
- – соответствующий символ обозначает, что данная учётная запись создана для субъекта внешней (подключенной) ресурсной системы;
- отображаемое имя – идентифицирует владельца учетной записи, соответствует полю «Отображаемое имя» в окне создания учётной записи;
- роль – указывает набор дискретных прав. Возможные роли:
- Оператор – обладает правами на работу с субъектами группы, над которой он может осуществлять свои ролевые права, и принадлежащими им сертификатами (выпуск, отзыв, приостановка и возобновление сертификата), имеет полномочия запуска обновления списка субъектов. Таким образом оператору доступны следующие разделы:
- «Сертификаты», где доступны сертификаты субъектов, на которые оператору предоставлены права в соответствии с правилами доступа.
- «Субъекты», где доступны субъекты ресурсных систем, на которые оператору предоставлены права в соответствии с правилами доступа, и принадлежащим им сертификатам, без прочих ограничений.
- «Ресурсные системы», где доступен запуск синхронизации субъектов ресурсной системы, на которую оператору предоставлены права в соответствии с правилами доступа.
- «Шаблоны», где доступен просмотр шаблонов, на которые оператору предоставлены права в соответствии с правилами доступа.
- Администратор – обладает неограниченными возможностями, в том числе имеет доступ к управлению учетными записями и может делегировать полномочия Оператору на просмотр и использование шаблонов при создании сертификатов для субъектов, а также на работу с субъектами групп безопасности ресурсных систем;
- Оператор – обладает правами на работу с субъектами группы, над которой он может осуществлять свои ролевые права, и принадлежащими им сертификатами (выпуск, отзыв, приостановка и возобновление сертификата), имеет полномочия запуска обновления списка субъектов. Таким образом оператору доступны следующие разделы:
- логин – показывает параметр учетной записи для авторизации, содержит Common Name субъекта. Логины учетных записей должны быть уникальными;
- дата создания – показывает дату создания учётной записи;
- состояние – отображает состояние учётной записи (активирован или заблокирован).
Вход под учётной записью пользователя на сервер осуществляется при помощи сертификата, выпущенного с использованием шаблона «Web‑client». Подробнее о настройке аутентификации для входа в учётную запись см. раздел 4 настоящего руководства.
В программе отслеживается и фиксируются дата и время последней активности пользователей. Операциями, обновляющими запись о последней активности пользователя, являются:
- успешная аутентификация, включая аутентификацию в Центре регистрации Aladdin eRA;
- успешное обновление маркера доступа, включая его обновление в Центре регистрации Aladdin eRA.
Центр сертификации Aladdin eCA автоматически блокирует учетные записи пользователей с ролью «Оператор», период пассивности которых превысил значение, указанное в параметре block_inactive_account_delay[1] конфигурационного файла. Запуск проверки периода неактивности и блокировка соответствующих учетных записей пользователей с ролью «Оператор» выполняются по расписанию в соответствии со значением параметра block_inactive_account_cron[2] конфигурационного файла.
При обновлении ПО с версии 2.1 на 2.2 для всех существующих в программе на момент обновления учетных записей в качестве даты и времени последней активности в базу данных записывается дата и время выполнения обновления.
[1] По умолчанию в данном параметре указано значение «0», обозначающее отсутствие ограничения на неактивность пользователей.
[2] По умолчанию – каждую полночь.
Создание учётной записи пользователя локального ресурса
Порядок создания учетной записи для пользователя Центра сертификации Aladdin eCA:
- На панели слева выберите раздел «Учетные записи» .
- Нажмите кнопку (см. Рисунок 112).
- В открывшемся окне выполните следующие действия (см. Рисунок 113):
- выберите роль учетной записи;
- укажите имя, которое отображается на верхней панели веб‑интерфейса после авторизации пользователя;
- логин – имя учетной записи (данные для поля «Common Name» при выпуске сертификата пользователя).
ВНИМАНИЕ! Логины (имена) учетных записей должны быть уникальными.
Рисунок 113 – Окно создания новой учётной записи локального пользователя
- Нажмите кнопку .
- Для созданной учетной записи пользователя с ролью «Оператор» создайте правила доступа шаблонам и субъектам (см. раздел 7.6.5).
- Для созданной учетной записи Администратора настройка прав не требуется, так как ограничений для этой роли не будет.
Создание учетной записи для подключенного субъекта
Для создания учётной записи доменного пользователя перейдите в раздел «Субъекты» и создайте учётную запись в соответствии с разделом 7.8.8 настоящего руководства.
Изменение статуса учётной записи
При наведении курсора на строку c данными выбранной учётной записи отображаются инструменты управления учетной записью (возможность управления статусом текущей учётной записи) (см. Рисунок 114):
- по нажатию кнопки <Заблокировать> возможно приостановить действие активной выбранной учётной записи или
- по нажатию кнопки <Активировать> действие заблокированной ранее учётной записи будет возобновлено.
Рисунок 114 – Доступные действия над учетными записями
Редактирование учётной записи
- По нажатию на кнопку <Редактировать> (в строке учётной записи) открывается карточка учётной записи, содержащая следующие поля (см. Рисунок 115):
- редактируемый выбор назначенной роли;
- редактируемое отображаемое имя (ФИО);
- таблицу с параметрами сертификатов («CN», «Дата создания», «Действителен до» и «Состояние»), которые привязаны к учетной записи. У каждого сертификата редактируемый статус (доступные действия приведены в таблице выше (Таблица 15)), а также кнопку скачивания сертификата в формате .pem.
- Переход в карточку связанного сертификата возможен по нажатию на строку выбранного сертификата в карточке учётной записи.
Рисунок 115 – Окно редактирование учётной записи
- Карточка учётной записи, которая в текущий момент авторизована, доступна только для просмотра.
Назначение прав оператору
Для назначения прав оператору перейдите в раздел «Правила доступа» и произведите назначение прав в соответствии с разделом 7.7 настоящего руководства.
Удаление учётной записи
- По нажатию на кнопку <Удалить> (в строке учётной записи) открывается окно подтверждения удаления учётной записи (см. Рисунок 116)
Рисунок 116 – Окно подтверждения удаления учётной записи
- После подтверждения действия нажатием кнопки <Удалить> администратор будет уведомлён всплывающим сообщением «Пользователь успешно удалён!».
Выпуск сертификата для учетной записи
- По нажатию на кнопку <Создать сертификат> (в строке учётной записи) в выпадающем меню выберите способ выпуска (см. Рисунок 117):
- с закрытым ключом;
- на ключевом носителе.
- Сертификат будет создан с использованием внутреннего шаблона ECA‑Auth. Значение поля «Common Name», будет заполнено автоматически и соответствовать логину учетной записи, для которой выпускается сертификат.
- Более подробно процедура выпуска сертификата приведена в Приложении 1 «Создание сертификата для субъекта».
Рисунок 117 – Раздел «Учетные записи». Кнопка выпуска сертификата
Раздел «Правила доступа»
Раздел «Правила доступа» обеспечивает возможность предоставления пользователям с ролью «Оператор», а также группам безопасности зарегистрированных ресурсных систем[1] доступа на:
- просмотр и редактирование субъектов, создание, управление статусом и публикацию их сертификатов;
- просмотр и использование шаблонов при создании сертификатов для субъектов.
Оператору при отсутствии правил доступа, по которым ему прямо или косвенно (через наследование от группы безопасности, в которую входит субъект, на основе которого была создана учетная запись данного оператора) предоставлен доступ к шаблонам, будет недоступен просмотр и использование при создании сертификатов всех существующих в программе шаблонов.
Переход в раздел «Правила доступа» осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 50).
В данном разделе отображаются все существующие правила доступа (см. Рисунок 118).
Рисунок 118 ‑ Экран раздела меню «Правила доступа»
- На экране раздела «Правила доступа» отображены информационные элементы (табличные поля):
- поле «Тип», отображающее тип правила доступа. Допустимые варианты значений в данном поле:
- Доступ к шаблонам;
- Доступ к субъектам.
- поле «Субъекты доступа», содержащее перечень пользователей с ролью «Оператор», а также групп безопасности зарегистрированных ресурсных систем, которым предоставлен доступ в соответствии с правилом;
- поле «Объекты доступа», содержащее перечень объектов доступа в соответствии с данным правилом. Объектами доступа в зависимости от типа правила могут являться шаблоны или группы безопасности;
- поле «Операции», содержащее печень допустимых операций, которые могут выполнять субъекты доступа с объектами доступа.
- поле «Тип», отображающее тип правила доступа. Допустимые варианты значений в данном поле:
- Доступны следующие операции по работе с правилами доступа:
- просмотр списка правил доступа;
- создание нового правила доступа;
- редактирование правила доступа;
- удаление правила доступа.
При обновлении Аladdin еСА СЕ с версии 2.1 на версию 2.2 в правилах доступа субъекты или объекты доступа, являющиеся подразделениями зарегистрированных ресурсных систем, будут удалены. Если в правиле доступа все субъекты или объекты доступа являются подразделениями зарегистрированных ресурсных систем, то такое правило будет удалено.
При обновлении Аladdin еСА СЕ с версии 2.1 на версию 2.2 субъекты локальной ресурсной системы перестают быть членами подразделения «Local» (данное подразделение использовалось в правилах доступа для выдачи полномочий на локальную ресурсную систему). Все субъекты локальной ресурсной системы становятся членами группы «Локальные субъекты».
[1] Назначение правил доступа группам безопасности зарегистрированных ресурсных систем предназначено обеспечивать возможность для наследования данных правил операторами, учетные записи которых созданы на основе субъектов данных групп безопасности.
Создание правила доступа
- По нажатию кнопки <Создать +> на главном экране раздела «Правила доступа» происходит запуск сценария создания правила доступа.
- В открывшемся окне «Создание правила доступа» на шаге 1 выберите тип правила доступа из следующих вариантов (см. Рисунок 119):
- Доступ к шаблонам (выбран по умолчанию);
- Доступ к субъектам.
Рисунок 119 – Шаг 1 окна «Создание правила доступа»
- На шаге 2 окна «Создание правила доступа» выберите субъекты доступа. Допустимые варианты выбора субъектов доступа:
- выбор перечня субъектов доступа вручную при включении режима «Выбрать операторов или группы» (см. Рисунок 120). При выборе данного режима доступен выбор типа субъектов доступа (оператор или группа) для отображения. В поле «Выбрать» необходимо выбрать субъекты доступа, при необходимости воспользовавшись поиском, затем перенести их в поле «Выбрано» путем нажатия на стрелку вправо. В поле «Выбрано» будут присутствовать все ранее добавленные в него субъекты доступа вне зависимости от того, какой тип для отображения субъектов доступа выбран для поля «Выбрать». Для исключения субъектов доступа из поля «Выбрано» необходимо выделить их и перенести обратно в поле «Выбрать» путем нажатия на стрелку влево. В случае, если в поле «Выбрано» не добавлен ни один субъект доступа, переход на следующий шаг недоступен;
Рисунок 120 – Шаг 2 окна «Создание правила доступа» при выборе режима «Выбрать операторов или группы»
- выбор всех операторов или групп при включении режима «Все операторы» (см. Рисунок 121). При выборе данного режима субъектами доступа будут являться все пользователи с ролью «Оператор», а также все группы безопасности зарегистрированных ресурсных систем (в том числе те, которые будут созданы или получены из ресурсной системы позднее). В данном режиме указание отдельных операторов или групп на данном шаге недоступно.
Рисунок 121 – Шаг 2 окна «Создание правила доступа» при выборе режима «Все операторы»
- Переход на следующий шаг осуществляется по ставшей активной кнопке <Продолжить> после выбора субъектов доступа.
- В окне «Создание правила доступа» на шаге 3 выберите объекты доступа.
- Если на шаге 1 был выбран тип «Доступ к шаблонам», то необходимо выбрать шаблоны, на просмотр и использование которых необходимо предоставить полномочия. Допустимые варианты выбора объектов доступа:
- выбор шаблонов вручную при включении режима «Выбрать шаблоны» (см. Рисунок 122). В поле «Выбрать» необходимо выбрать шаблоны, при необходимости воспользовавшись поиском, затем перенести их в поле «Выбрано» путем нажатия на стрелку вправо. Для исключения шаблонов из поля «Выбрано» необходимо выделить их и перенести обратно в поле «Выбрать» путем нажатия на стрелку влево. В случае, если в поле «Выбрано» не добавлен ни один шаблон, переход на следующий шаг недоступен;
- выбор всех шаблонов при включении режима «Все шаблоны» (см. Рисунок 123). При выборе данного режима объектами доступа будут являться все шаблоны (в том числе те, которые будут созданы позднее). При выборе режима «Все шаблоны» указание отдельных шаблонов на данном шаге будет недоступно.
Рисунок 122 – Шаг 3 окна «Создание правила доступа» при выборе режима «Выбрать шаблоны»
Рисунок 123 – Шаг 3 окна «Создание правила доступа» при выборе режима «Все шаблоны»
- Если на шаге 1 был выбран тип «Доступ к субъектам», то необходимо выбрать субъекты, на просмотр и использование которых необходимо предоставить полномочия. Допустимые варианты выбора объектов доступа:
- выбор субъектов вручную при включении режима «Выбрать группы» (см. Рисунок 124). В поле «Домен» необходимо выбрать ресурсную систему. В поле «Выбрать» необходимо выбрать группы безопасности, при необходимости воспользовавшись поиском, затем перенести их в поле «Выбрано» путем нажатия на стрелку вправо. Для исключения групп безопасности из поля «Выбрано» необходимо выделить их и перенести обратно в поле «Выбрать» путем нажатия на стрелку влево. В случае, если в поле «Выбрано» не добавлены ни одна группа безопасности или ни один оператор, переход на следующий шаг недоступен;
- выбор всех субъектов при включении режима «Все субъекты» (см. Рисунок 125). При выборе данного режима объектами доступа будут являться все субъекты зарегистрированных ресурсных систем (в том числе те, которые будут созданы позднее). При выборе режима «Все субъекты» указание отдельных групп безопасности зарегистрированных ресурсных систем на данном шаге будет недоступно.
Рисунок 124 – Шаг 3 окна «Создание правила доступа» при выборе режима «Выбрать группы»
Рисунок 125 – Шаг 3 окна «Создание правила доступа» при выборе режима «Все субъекты»
- Переход на следующий шаг осуществляется по ставшей активной кнопке <Продолжить> после выбора объектов доступа.
- На шаге 4 окна «Создание правила доступа» будет отображена информация о создаваемом правиле доступа, включающая в себя: тип правила, перечень выбранных ранее субъектов доступа и объектов доступа и операции (см. Рисунок 126).
Рисунок 126 – Шаг 4 окна «Создание правила доступа» ‑ «Просмотр и подтверждение правила доступа»
- После нажатия на кнопку «Создать правило» созданное правило будет отображаться в списке правил доступа. После добавления правила доступа субъектам доступа, выбранным на шаге 1 данного сценария, при создании сертификатов для субъектов ресурсных систем будет доступно использование шаблонов, выбранных на шаге 2 данного сценария.
Редактирование правила доступа
После создания правила доступа, при наведении курсора на строку добавленного правила доступа появляется возможность его редактирования – при нажатии на кнопку <Редактировать> (см. Рисунок 127) открывается окно «Редактирование правила доступа» для редактирования перечня субъектов доступа и объектов доступа, указанных при создании правила доступа (см. Рисунок 128, Рисунок 129, Рисунок 130, Рисунок 131). Управление составом субъектов доступа и объектов доступа в правиле доступа при его редактировании осуществляется аналогично их выбору при создании правила доступа.
Рисунок 127 – Кнопка редактирования правила доступа
Рисунок 128 – Окно «Редактирование правила доступа», шаг 1
Рисунок 129 – Окно «Редактирование правила доступа», шаг 2, тип правила – «Доступ к шаблонам»
Рисунок 130 – Окно «Редактирование правила доступа», шаг 2, тип правила – «Доступ к группам»
Рисунок 131 – Окно «Редактирование правила доступа», шаг 3
- Изменение типа правила доступа недоступно.
- При редактировании правила доступа исключение всех субъектов доступа или объектов доступа из правила доступа недоступно.
- После нажатия на кнопку «Сохранить изменения» правило доступа будет изменено.
Удаление правила доступа
- После добавления правила доступа, при наведении курсора на строку добавленного правила доступа появляется возможность его удаления – при нажатии на кнопку <Удалить> (см. Рисунок 132) на экран будет выведено окно подтверждения выбранного действия (см. Рисунок 133).
Рисунок 132 – Кнопка удаления правила доступа
Рисунок 133 – Окно удаления правила доступа
- В результате удаления правила доступа субъекты доступа, указанные в правиле доступа, потеряют доступ на просмотр и использование шаблонов, указанных в объектах доступа данного правила.
Раздел «Субъекты»
Раздел «Субъекты» обеспечивает возможность просмотра субъектов подключенных и удалённых ресурсных систем, выпуска сертификатов для субъектов и создание учётных записей для субъектов типа «Пользователь».
Пользователю с ролью «Администратор» доступен просмотр и управление всеми субъектами всех ресурсных систем без ограничений, создание нового локального субъекта.
Пользователю с ролью «Оператор» доступен просмотр карточки субъекта, выпуск сертификата и создание учётных записей для субъектов, права на которые предоставлены учётной записи. Пользователю с ролью «Оператор» невозможно назначить доступ к локальной базе субъектов.
Переход в раздел «Субъекты» осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 134).
Рисунок 134 – Экран раздела «Субъекты»
В разделе доступны следующие элементы:
- строка поиска субъекта. Поиск субъектов осуществляется по вхождению текста в атрибуты субъекта в его карточке и в путь субъекта.
- кнопка «Создать» для создания локального субъекта;
- поле выбора ресурсной системы с именами подключенных ресурсных систем. В данном поле присутствует возможность выбора всех внешних ресурсных систем (значение «Все внешние ресурсы») и локальной ресурсной системы (значение «Локальная ресурсная система»);
- поле выбора групп безопасности ресурсной системы. В данном поле отображаются только группы безопасности, в которых в ресурсной системе присутствуют субъекты. В данном поле присутствует возможность поиска групп безопасности, а также возможность указать значение «Без группы безопасности» для отображения субъектов, не входящих в группы безопасности;
- список субъектов, содержащий следующие поля:
- пиктограмма «Сертификат» – отображается, если у субъекта имеются действующий сертификаты, при наведении курсора на пиктограмму отображается количество действующих сертификатов субъекта;
- «Субъект» – значение атрибута «Common name» данного субъекта;
- «Путь» – содержит отличительное имя субъекта в ресурсной системе;
- «Ресурсная система» – содержит название ресурсной системы, которой принадлежит данный субъект.
В разделе «Субъекты» доступны следующие действия:
- просмотр субъектов подключенных ресурсных систем с выбором группы безопасности;
- просмотр субъектов локальной ресурсной системы;
- поиск субъекта;
- создание нового субъекта локальной ресурсной системы;
- редактирование значения атрибутов субъекта локальной ресурсной системы;
- просмотр карточки субъекта;
- просмотр списка сертификатов, выпущенных ЦС для субъекта;
- управление статусом сертификатов, выпущенных ЦС для субъекта;
- публикация сертификата субъекта в ресурсную систему;
- экспорт сертификата субъекта;
- создание сертификата для субъекта;
- создание учётной записи для субъекта.
- Идентификация локальных и подключенных субъектов в ЦС осуществляется по атрибуту UUID.
Просмотр субъектов ресурсных систем
- Просмотр субъектов осуществляется посредством выбора источника:
- все внешние ресурсы – подключенные службы каталогов;
- локальный ресурс – появляется в случае, если в локальной базе данных присутствует хотя бы один субъект;
- внешний ресурс, отображаемое имя которого соответствует имени контроллера домена.
- В разделе «Субъекты» в верхней панели расположены элементы выбора ресурса и фильтрации (см. Рисунок 135):
- поле «Ресурсная система», по нажатию на которое в выпадающем меню выберите локальную ресурсную систему, подключенный ресурс или все внешние ресурсы для отображения всех субъектов внешних ресурсных систем;
- поле «Выбрать группы безопасности», для отображения на экране субъектов определенной группы нажмите на поле и в выпадающем меню выберите необходимую группу. В случае если группа безопасности не выбрана, то будут отображены все субъекты выбранного источника. Для локального ресурса группы безопасности отсутствуют. В списке «Выбрать группу безопасности» отображаются только те группы безопасности, которые содержат один или более субъектов. Группы безопасности, не имеющие членов, не будут показаны в списке и не доступны для выбора;
Рисунок 135 – Верхняя панель экранной формы вкладки «Субъекты»
Поиск субъектов
- В разделе «Субъекты» в верхней панели расположен элемент поиска (см. Рисунок 135). Поле поиска предназначено для поиска субъектов по компонентам SubjectDN и SubjectAltName в выбранной ресурсной системе. Для поиска начните ввод имени субъекта в строке, поиск начинается автоматически через 1 секунду после прекращения ввода с клавиатуры. Для сброса поиска и отображения всех субъектов выбранной ресурсной системы очистите строку поиска.
Сортировка субъектов
- Средства сортировки субъектов выбранной ресурсной системы представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 136):
- «Субъект» – сортировка осуществляется в алфавитном порядке;
- «Путь» – сортировка осуществляется в алфавитном порядке содержимого атрибута Common Name;
- «Ресурсная система» – сортировка осуществляется в алфавитном порядке.
- Сортировка происходит только по одному значению при нажатии на соответствующий заголовок таблицы. Активное значение, по которому выполнена сортировка, обозначено знаком с правой стороны от заголовка таблицы.
Рисунок 136 – Поля сортировки содержимого экрана раздела «Субъекты»
Карточка субъекта
- Просмотр данных субъекта возможен посредством страницы «Карточка субъекта».
- Переход к экрану «Карточка субъекта» (см. Рисунок 138) осуществляется при нажатии на строку субъекта главного экрана раздела «Субъекты» (см. Рисунок 134).
- Карточка субъекта включает в себя следующие информационные поля:
- сведения о субъекте:
- из какой ресурсной системы получен субъект;
- статус пользователя в ресурсной системе;
- идентификатор UUID;
- SID (идентифкатор безопасности)[1];
- атрибуты SAN и SDN (Таблица 18);
- сведения обо всех сертификатах субъекта, ранее выпущенных ЦС:
- серийный номер;
- Common Name владельца сертификата;
- шаблон;
- дата создания;
- дата окончания действия;
- дата публикации в ресурсную систему;
- состояние сертификата.
- сведения о субъекте:
- Доступные действия в карточке субъекта:
- создать сертификат для выбранного субъекта с закрытым ключом, на основании запроса или на ключевом носителе по нажатию на кнопку <Создать сертификат> (см. раздел 7.8.7, настоящего руководства);
- создание учётной записи для текущего субъекта по нажатию на кнопку . Только для субъекта типа «Пользователь»;
- выбрать набор атрибутов SDN и SAN, отображаемых в карточке субъекта, в выпадающем меню (см. Рисунок 137);
Рисунок 137 – Фильтрация отображаемых атрибутов в карточке субъекта
- опубликовать сертификат в ресурсную систему (только для подключенных субъектов). По нажатию на кнопку происходит запись сертификата в формате LDIF в атрибут userCertification выбранного субъекта ресурсной системы, для которого выпущен сертификат. Если атрибут userCertification заполнен, то происходит перезапись содержимого;
- экспорт сертификата выбранного субъекта по указанному для сохранения файла по указанному пути по кнопке <Скачать>;
- переход в карточку сертификата;
- изменить статус сертификатов, выпущенных для данного субъекта в соответствии с таблицей выше (Таблица 15) в поле сертификата «Состояние».
При активации сертификата учитывается ограничения лицензии: если в программе достигнуто максимальное количество субъектов с действующими сертификатами по лицензии, то активация сертификата в карточке субъекта доступна только при условии, что у данного субъекта есть действующие сертификаты, иначе при попытке активации сертификата отображается сообщение об ошибке «Лицензионные ограничения не позволяют активировать данный сертификат. Достигнуто предельное количество субъектов с действующими сертификатами»;
- редактировать значения в полях атрибутов (только для локальных субъектов).
Рисунок 138 – Окно просмотра карточки подключенного субъекта (включено отображение «Атрибуты со значениями»)
- Выход из карточки субъекта осуществляется по кнопке <Возврат> в раздел «Субъекты» и по кнопкам разделов боковой панели.
Таблица 18 – Атрибуты субъекта
Атрибут | Возможные значения | Представление в API | Представление в клиентском компоненте |
|---|---|---|---|
Ресурсная система, к которой подключен субъект | Ресурсная система, к которой подключен субъект | resource: { id (UUID), commonName (string), name (string)} | Поле «Получен из ресурсной системы» в карточке субъекта Для локальных субъектов всегда отображается значение «Локальная ресурсная система». |
Флаг подключения к РС | Субъект подключен к ресурсной системе (true) | "isConnected": true | Отображение субъекта в списке субъектов ресурсной системы, к которой он подключен. |
Локальный субъект (false) | " isConnected": false | Отображение субъекта в списке субъектов локальной ресурсной системы. | |
Флаг блокировки в РС | Для подключенных к РС субъектов: субъект заблокирован в РС (true) или субъект не заблокирован в РС (false) | "isBlocked" | Поле «Статус в ресурсной системе» в карточке субъекта. Для локальных субъектов всегда отображается символ «‑». |
Для локальных субъектов: всегда false | |||
Идентификатор | string($uuid) | "id" | Поле «Идентификатор» карточки субъекта |
Расположение субъекта в структуре РС | Строка | "distinguishedName" | Поле «Путь» в списке субъектов в разделе «Субъекты» |
Время обновления субъекта | Дата в формате ISO 8601 | "updated" | ‑ |
Время создания субъекта | Дата в формате ISO 8601 | "created" | ‑ |
SID[2] | Строка | "sid" | Поле «SID» карточки субъекта |
Атрибуты SDN | |||
Common name | Список строк | "CN" | Поле «Common name» в карточке субъекта |
Unique Identifier (UID) | Список строк | "UID" | Поле «Unique Identifier (UID)» в карточке субъекта |
Email Address (Mail) | Список строк | "EMAILADDRESS" | Поле «Email Address (El)» в карточке субъекта |
Serial number | Список строк | "SN" | Поле «Serial number» в карточке субъекта |
Given name | Список строк | "GIVENNAME" | Поле «Given name» в карточке субъекта |
Initials | Список строк | "INITIALS" | Поле «Initials» в карточке субъекта |
Surname | Список строк | "SURNAME" | Поле «Surname» в карточке субъекта |
Organizational unit | Список строк | "OU" | Поле «Organizational unit» в карточке субъекта |
Organization | Список строк | "O" | Поле «Organization» в карточке субъекта |
Locality | Список строк | "L" | Поле «Locality» в карточке субъекта |
State or province | Список строк | "ST" | Поле «State or province» в карточке субъекта |
Domain component | Список строк | "DC" | Поле «Domain component» в карточке субъекта |
Country | Список строк | "C" | Поле «Country» в карточке субъекта |
Unstructured address | Список строк | "UNSTRUCTUREDADDRESS" | Поле «Unstructured address» в карточке субъекта |
Unstructured name | Список строк | "UNSTRUCTUREDNAME" | Поле «Unstructured name» в карточке субъекта |
Postalcode | Список строк | "POSTALCODE" | Поле «Postal code» в карточке субъекта |
Business category | Список строк | "BUSINESSCATEGORY" | Поле «Business category» в карточке субъекта |
Telephone number | Список строк | "TELEPHONENUMBER" | Поле «Telephone number» в карточке субъекта |
Pseudonym | Список строк | "PSEUDONYM" | Поле «Pseudonym» в карточке субъекта |
Postal address | Список строк | "POSTALADDRESS" | Поле «Postal address» в карточке субъекта |
Street | Список строк | "STREET" | Поле «Street» в карточке субъекта |
Name | Список строк | "NAME" | Поле «Name» в карточке субъекта |
Title | Список строк | "T" | Поле «Title» в карточке субъекта |
Domain Qualifier | Список строк | "DN" | Поле «Domain Qualifier» в карточке субъекта |
Description | Список строк | "DESCRIPTION" | Поле «Description» в карточке субъекта |
ИНН | Список строк | "INN" | Поле «ИНН» в карточке субъекта |
ОГРН | Список строк | "OGRN" | Поле «ОГРН» в карточке субъекта |
ОГРНИП | Список строк | "OGRNIP" | Поле «ОГРНИП» в карточке субъекта |
СНИЛС | Список строк | "SNILS" | Поле «СНИЛС» в карточке субъекта |
ИНН ЮЛ | Список строк | "INNLE" | Поле «ИНН ЮЛ» в карточке субъекта |
Атрибуты SAN | |||
MS GUID, Globally Unique Identifier | string($uuid) | "MS_GUID" | Поле «MS GUID, Globally Unique Identifier» в карточке субъекта |
RFC 822 NAME | Список строк | "RFC822NAME" | Поле «RFC 822 NAME» в карточке субъекта |
MS UPN, UserPrincipalName | Список строк | "MS_UPN" | Поле «MS UPN, UserPrincipalName» в карточке субъекта |
DNS Name | Список строк | "DNS_NAME" | Поле «DNS Name» в карточке субъекта |
IP address | Список строк | "IPADDRESS" | Поле «IP address» в карточке субъекта |
Directory Name | Список строк | «DIRECTORY_NAME" | Поле «Directory Name» в карточке субъекта |
Uniform resource identifier | Список строк | "UNIFORM_RESOURCE_ID" | Поле «Uniform resource identifier» в карточке субъекта |
Registered identifier | Список строк | "REGISTERED_ID" | Поле «Registered identifier» в карточке субъекта |
Kerberos KPN, Kerberos 5 Principal | Список строк | "KRB5PRINCIPAL" | Поле «Kerberos KPN, Kerberos 5 Principal» в карточке субъекта |
Permanent identifier | Список строк | "PERMANENT_IDENTIFIER" | Поле «Permanent identifier» в карточке субъекта |
Xmpp address | Список строк | "XMPP_ADDR" | Поле «Xmpp address» в карточке субъекта |
Service Name | Список строк | "SRV_NAME" | Поле «Service Name» в карточке субъекта |
Subject Identification Method | Список строк | "SUBJECT_IDENTIFICATION_METHOD" | Поле «Subject Identification Method» в карточке субъекта |
Редактирование атрибутов субъекта
- Для субъектов локальной ресурсной системы доступно редактирование всех атрибутов SDN и SAN.
- Для субъектов подключенной ресурсной системы редактирование атрибутов SDN или SAN, значения которых получены ЦС из ресурсной системы, недоступно. Все остальные атрибуты SDN или SAN доступны для редактирования.
- Для субъектов любой ресурсной системы редактирование сведений о субъектах в их карточках (поля «Получен из ресурсной системы», «Статус в ресурсной системе», «UUID») недоступны для редактирования.
- При вводе/редактировании значений атрибутов, указанных в таблице ниже (Таблица 19), осуществляется валидация. Для всех остальных атрибутов субъекта валидация отсутствует.
Таблица 19 – Допустимые значения атрибутов
Атрибут | Правило валидации |
|---|---|
Country | Допустимые символы: "A"‑"Z", "a"‑"z". Длина значения должна составлять 2 символа. |
Domain qualifier | Допустимые символы: "A"‑"Z", "a"‑"z", "0"‑"9", "'", "(", ")", "+", ",", "‑", ".", "/", ":", "=", "?", пробел. |
Email Address (E) | Допустимые символы: "A"‑"Z", "a"‑"z", "А"‑"Я", "а"‑"я", "0"‑"9", ".", "@", "_", "‑". Формат значения: "text@text". |
Serial number | Допустимые символы: "A"‑"Z", "a"‑"z", "0"‑"9", "'", "(", ")", "+", ",", "‑", ".", "/", ":", "=", "?", пробел. |
RFC 822 Name | Допустимые символы: "A"‑"Z", "a"‑"z", "0"‑"9", ".", "@", "_", "‑". Если необходимо использовать кириллицу, то кириллицу необходимо преобразовать в латиницу с помощью Punycode (подробнее см. RFC 3492) и ввести полученное значение в поле. При этом преобразовывать можно только доменную часть. Формат значения: "text@text". |
DNS Name | Допустимые символы: "A"‑"Z", "a"‑"z", "0"‑"9", "‑", ".", "*". Если необходимо использовать кириллицу, то кириллицу необходимо преобразовать в латиницу с помощью Punycode (подробнее см. RFC 3492) и ввести полученное значение в поле. |
IP address | Допустимые символы: "A"‑"F", "a"‑"f", "0"‑"9", ".", ":". Формат значения: IPv4‑адрес или IPv6‑адрес. |
Directory Name | Формат значения: последовательность идентификаторов относительных отличительных имен (RDN) и их значений, отделенных запятой или запятой с пробелом (например, O=organization, OU=Department, L=City, DC=Component, C=RU...). Допускается использование следующих идентификаторов RDN: EMAILADDRESS, CN, UID, SERIALNUMBER, OU, O, L, ST, C, T, SURNAME, STREET, INITIALS, GIVENNAME, DC, UNSTRUCTUREDADDRESS, UNSTRUCTUREDNAME, POSTALCODE, BUSINESSCATEGORY, TELEPHONENUMBER, PSEUDONYM, POSTALADDRESS, NAME, DN, DESCRIPTION. В качестве идентификатора RDN допускается указание OID (формат OID должен соответствовать рекомендации ITU X.660). |
Registered Identifier (OID) | Допустимые символы: "0"‑"9", ".". Формат значения: OID в соответствии с рекомендацией ITU X.660. |
MS UPN, User Principal Name | Допустимые символы: "A"‑"Z", "a"‑"z", "А"‑"Я", "а"‑"я", "ё", "Ё", "0"‑"9", ".", "@", "_", "‑", "/". Формат значения: "text@text". |
MS GUID, Globally Unique Identifier | Допустимые символы: "A"‑"F", "a"‑"f", "0"‑"9". Длина значения должна составлять 32 символа. |
Kerberos KPN, Kerberos 5 Principal Name | Допустимые символы: "A"‑"Z", "a"‑"z", "А"‑"Я", "а"‑"я", "ё", "Ё", "0"‑"9", ".", "@", "_", "‑", "/". Формат значения: "text@text". |
Permanent Identifier | Формат значения: "value/OID", где "value" – любая последовательность символов, а "OID" – OID в соответствии с рекомендацией ITU X.660. Допускается отсутствие значения "text", например, "/1.2.2.3.4.5". |
Xmpp address | Допустимые символы: "A"‑"Z", "a"‑"z", "А"‑"Я", "а"‑"я", "ё", "Ё", "0"‑"9", ".", "@", "_", "‑", "/". Формат значения: "text@text". |
Subject Identification Method | Формат значения: "OID::text::text", где "OID" – OID в соответствии с рекомендацией ITU X.660, а "text" – любая последовательность символов. |
ИНН | Допустимые символы: "0"‑"9". Длина значения должна составлять 12 символов. |
ОГРН | Допустимые символы: "0"‑"9". Длина значения должна составлять 13 символов. |
ОГРНИП | Допустимые символы: "0"‑"9". Длина значения должна составлять 15 символов. |
СНИЛС | Допустимые символы: "0"‑"9". Длина значения должна составлять 11 символов. |
ИНН ЮЛ | Допустимые символы: "0"‑"9". Длина значения должна составлять 10 символов. |
- Для редактирования значения атрибута в карточке субъекта нажмите кнопку <Редактировать> , в открывшемся окне введите новое значение атрибута в соответствующем поле, в соответствии с условиями валидации (см. Рисунок 139).
- Для добавления значения атрибута (будет указано в поле атрибута через запятую) нажмите кнопку <Добавить значение +>;
- Для удаления значения атрибута нажмите кнопку <Удалить значение атрибута> . При этом у атрибута «Common name» нельзя удалить последнее значение;
- Для сохранения результата нажмите кнопку <Сохранить>;
- Для выхода из режима редактирования без сохранения изменений или нажмите кнопку <Закрыть>.
- При синхронизации отредактированное поле атрибута будет заменено значением соответствующего атрибута субъекта синхронизированной ресурсной системы, если оно заполнено для этого доменного субъекта в ресурсной системе!
Рисунок 139 – Окно редактирования значения атрибута в карточке субъекта
[1] SID может быть получен для субъекта только из ресурсных систем MS AD, SambaDC, РЕД АДМ» и «Альт Домен». Для субъектов ресурсных систем FreeIPA и ALD PRO данный атрибут отсутствует.
[2] SID может быть получен для субъекта только из ресурсных систем MS AD, SambaDC, РЕД АДМ» и «Альт Домен».
Субъекты локальной ресурсной системы
- Локальную базу субъектов формируют:
- субъекты, созданные Администратором путём вызова метода API (см. документ «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 3. Описание методов REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.02032 01‑3);
- субъекты отключенной ресурсной системы (удалённой ранее зарегистрированной ресурсной системы), атрибут субъекта «isBlocked» принимает значение «false». В случае повторного подключения ресурсной системы связи субъектов с группами будут восстановлены, обновлены атрибуты в соответствии с данными из ресурсной системы;
- субъекты, загруженные в базу данных Центра сертификации Aladdin eCA при подключении ресурсной системы, но отсутствующие в списке субъектов, полученном по результатам выполнения полной синхронизации ресурсной системы. Атрибут субъекта «isBlocked» принимает значение «false»;
- субъект веб‑сервера, автоматически созданный при развёртывании Центра сертификации Aladdin eCA, с параметрами, указанными в конфигурационном файле /opt/aecaCa/scripts/config.sh:
- параметр hostname задаёт значение атрибутов «Common name» и «DNS Name» локального субъекта;
- параметры initial_server_key_algorithm и initial_server_key_bits задают значения криптографических параметров сертификата веб‑сервера;
- параметр initial_server_password задаёт значение пароля контейнера сертификата веб‑сервера.
- Локальный субъект отключенной ресурсной системы при подключении ресурсной системы, где существует данный субъект, будет перенесён из базы локальной ресурсной системы (атрибут субъекта «isConnected» примет значение «true»). При этом будет выполнено обновление атрибутов субъекта в соответствии с его атрибутами из ресурсной системы (Таблица 20), остальные текущие атрибуты (то есть те, которые не были получены из ресурсной системы) не изменятся.
- Проверка субъектов осуществляется по атрибуту «id».
Рисунок 140 – Экран раздела меню «Субъекты». Локальный ресурс
Создание нового субъекта локальной ресурсной системы
- Доступно только пользователю с ролью «Администратор».
- Для создания нового локального субъекта нажмите кнопку <Создать> (см. Рисунок 140), в открывшемся окне (см. Рисунок 141) введите имя создаваемого субъекта (CN), добавьте необходимые атрибуты и задайте им значения.
Для добавления атрибута нажмите кнопку <Добавить атрибут +> и выберите атрибут в списке возможных атрибутов SDN и SAN (см. Рисунок 142). При необходимости воспользуетесь поиском и прокруткой списка.
Полный список доступных атрибутов приведён в таблице выше (Таблица 18).
Далее укажите значения выбранным атрибутов или удалите атрибуты, нажав кнопку <Удалить> .
При отсутствии значения в поле «Common name» или несоответствии введенного значения допустимому формату создание субъекта запрещено.
Рисунок 141 – Создание субъекта
Рисунок 142 – Добавление атрибута субъекта
- После корректного заполнения всех выбранных полей атрибутов будет доступно создание субъекта по нажатию на кнопку <Создать субъект> (см. Рисунок 143).
Рисунок 143 – Создание субъекта. Заполнение полей
- При создании локального субъекта ЦС автоматически назначает новому субъекту идентификатор (UUID).
- В результате создания субъекта администратор будет уведомлён всплывающим сообщением об успешном создании субъекта.
Субъекты внешнего ресурса
- Внешний (подключенный) ресурс формируется в результате регистрации службы каталогов доменных служб Samba DC, РЕД АДМ, ALD PRO, FreeIPA, Альт Домен или MS Active Directory.
- Подключенный ресурс будет отображен только после регистрации ресурсной системы на вкладке «Ресурсная система» (см. раздел 7.9.1 настоящего руководства).
- Обновление списков и данных субъектов ресурсной системы происходит по правилам, приведённым в разделе 7.9.3 настоящего руководства.
- После подключения внешней ресурсной системы, обновления и выбора источника в поле «Ресурсная система», субъекты будут отображены в виде списка в окне вкладки «Субъекты». Возможно настроить отображение определенной группы безопасности или вывести полный список, упорядочив субъекты в алфавитном порядке по имени (CommonName) (см. Рисунок 144).
Рисунок 144 – Экран раздела меню «Субъекты». Подключенный ресурс
- Загрузка данных осуществляется из всей ресурсной системы, начиная с точки подключения, указанной в настройках подключения Корневого каталога.
- Для каждого загруженного пользователя и компьютера будет создан субъект и подгружены все поля, относящиеся к SubjectDN и SubjectAltName. Преобразование содержимого записи LDAP в поля базы субъектов ресурсной системы происходит в соответствии с таблицей ниже (Таблица 20).
Таблица 20 – Преобразование данных субъектов ресурсной системы
Атрибут субъекта Aladdin eCA | Поле в базах Samba DC, MS AD, РЕД АДМ, Альт Домен для типов субъектов | Поле в базах ALD PRO, FreeIPA для типов субъектов | |||
|---|---|---|---|---|---|
Пользователь | Компьютер | Пользователь | Компьютер | Сервис | |
Id | ObjectGUID | ObjectGUID | ipaUniquelD | ipaUniquelD | ipaUniquelD |
Common name | cn | cn | cn | cn | krbPrincipalName |
uid | |||||
Initials | ‑ | ‑ | initials | ‑ | ‑ |
Surname | sn | ‑ | sn | ‑ | ‑ |
Given Name | givenName | ‑ | givenName | ‑ | ‑ |
Organization | ‑ | ‑ | krbPrincipalName | krbPrincipalName | krbPrincipalName |
Name | name | name | ‑ | serverHostName | ‑ |
MS GUID | ‑ | ObjectGUID | ‑ | ‑ | ‑ |
Domain Qualifier | distigushedName | distigushedName | entrydn | entrydn | |
Description | description | ‑ | ‑ | ‑ | ‑ |
DNS Name | ‑ | dNSHostName | ‑ | fqdn | ‑ |
Email Address (Mail) | ‑ | ‑ | ‑ | ||
userPrincipalName | krbPrincipalName | krbPrincipalName | |||
RFC 822 NAME | ‑ | ‑ | krbPrincipalName | ||
userPrincipalName | krbPrincipalName | krbPrincipalName | |||
MS UPN | userPrincipalName | ‑ | krbPrincipalName | krbPrincipalName | krbPrincipalName |
Unique Identifier (UID) | ‑ | ‑ | uid | ‑ | ‑ |
Kerberos KPN, Kerberos 5 Principal | ‑ | ‑ | ‑ | krbPrincipalName | ‑ |
SID | objectSid | objectSid | ‑ | ‑ | ‑ |
- Если данные поля отсутствуют в описании субъекта в подключенном домене, то в шаблоне при выпуске сертификата соответствующие поля заполняются пустыми значениями.
- Идентификация подключенных субъектов в ЦС осуществляется по атрибуту Id.
Создание сертификата для субъекта ресурсной системы
- Выберите субъект, для которого необходимо создать сертификат, нажмите появившуюся кнопку <Создать сертификат> и выберите способ создания из выпадающего списка (см. Рисунок 145):
- с закрытым ключом (см. Приложение 1 «Создание сертификата для субъекта»);
- на основании запроса (см. Приложение 1 «Создание сертификата для субъекта»);
- на ключевом носителе (см. Приложение 1 «Создание сертификата для субъекта»).
При выпуске сертификата значения полей шаблона заполняются автоматически соответственно атрибутам, указанным для субъекта в ресурсной системе. Если атрибут отсутствует в карточке доменного субъекта, то необходимо отредактировать его значение в карточке субъекта ЦС.
Рисунок 145 ‑ Окно выпуска сертификата для субъекта ресурсной системы
- При выпуске сертификатов для субъектов внешних (подключенных) ресурсных систем возможно публиковать сертификат в формате LDIF в атрибут userCertification субъекта ресурсной системы (путём добавления, а не перезаписи атрибута), проставив флаг в чек‑боксе «Публиковать сертификат в ресурсную систему» окна выпуска сертификата. По умолчанию флаг выполнения публикации сертификата включен.
- После выбора шаблона субъекта ресурсной системы на следующем шаге поля автоматически заполняются данными субъекта в соответствии с таблицей выше (Таблица 20).
- Если значения атрибутов отсутствуют, то необходимо их ввести в соответствующие поля в карточке субъекта.
- Более подробно процедура выпуска сертификата приведена в Приложении 1 «Создание сертификата для субъекта».
Создание учётной записи для субъекта
- Выберите субъект локальной или подключенной ресурсной системы, для которого необходимо создать учетную запись и нажмите кнопку в строке выбранного пользователя <Создать учетную запись> (см. Рисунок 146).
Рисунок 146 – Выбор субъекта для создания учётной записи
- В открывшемся окне создания новой учетной записи (см. Рисунок 147) поле «Отображаемое имя» автоматически заполнено данными атрибута «Common Name» субъекта, но доступно для редактирования, и соответствует полю «ФИО» в разделе «Учётные записи». Поле «Логин» не отображается в окне создания новой учётной записи и заполняется по умолчанию в соответствии со значением атрибута «Common Name» выбранного субъекта.
- Выберите роль, применяемую к создаваемой учетной записи.
- Нажмите кнопку <Создать> для создания учетной записи для субъекта.
Рисунок 147 – Окно создания новой учётной записи
- Для созданной учетной записи с ролью «Оператор» произведите настройку прав доступа к группам и объектам ресурсной системы в соответствии с разделом 7.6.5 настоящего руководства[1].
ВНИМАНИЕ! Логины (имена) учетных записей должны быть уникальными.
[1] Учетные записи, созданные на основе субъектов, наследуют полномочия в соответствии с правилами доступа на просмотр и использование шаблонов и полномочия на доступ к субъектам ресурсных систем от групп безопасности, в которые входит субъект, связанный с данной учетной записью.
Раздел «Ресурсные системы»
Раздел «Ресурсные системы» обеспечивает получение данных субъектов с целью упрощенного выпуска сертификатов субъектам поддерживаемых служб каталогов Linux и Microsoft (далее – ресурсные системы), а также централизованную публикацию выпущенных сертификатов в карточку субъекта службы каталогов.
Каждая ресурсная система, зарегистрированная в Центре сертификации Aladdin eCA, может иметь несколько точек подключения.
Переход в раздел «Ресурсные системы» осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 148).
- На основном экране раздела «Ресурсные системы» отображены следующие информационные поля (см. Рисунок 148):
- имя домена – домен подключенной ресурсной системы;
- последнее обновление – дата и время последней синхронизации с базой субъектов ресурсной системы;
- статус – статус ресурсной системы, который назначается в соответствии с критериями, приведенными в таблице ниже (Таблица 21);
Таблица 21 – Статусы ресурсной системы и критерии их присвоения
Статус ресурсной системы | Критерии присвоения статуса ресурсной системе |
|---|---|
Ожидание обработки | Все точки подключения к данной ресурсной системе ожидают первой синхронизации (при регистрации ресурсной системы) |
Успешно | Все точки подключения к ресурсной системе успешно синхронизированы |
В процессе | Какая‑либо точка подключения к ресурсной системе находится в процессе синхронизации или удаления |
Ошибка | У ресурсной системы нет точек, находящихся в процессе синхронизации, и есть хотя бы одна точка, синхронизация которой завершена с ошибкой |
- субъекты –количество субъектов, загруженных из ресурсной системы;
- ‑ пиктограмма «Очередь» показывает, что ресурсной системе назначена задача, которая поставлена в очередь, так как в данный момент выполняется другая задача.
Ресурсным системам возможно назначить выполнение следующих задач:
- полная синхронизация ресурсной системы (см. раздел 9.3.3);
- частичная синхронизация ресурсной системы (синхронизация точки подключения ресурсной системы) (см. раздел 9.3.4);
- удаление зарегистрированной ресурсной системы (cм. раздел 9.5);
- удаление точки подключения зарегистрированной ресурсной системы (см. раздел 9.6).
Назначение ресурсной системе новой задачи с постановкой в очередь сопровождается уведомительным сообщением «Успешно. Задача поставлена в очередь».
Повторно назначить ресурсной системе задачу, уже находящуюся в очереди, невозможно. Данное действие сопровождается уведомительным сообщением «Ошибка. Задача уже находится в очереди».
Рисунок 148 – Экран раздела «Ресурсные системы»
- Центр сертификации Aladdin eCA позволяет взаимодействовать с несколькими ресурсными системами: Samba DC, РЕД АДМ, MS AD, FreeIPA, ALD PRO и Альт Домен:
- список субъектов (пользователей, компьютеров и сервисов (только для ALD PRO и FreeIPA)), их атрибуты и сертификаты;
- список и состав групп безопасности.
- Идентификация загружаемых субъектов ресурсной системы производится по их атрибуту «id».
- В разделе «Ресурсные системы» доступны следующие возможности:
- регистрация (подключение) ресурсной системы для выпуска сертификатов и учётных записей субъектам служб каталогов (см. раздел 7.9.1);
- переход в карточку ресурсной системы (см. раздел 7.9.2);
- запуск полной синхронизации ресурсной системы (см. раздел 7.9.3.3);
- удаление зарегистрированной ресурсной системы (см. раздел 7.9.5).
Регистрация точки подключения
- Для подключения ресурсной системы ALD PRO или FreeIPA к Центру сертификации Aladdin eCA необходимо предварительно создать роль на контроллере домена ALD Pro/FreeIPA. Для этого на контроллере домена ALD Pro или FreeIPA выполните следующие команды с правами суперпользователя:
ipa permission‑add "eCA ‑ Reader" ‑‑right={read,search} ‑‑bindtype=permission ‑‑attrs=*ipa permission‑add "eCA ‑ Manage certificate" ‑‑right=write ‑‑bindtype=permission ‑‑attrs=usercertificateipa privilege‑add "eCA ‑ Integrations privilege" ‑‑desc="Привилегии для интеграции с eCA"ipa privilege‑add‑permission "eCA ‑ Integrations privilege" ‑‑permissions="eCA ‑ Reader" ‑‑permissions="eCA ‑ Manage certificate"ipa role‑add "eCA ‑ Integrations" ‑‑desc="Роль для интеграции с eCA"ipa role‑add‑privilege "eCA ‑ Integrations" ‑‑privileges="eCA ‑ Integrations privilege"ipa role‑add‑member "eCA ‑ Integrations" ‑‑users=<Имя пользователя>Для успешной публикации сертификатов в ресурсную систему ALD Pro или FreeIPA требуется подключение к ресурсной системе от имени пользователя с минимальным набором полномочий:
- наличие роли «Service Role» для подключения к ресурсной системе;
- наличие роли «helpdesk» или роли «User Administrator» для публикации сертификатов пользователей;
- наличие роли «Enrollment Administrator» для публикации сертификатов контроллеров домена.
- Для подключения к ресурсной системе Samba DC, Альт Домен, РЕД АДМ или MS AD необходимо создать учетную запись на контроллере домена с правами, позволяющими получить данные (наличие ролей «Domain Users» и «Cert Publishers» для публикации сертификатов пользователей).
- Запуск сценария регистрации точки подключения происходит по нажатию кнопки <Зарегистрировать +> на главном экране управления «Ресурсной системы» или по нажатию кнопки <Добавить +> в карточке ресурсной системы в подразделе «Точки подключения».
- В открывшемся окне заполните следующие поля:
- тип – выберите в списке тип подключаемой ресурсной системы: Samba DC, Альт Домен, ALD PRO, MS AD, FreeIPA, РЕД АДМ;
- чек‑бокс «Использовать TLS для подключения» – выберите тип соединения. По умолчанию чек‑бокс для соединения по протоколу TLS всегда включен. В случае использования незащищённого соединения снимите отметку чек‑бокса;
- адрес хоста– укажите полное доменное имя или IP‑адрес точки подключения ресурсной системы;
- точка подключения – укажите точку подключения в формате:
DC={первое доменное имя},DC={второе доменное имя} и т.д.;
- логин – укажите имя учетной записи администратора контроллера домена:
- для Samba DC, Альт Домен, РЕД АДМ и MS AD имя учетной записи администратора указывается в формате RFC822Name;
- для ALD PRO и FreeIPA имя учетной записи администратора указывается в формате Distinguished Names.
- пароль – укажите пароль учетной записи администратора контроллера домена.
- логин – укажите имя учетной записи администратора контроллера домена:
Пароль хранится в базе данных в зашифрованном по алгоритму AES256 виде (конфигурация базы данных указана в конфигурационном файле /opt/aecaCa/scripts/config.sh).
- Примеры заполненной полей при подключении ресурсной системы для разных типов источников приведены на соответствующих рисунках (см. Рисунок 149, Рисунок 150, Рисунок 151, Рисунок 152, Рисунок 153, Рисунок 154).
- После заполнения всех полей нажмите кнопку <Зарегистрировать>. В результате успешной регистрации ресурсной системы будет выведено соответствующее уведомительное сообщение.
Рисунок 149 – Пример регистрации ресурсной системы ALD PRO
Рисунок 150 – Пример регистрации ресурсной системы FreeIPA
Рисунок 151 – Пример регистрации ресурсной системы МS AD
Рисунок 152 – Пример регистрации ресурсной системы Samba DC
Рисунок 153 – Пример регистрации ресурсной системы Альт Домен
Рисунок 154 – Пример регистрации ресурсной системы РЕД АДМ
- При регистрации ресурсной системы могут возникать следующие ошибки:
- сообщение «Ошибка LDAP аутентификации: Неправильный логин или пароль» – при вводе неверных данных учётной записи администратора домена;
- сообщение об ошибке подключения по заданному URL (адресу хоста);
- сообщение об ошибке при установлении TLS‑соединения;
- сообщение об ошибке при наличии уже зарегистрированной ресурсной системы с указанными данными;
- сообщение «Ошибка подключения к ресурсной системе» при возникновении других ошибок подключения к ресурсной системе.
- Если регистрация точки подключения выполнялась из карточки ресурсной системы и в результате успешной регистрации было определено, что точка подключения принадлежит иной ресурсной системе, после нажатия на кнопку «Зарегистрировать» отображается модальное окно с информацией о принадлежности регистрируемой точки подключения другой ресурсной системе (см. Рисунок 155).
Рисунок 155 – Модальное окно с информацией о принадлежности регистрируемой точки подключения другой ресурсной системе
- При успешном подключении к ресурсной системе будет выполнена полная синхронизация данных из точки подключения, указанной при регистрации Base DN (dc=…).
Карточка ресурсной системы
Просмотр информации о ресурсной системе возможен в ее карточке. Переход к «Карточке ресурсной системы» (см. Рисунок 156) осуществляется при нажатии на строку ресурсной системы в разделе «Ресурсные системы» (см. Рисунок 148).
Рисунок 156 – Карточка ресурсной системы
В карточке ресурсной системы представлена следующая информация:
- имя домена;
- уникальный идентификатор ресурсной системы;
- дата и время последней попытки полной синхронизации ресурсной системы;
- статус ресурсной системы, который назначается в соответствии с критериями, приведенными в таблице выше (Таблица 21);
- количество субъектов, полученных из ресурсной системы.
- информация о точках подключения ресурсной систем:
- адрес хоста ‑ полное доменное имя или IP‑адрес точки подключения ресурсной системы;
- точка подключения – Base DN (Distinguished Name) уникальный идентификатор корневого объекта в LDAP‑каталоге, который содержит в своем DN‑объекты, получаемые из точки подключения;
- тип – тип ресурсной системы: SambaDC, Альт домен, ALD PRO, MS_AD, FreeIPA, RED ADM.
- логин (имя) учетной записи администратора контроллера домена;
- дата и время последней попытки синхронизации точки подключения;
- статус точки подключения, который назначается в соответствии с критериями, приведенными в таблице ниже (Таблица 22);
Таблица 22 – Статусы точки подключения и критерии их присвоения
Статус точки подключения | Критерии присвоения статуса точке подключения |
|---|---|
Ожидание обработки | Точка подключения ресурсной системы ожидает первой синхронизации (при регистрации ресурсной системы) |
Успешно | Точка подключения к ресурсной системе успешно синхронизирована |
В процессе | Точка подключения к ресурсной системе находится в процессе синхронизации или удаления |
Ошибка | Последняя синхронизация точки подключения завершена с ошибкой |
- ‑ пиктограмма «Очередь» показывает, что точке подключения ресурсной системы назначена задача, которая поставлена в очередь, так как в данный момент выполняется другая задача.
Точкам подключения ресурсных систем возможно назначить выполнение следующих задач:
- частичная синхронизация ресурсной системы (синхронизация точки подключения ресурсной системы) (см. раздел 9.3.4);
- удаление точки подключения зарегистрированной ресурсной системы (см. раздел 9.6).
Назначение точке подключения ресурсной системы новой задачи с постановкой в очередь сопровождается уведомительным сообщением «Успешно. Задача поставлена в очередь».
Повторно назначить точке подключения ресурсной системы задачу, уже находящуюся в очереди, невозможно. Данное действие сопровождается уведомительным сообщением «Ошибка. Задача уже находится в очереди».
- В карточке ресурсной системы доступны следующие действия:
- запуск полной синхронизации ресурсной системы (см. раздел 7.9.3.3);
- удаление зарегистрированной ресурсной системы (cм. раздел 7.9.5);
- регистрация новой точки подключения к ресурсной системе (см. раздел 7.9.1);
- запуск частичной синхронизации точки подключения (см. раздел 7.9.3.4);
- изменение параметров, указанные при регистрации точки подключения (см. раздел 7.9.4);
- удаление точки подключения (см. раздел 7.9.6).
Синхронизация ресурсных систем
Виды синхронизации ресурсных систем
Центр сертификации Aladdin eCA поддерживает следующие виды синхронизации:
- Полная.
Синхронизация списка субъектов (пользователей, компьютеров и сервисов (только для ALD PRO и FreeIPA), их атрибуты и сертификаты, список и состав групп безопасности) выполняется из всех точек подключения к ресурсной системе.
- Частичная.
При частичной синхронизации выполняется синхронизация всех данных выбранных точек подключения к ресурсной системе, полученных при полной синхронизации, за исключением сведений об удалении субъектов и групп безопасности из ресурсной системы.
Субъекты ресурсной системы, которые не могут быть синхронизированы, будут отсутствовать в списке субъектов данной ресурсной системы. Ошибка синхронизации для каждого субъекта ресурсной системы будет зафиксирована в журнале событий с кодом CAENV090.
Синхронизация ресурсной системы производится постранично[1]. При этом максимально возможное количество объектов, получаемых при выполнении одного запроса, задаётся в параметре ldap_partition_size в конфигурационном файле /opt/aecaCa/scripts/config.sh.
Режимы синхронизации ресурсных систем
- Автоматический режим синхронизации.
В данном режиме синхронизация всех зарегистрированных точек подключения к ресурсным системам выполняется по расписанию в соответствии с CRON‑выражением, указанным в конфигурационном файле /opt/aecaCa/scripts/config.sh:
- для задания расписания полной синхронизации укажите значение CRON‑выражения для параметра ldap_synch_resource (значение по умолчанию ‘0 0 0 * * *’ – запуск полной синхронизации каждую полночь);
- для задания расписания частичной синхронизации укажите значение CRON‑выражения для параметра ldap_synch_connection_point (значение по умолчанию ‘0 */30 * * * *’– запуск частичной синхронизации каждые полчаса).
- Автоматизированный режим синхронизации.
В данном режиме запуск синхронизации выполняется по команде пользователя с ролью «Администратор»:
- запуск полной синхронизации выбранных ресурсных систем (см. раздел 7.9.3.3).
- запуск частичной синхронизации выбранных точек подключения к ресурсным системам (см. раздел 7.9.3.4)
Полная синхронизация ресурсной системы в автоматизированном режиме
Запуск полной синхронизации ресурсной системы может осуществляться путем нажатия на кнопку <Обновить> для ресурсной системы в разделе «Ресурсные системы» (см. Рисунок 157) или путем нажатия на кнопку <Обновить полностью> в карточке ресурсной системы (см. Рисунок 156).
Рисунок 157 – Запуск полной синхронизации ресурсной системы из раздела «Ресурсные системы»
Частичная синхронизация точки подключения в автоматизированном режиме
Запуск частичной синхронизации точки подключения осуществляться путем нажатия на кнопку <Обновить> для выбранной точки подключения в карточке ресурсной системы (см. Рисунок 158).
Рисунок 158 – Запуск частичной синхронизации точки подключения
[1] Центр сертификации Aladdin eCA получает данные из ресурсной системы частями, выполняя несколько запросов с ограничением на максимальное количество выдаваемых объектов вместо одного запроса на выгрузку сразу всех данных.
Редактирование параметров точки подключения
- Для редактирования параметров точки подключения необходимо в карточке ресурсной системы нажать на кнопку <Редактировать> около точки подключения (см. Рисунок 159).
Рисунок 159 – Окно раздела «Ресурсная система». Кнопка редактирования РС
- После этого открывается окно для редактирования полей, заполненных при создании точки подключения. Тип подключаемого ресурса изменить невозможно (см. Рисунок 160).
Рисунок 160 – Окно редактирования подключения к РС
- Для сохранения и применения параметров необходимо нажать кнопку <Сохранить>.
Удаление зарегистрированной ресурсной системой
- Удаление ресурсной системы может осуществляться путем нажатия на кнопку <Удалить> для ресурсной системы в разделе «Ресурсные системы» (см. Рисунок 161) или путем нажатия на кнопку <Удалить> в карточке ресурсной системы (см. Рисунок 156).
Рисунок 161 – Удаление ресурсной системы из раздела «Ресурсные системы»
- После этого отобразится окно подтверждения выбранного действия (см. Рисунок 162).
Рисунок 162 – Окно подтверждения удаления ресурсной системы
- Для удаления нажмите на кнопку <Удалить>.
- В результате удаления ресурсной системы:
- все субъекты, полученные из этой ресурсной системы, будут переведены в локальную ресурсную систему;
- будут удалены группы безопасности, полученные из этой ресурсной системы;
- операторы, которым были предоставлены права на группы, полученные из этой ресурсной системы, потеряют свои полномочия.
Удаление точки подключения к ресурсной системе
- Удаление точки подключения осуществляется путем нажатия на кнопку <Удалить> для точки подключения в карточке ресурсной системы (см. Рисунок 163).
Рисунок 163 – Удаление ресурсной системы из карточки ресурсной системы
- После этого отобразится окно подтверждения выбранного действия (см. Рисунок 164).
Рисунок 164 – Окно подтверждения удаления точки подключения
- Для удаления нажмите на кнопку <Удалить>.
- В результате удаления точки подключения:
- все субъекты, полученные из этой точки подключения, будут переведены в локальную ресурсную систему;
- будут удалены и группы безопасности, полученные из этой точки подключения;
- операторы, которым были предоставлены права на группы, полученные из этой точки подключения, потеряют свои полномочия.
Раздел «Центры валидации»
Переход в раздел «Центры валидации» выполняется через боковое меню, расположенное слева на главном экране (см. Рисунок 165). Данный раздел доступен только для пользователя с ролью «Администратор».
Рисунок 165 – Раздел «Центр валидации»
Раздел «Центры валидации» предназначен для выполнения следующих сценариев:
- Автоматизированная публикация списков отозванных сертификатов CRL по команде уполномоченного пользователя.
- Настройка параметров ЦВ.
- Удаление ЦВ.
- Настройка периода автоматического обновления точек публикации CRL и срока действия перекрытия Delta CRL для активного ЦС.
- Экспорт актуального списка отозванных сертификатов CRL и разностного списка отозванных сертификатов DELTA CRL.
- Экспорт сертификата текущего издающего ЦС.
- Создание пользовательских точек распространения CRL, Delta CRL и AIA.
- Публикация CRL, Delta CRL и AIA в LDAP‑каталог точек распространения ресурсных систем.
- Просмотр служб OCSP, зарегистрированных ЦВ.
- Создание пользовательской службы OCSP.
Настройка периодичности автоматического обновления CRL
Чтобы настроить периодичность автоматического обновления CRL и формирования Delta CRL, на верхней панели раздела «Центр валидации» раскройте список <Автообновление CRL> (см. Рисунок 166).
В раскрывшемся информационном блоке представлена следующая информация:
- Текущий период обновления публикации CRL и срок действия перекрытия CRL (CRL overlap).
- Дата и время последней публикации CRL.
- Дата и время следующей публикации CRL.
- Текущий период обновления публикации Delta CRL;
- Статус настройки автоматической генерации и публикации Delta CRL при изменении статусов сертификатов.
Рисунок 166 – Просмотр настроек автоматического обновления CRL
ВНИМАНИЕ! При изменении периодичности автоматического обновления CRL и формирования Delta CRL точки публикации активного ЦС перенастраивается время публикации всех списков CRL текущего ЦС. Время публикации CRL синхронизировано при настройке периода публикации, при создании нового сервиса публикации, при публикации по команде (включая REST API) и одинаково для всех точек публикации текущего ЦС.
- В раскрывшемся информационном блоке нажмите кнопку <Настроить> (см. Рисунок 166).
- В открывшемся окне выполните настройку следующих параметров автоматического обновления CRL (см. Рисунок 167):
- Период обновления (публикации) CRL (crlperiod) (формат ввода: 1m, 1h, 1d, 1mo, 1y — минута, час, день, месяц, год).
- Срок действия перекрытия CRL (crlOverlapTime)– временной отрезок до истечения срока действия текущего CRL, за который будет публиковаться новый CRL (формат ввода: 1m, 1h, 1d, 1mo, 1y — минута, час, день, месяц, год).
- Для включения режима генерации и рассылки Delta CRL установите флажок «Рассылать Delta CRL».
- Период обновления Delta CRL (deltacrlperiod) – время между публикациями Delta CRL. При вводе значения, превышающего заданный период обновления CRL, будет выведено предупреждение и до ввода корректного значения сохранить настройки будет невозможно.
Для включения режима автоматической генерации и публикации CRL (Delta CRL) при изменении статусов (отзыве/приостановке/возобновлении действия) сертификатов установите флажок «Генерировать и публиковать новый CRL при изменении статусов сертификатов» или «Генерировать и публиковать новый Delta CRL при изменении статусов сертификатов» (при включенной рассылке Delta СRL).
Внимание! Период публикации CRL должен быть больше периода публикации Delta CRL. Период публикации DeltaCRL может быть не задан, тогда Delta CRL не публикуется.
Рисунок 167 – Настройка автоматического обновления CRL
- Значения периодов обновления публикаций CRL и Delta CRL следует выбирать исходя из интенсивности обновления списка сертификатов в конкретных условиях эксплуатации.
- Значение срока действия перекрытия стоит выбирать исходя из следующих рекомендации:
- Срок действия перекрытия (crlOverlapTime) должен составлять 1/10 от значения периода обновления публикаций CRL (crlperiod), но не более 12 часов. При этом должны выполняться две рекомендации, приведенные ниже.
- Срок действия перекрытия (crlOverlapTime) не должен быть больше периода обновления Delta CRL (deltacrlperiod), если выполняется следующее условие, приведенное ниже.
- Срок действия перекрытия (crlOverlapTime) не должен быть меньше 1/5 от интервала рассинхронизации времени в сети (обычная рассинхронизация составляет не более 10 мин).
- Файлы CRL содержат следующие данные, указывающие на время действия списка отозванных сертификатов:
- <ThisUpdate> – дата и время вступления в силу CRL (момент начала действия).
- <Next Update> – дата и время следующего обновления CRL (момент истечения срока действия CRL, когда CRL становится недействительным для проверки).
- При планировании срока действия CRL необходимо учитывать время следующей публикации <Next Publish> (момент выпуска ЦС нового CRL).
- Между настроенными значениями и значениями, которые указываются в файле CRL (Delta CRL) и выводятся в интерфейсе пользователя, должна быть следующая связь:
- для CRL:
- <This Update> = <Время создания CRL>
- <Next Publish> = <This Update> + <crlperiod>
- <Next Update> = <Next Publish> + <crlOverlapTime>
- для Delta CRL:
- <This Update> = <время создания Delta CRL>
- <Next Publish> = <This Update> + <deltacrlperiod>
- <Next Update> = <Next Publish>
- для CRL:
- При каждой новой генерации CRL увеличивается значение номера версии (CRLNumber).
- При каждой новой генерации Delta CRL увеличивается значение CRLNumber индикатора (DeltaCRLIndicator) и соответствует тому CRL, для которого указана разница.
- Служба CRL DP начинает распространять CRL и Delta CRL с большим номером (версии и индикатора) сразу после его поступления и проверки подписи издателя.
- Если рассылка Delta CRL выключена, но на вкладке «Точки распространения» зарегистрированы точки распространения данного типа, то они не будут попадать в создаваемые сертификаты. В этом случае точки распространения будут отмечены восклицательным знаком в треугольнике, с отображением всплывающего сообщения «Точки распространения Delta CRL не будут попадать в создаваемые сертификаты, так как рассылка Delta CRL выключена (см.
Рисунок 168 – Индикация точки распространения Delta CRL при выключенной рассылке Delta CRL
Автоматизированная публикация списка отозванных сертификатов CRL
Список отозванных сертификатов может быть обновлен внепланово по команде уполномоченного пользователя с ролью «Администратор». Для этого на верхней панели вкладки «Центры валидации» раздела «Центры валидации» нажмите кнопку <Обновить CRL> (см. Рисунок 169). При этом таймер автоматической публикации CRL сбрасывается, и начинается новый отсчет времени публикации.
Все сгенерированные списки отозванных сертификатов в формате .crl будут сохранены в базе данных (конфигурация базы данных указана в файле /opt/aecaCa/scripts/config.sh).
Рисунок 169 – Обновление CRL по команде администратора
Экспорт актуального списка отозванных сертификатов CRL
Для выгрузки списка отозванных сертификатов CRL выполните следующие действия:
- На верхней панели вкладки «Центры валидации» раздела «Центры валидации» нажмите кнопку <Скачать CRL> .
- В открывшемся окне в зависимости от текущего состояния Центра сертификации Aladdin eCA выполните одно из следующих действий:
- Если в Центре сертификации Aladdin eCA не зарегистрирован ни один ЦВ и CRL ранее не публиковался, то опубликуйте и выгрузите новый CRL (см. Рисунок 170). Для этого в соответствующем поле укажите срок действия CRL и нажмите кнопку <Cгенерировать и скачать>.
Рисунок 170 – Публикация и выгрузка нового CRL
- Если в Центре сертификации Aladdin eCA не зарегистрирован ни один ЦВ, а CRL ранее публиковался, то выполните одно из следующих действий (см. Рисунок 171):
- Выгрузите последний опубликованный CRL. Для этого установите переключатель в положение «Скачать последний» и нажмите кнопку «Скачать».
- Опубликуйте и выгрузите новый CRL. Для этого установите переключатель в положение «Сгенерировать новый», в соответствующем поле укажите срок действия CRL и нажмите кнопку <Cгенерировать и скачать>.
- Если в Центре сертификации Aladdin eCA не зарегистрирован ни один ЦВ, а CRL ранее публиковался, то выполните одно из следующих действий (см. Рисунок 171):
Рисунок 171 – Выгрузка последнего опубликованного CRL
- Если в Центре сертификации Aladdin eCA зарегистрирован хотя бы один ЦВ, скачайте последний опубликованный CRL, нажав кнопку <Скачать последний> (см. Рисунок 172).
Рисунок 172 – Выгрузка последнего опубликованного CRL
Время в экспортированном CRL указано в формате GMT+0.
Управление центрами валидации
Процесс регистрации ЦВ заключается в активации служб AIA и CRL DP. Создание ЦВ выполняется уполномоченным администратором в Центре валидации Aladdin eVA. Порядок создания ЦВ приведен в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 4. Центр валидации Aladdin Enterprise Validation Authority».После регистрации ЦВ создаются службы CRL DP и AIA, а в карточке центра валидации ЦС появляются их адреса.
Для просмотра карточки центра валидации (см. Рисунок 173) перейдите на вкладку «Центры валидации» раздела «Центры валидации» и щелкните в списке строку с выбранным центром валидации.
Рисунок 173 – Карточка зарегистрированного центра валидации
В карточке ЦВ доступны следующие действия:
- Просмотр информации об идентификаторе центра валидации.
- Просмотр информации об обслуживаемом центре сертификации.
- Публикация последнего сгенерированного CRL в Центре валидации Aladdin eCA.
Для этого нажмите кнопку <Опубликовать текущий CRL>.
- Удаление центра валидации. Для этого наведите указателем мыши на выбранный центр валидации в списке, нажмите кнопку <Удалить> или в карточке центра валидации нажмите кнопку и в открывшемся окне (см. Рисунок 174) подтвердите удаление, нажав кнопку .
Рисунок 174 –Подтверждение удаления центра валидации
- Для службы CRL DP на вкладке «CRL DP» (см. Рисунок 175) доступны следующие действия:
- Выгрузка списка отозванных сертификатов CRL. Для этого нажмите кнопку <Скачать CRL>.
- Выгрузка разностного списка отзыва сертификатов DELTA Для этого нажмите кнопку <СкачатьDELTA CRL>.
- Просмотр URL выгрузки CRL, который будет включаться в выпускаемые сертификаты (см. 7.10.8). Чтобы скопировать URL в буфер обмена, щелкните рядом c URL значок .
Рисунок 175 – Вкладка «CRL» карточки центра валидации
- Просмотр URL выгрузки DELTA CRL, который будет включаться в выпускаемые сертификаты (см. 7.10.8). Чтобы скопировать URL в буфер обмена, щелкните рядом c URL значок .
- Просмотр порядкового номеров публикации CRL и DELTA
- Просмотр даты и времени последней публикации CRL и DELTA
- Просмотр даты и времени следующей публикации CRL и DELTA
- Просмотр даты и времени окончания срока действия CRL и DELTA
- Для службы AIA на вкладке «AIA» (см. Рисунок 176) доступны следующие действия:
- Выгрузка опубликованного сертификата текущего издающего центра сертификации. Для этого нажмите кнопку <Скачать сертификат>.
- Просмотр URL выгрузки сертификата издателя, который будет включаться в выпускаемые сертификаты (см. раздел 7.10.8). Чтобы скопировать URL в буфер обмена, щелкните рядом c URL значок .
- Просмотр имени владельца (центра сертификации).
- Просмотр SDN владельца (центра сертификации).
- Просмотр срока действия сертификата ЦС.
- Просмотр алгоритма и длины ключа, на котором был выпущен закрытый ключ ЦС.
- Для службы OCSP на вкладке «OCSP» (см. Рисунок 177) доступны следующие действия:
- Просмотр URL OCSP‑сервера. URL будет включаться в выпускаемые сертификаты (см. раздел 7.10.8). Чтобы скопировать URL в буфер обмена, щелкните рядом c адресом OCSP значок .
- Просмотр статуса OCSP-службы.
Рисунок 176 – Вкладка «AIA» карточки центра валидации
Рисунок 177 – Вкладка «OCSP» карточки центра валидации
Управление точками распространения
- Вкладка «Точки распространения» раздела «Центры валидации» предназначена для:
- Просмотра URL точек распространения CRL, Delta CRL и AIA, подключенных Центров валидации Aladdin eCA, образующих автоматические точки распространения. Данные точки распространения обозначены в списках значком (поле «Тип»).
- Регистрации, редактирования и удаления внешних точек распространения CRL, Delta CRL и AIA , образующих пользовательские точки распространения. Данные точки распространения обозначены в списках значком (поле «Тип»);
- Управления режимом публикации CRL, Delta CRL и AIA в LDAP‑каталог ресурсных систем (доменные службы каталогов) пользовательских точек распространения.
- Управления записью точек распространения в выпускаемые сертификаты.
- Управления приоритетами точек распространения. Приоритет определяет очерёдность записи URL точек распространения в сертификаты субъектов (см. раздел 7.10.8).
- Объединения точек распространения в кластеры (по типу) для проксирования доступа к ним с целью распределения нагрузки.
- Точки распространения сгруппированы по типу распространяемых данных (СRL, Delta CRL или AIA) и представлены на вкладке «Точки распространения» списками в табличном виде (см. Рисунок 178):
- Тип – тип точки распространения (автоматическая или пользовательская).
- Центр валидации – IP‑адрес или полное доменное имя компьютера с установленным Центром валидации Aladdin eCA (только для автоматических точек распространения).
- URL – адрес сервера точки распространения.
- Приоритет – числовое значение от 0 до 1000.
Точки распространения располагаются в списках в порядке убывания назначенного им приоритета. Если приоритеты точек распространения совпадают, то выше в списке будет располагаться точка, в параметры которой изменения были внесены позднее (в том числе и дата создания).
- Дата изменения – дата и время последнего редактирования параметров точки распространения (изменение URL и приоритета, а также состава кластера для точки распространения).
- Публикация – статус последней публикации в точку распространения («Ошибка» или «Успешно»). Если для пользовательской точки распространения не включен режим публикации CRL, Delta CRL или AIA) в LDAP‑каталоге ресурсной системы (доменной службе каталогов), то точке назначается статус публикации «Выключена».
- Дата публикации – дату и время последней попытки публикации данных в точку распространения.
- Переключатель, позволяющий управлять записью точки распространения в выпускаемые сертификаты. При выключенном переключателе запись точек распространения в сертификаты не выполняется.
Рисунок 178 – Просмотр списков точек распространения
Управление точками распространения включает следующие действия:
- Создание (регистрация) новой точки распространения.
- Редактирование точки распространения.
- Удаление созданной точки распространения.
- Управление записью точек распространения в выпускаемые сертификаты.
- Объединение точек распространения в кластер.
Создание пользовательской точки распространения
Пользовательские точки предназначены для распространения:
- Списка отзыва сертификатов (CRL).
- Разностного списка отзыва сертификатов (Delta CRL).
- Сертификатов издающих ЦС (AIA).
В Центре сертификации Aladdin eCA для пользовательских точек распространения реализована возможность публикации распространяемых данных в LDAP‑каталоги ресурсных систем (доменных служб каталогов): Samba DC, Альт Домен, ALD PRO, MS AD, FreeIPA, РЕД АДМ. При включении режима публикации для точки распространения необходимо указать реквизиты подключения к LDAP‑каталогу:
- IP‑адрес или полное доменное имя контроллера домена.
- Имя и пароль учетной записи администратора домена.
Для доменов Samba DC, Альт Домен, РЕД АДМ и MS AD имя учетной записи указывается в формате RFC822Name, для ALD PRO и FreeIPA –в формате Distinguished Names.
Внимание! Успешная публикация в ALD PRO или FreeIPA возможна только при наличии у администратора домена ролей «Service Role» и «Enrollment Administrator». Успешная публикация в Samba DC, РЕД АДМ, Альт Домен или MS AD возможна только при наличии у администратора домена ролей «Domain Users» и «Cert Publishers».
- URL – путь к объекту в LDAP‑каталоге для публикации распространяемых данных.
Пример URL для точки распространения CRL:
ldap:///CN=SUB_CA_INFORM,CN=SUB_CA_INFORM,CN=CDP,CN=PublicKey Services,CN=Services,CN=Configuration,DC=<1 компонент доменного имени>,…,DC=<последний компонент доменного имени>?certificateRevocationList?base?objectClass=cRLDistributionPointПример URL для точки распространения Delta CRL:
ldap:///CN=SUB_CA_INFORM,CN=SUB_CA_INFORM,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<1 компонент доменного имени>,…,DC=<последний компонент доменного имени>?deltaRevocationList?base?objectClass=cRLDistributionPointПример URL для точки распространения сертификатов издающих ЦС (AIA):
ldap:///CN=SUB_CA_INFORM,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=<1 компонент доменного имени>,…,DC=<последний компонент доменного имени>?cACertificate?base?objectClass=certificationAuthorityПорядок создания пользовательской точки распространения:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Нажмите кнопку и выберите в списке «Пользовательская».
- В открывшемся окне (см. Рисунок 179) выполните следующие действия:
- В списке «Тип распространяемых данных» выберите тип распространяемых данных (CRL, DELTA, AIA).
- Чтобы включить режим публикации распространяемых данных в LDAP‑каталог ресурсной системы (доменной службы каталогов), установите флажок:
- <Публиковать CRL в точку распространения> ‑ при создании точки распространения CRL.
- <Публиковать Delta CRL в точку распространения> ‑ при создании точки распространения Delta CRL.
- <Публиковать AIA в точку распространения> ‑ при создании точки распространения сертификатов издающих ЦС.
Рисунок 179 – Создание точки распространения
- в поле «URL» укажите URL точки распространения.
При указании URL возможны следующие сообщения об ошибках:
- «Указан URL существующей точки распространения» ‑ введённый URL совпадает с URL ранее зарегистрированной точки распространения (любого типа).
- «Некорректный ввод» ‑ введенный URL содержит один или несколько пробелов.
Если вы создаете точку распространения с возможностью публикации распространяемых данных в LDAP‑каталог ресурсной системы, укажите в поле «URL» путь к объекту в LDAP‑каталоге для публикации распространяемых данных.
- В поле «Приоритет» укажите приоритет точки распространения (числовое значение от 0 до 1000).
Точки распространения располагаются в списке в порядке убывания назначенного им приоритета. Если приоритеты точек распространения совпадают, то выше в списке будет располагаться точка, в параметры которой изменения были внесены позднее, начиная с момента ее создания.
- Если вы создаете точку распространения без возможности публикации распространяемых данных, нажмите кнопку <Создать>. В результате будет создана пользовательская точка распространения.
- Если вы создаете точку распространения с возможностью публикации распространяемых данных, нажмите кнопку <Продолжить>.
- В открывшемся окне (см. Рисунок 180) выполните следующие действия:
- В списке «Тип домена» выберите тип доменной службы каталогов ресурсной системы (Samba DC, Альт Домен, ALD PRO, MS AD, FreeIPA, РЕД АДМ).
- В поле «Адрес хоста» укажите IP‑адрес или полное доменное имя контроллера домена.
- В полях «Логин» и «Пароль» укажите соответственно имя и пароль учетной записи администратора контроллера домена.
- Чтобы установить TLS‑соединение с контроллером домена для распространения данных, установите флажок «Использовать TLS для подключения. По умолчанию использование протокола TLS для соединения с контроллером домена включено.
- Нажмите кнопку <Создать>.
Рисунок 180 – Указание параметров публикации для точки распространения
Редактирование пользовательской точки распространения
Порядок редактирования пользовательской точки распространения:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Наведите указателем мыши на выбранную службу в списке и нажмите кнопку <Редактировать> (см. Рисунок 181).
Рисунок 181 – Инициализация процесса редактирования пользовательской точки распространения
- В открывшемся окне (см. Рисунок 182) выполните следующие действия:
- При необходимости в соответствующих полях измените URL и приоритет точки распространения (описание и правила заполнения полей см. в разделе 7.10.5.1).
- Если режим публикации распространяемых данных в LDAP‑каталог ресурсной системы выключен, а вы не хотите его включать, то нажмите кнопку <Сохранить изменения> для завершения процесса редактирования.
- Если режим публикации распространяемых данных в LDAP‑каталог ресурсной системы включен, а вы хотите его выключить, снимите флажок <Публиковать CRL в точку распространения> (при редактировании точки распространения CRL), <Публиковать Delta CRL в точку распространения> (при редактировании точки распространения Delta CRL), <Публиковать AIA в точку распространения> (при редактировании точки распространения сертификатов издающих ЦС) и нажмите кнопку <Сохранить изменения> для завершения процесса редактирования.
- Если режим публикации распространяемых данных в LDAP‑каталог ресурсной системы включен, а вы не хотите его выключать, то нажмите кнопку <Продолжить> для изменения параметров публикации точки распространения.
- Если режим публикации распространяемых данных в LDAP‑каталог ресурсной системы выключен, а вы хотите его включить, установите флажок <Публиковать CRL в точку распространения> (при редактировании точки распространения CRL), <Публиковать Delta CRL в точку распространения> (при редактировании точки распространения Delta CRL), <Публиковать AIA в точку распространения> (при редактировании точки распространения сертификатов издающих ЦС) и нажмите кнопку<Продолжить> для указания параметров публикации точки распространения.
Рисунок 182 – Редактирование пользовательской точки распространения
- В открывшемся окне (см. Рисунок 183) выберите тип доменной службы, укажите адрес контроллера домена, имя и пароль учетной записи администратора контроллера домена (описание и правила заполнения полей см. в разделе 7.10.5.1) и нажмите кнопку <Сохранить изменения>.
Рисунок 183 – Редактирование параметров публикации пользовательской точки распространения
Редактирование автоматической точки распространения
Для редактирования параметров автоматической точки распространения выполните следующие действия:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Наведите указателем мыши на выбранную автоматическую точку распространения в списке и нажмите кнопку <Редактировать> (см. Рисунок 181).
- В открывшемся окне (см. Рисунок 184) в соответствующем поле измените приоритет автоматической точки распространения (описание и правила заполнения полей см. в разделе в разделе 7.10.5.1). После этого нажмите кнопку <Продолжить>.
Рисунок 184 – Редактирование автоматической точки распространения
- В открывшемся окне (см. Рисунок 185) нажмите кнопку <Сохранить изменения>.
Рисунок 185 – Редактирование автоматической точки распространения
Удаление пользовательской точки распространения
Для удаления пользовательской точки распространения выполните следующие действия:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Наведите указателем мыши на выбранную автоматическую точку распространения в списке и нажмите кнопку <Удалить> (см. Рисунок 186).
Рисунок 186 –Инициализация процесса удаления точки распространения
- В открывшемся окне (см. Рисунок 187) подтвердите удаление точки распространения, нажав кнопку <Удалить>.
Рисунок 187 – Подтверждение удаления пользовательской точки распространения
Создание кластера точек распространения
Объединения точек распространения в кластеры может потребоваться для проксирования доступа к ним с целью распределения нагрузки.
Кластер может быть организован только из точек распространения одного типа (CRL, DeltaCRL или AIA). Кластер может быть организован как из автоматических, так и из пользовательских точек распространения.
Создание кластера возможно двумя способами:
- Путем создания нового кластера и добавления в него уже существующих точек распространения.
- Путем создания кластера на базе ранее созданной точки распространения.
Порядок создания нового кластера и добавления в него ранее зарегистрированных точек распространения:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Нажмите кнопку и выберите в списке «Кластер».
- В открывшемся окне (см. Рисунок 188) выполните следующие действия:
- В списке «Тип» выберите тип объединяемых в кластер точек распространения:
- CRL – для распространения списка отозванных сертификатов.
- Delta CRL – для распространения разностного списка отозванных сертификатов.
- AIA – для распространения сертификатов издающих ЦС.
- В поле «URL» укажите URL балансировщика нагрузки. При указании URL возможны следующие сообщения об ошибках:
- «Указан URL существующей точки распространения» ‑ введенный URL совпадает с URL ранее зарегистрированной точки распространения.
- «Некорректный ввод» ‑ введенный URL содержит один и несколько пробелов.
- В поле «Приоритет» укажите приоритет кластера (числовое значение от 0 до 1000).
- В списке «Тип» выберите тип объединяемых в кластер точек распространения:
Кластеры и точки распространения располагаются в списках в порядке убывания назначенного им приоритета. Если приоритеты кластеров и/или точек распространения совпадают, то выше в списке будет располагаться кластер и/или точка, в параметры которых изменения были внесены позднее (в том числе и дата создания).
- Нажмите кнопку <Продолжить>.
Рисунок 188 – Создание кластера точек распространения. Шаг 1
- В открывшемся окне (см. Рисунок 189) выполните следующие действия:
- В списке «Выбрать» с помощью флажков выберите URL точек распространения, которые необходимо объединить в кластер, и щелкните значок . В результате выбранные точки распространения будут перемещены в список «Выбрано».
- Чтобы изменить список точек распространения, объединяемых в кластер, в списке «Выбрано» с помощью флажков выберите URL точек распространения, исключаемых из кластера, и щелкните значок . В результате выбранные точки распространения будут перемещены в список «Выбрать».
- Чтобы найти точки распространения в списках, используйте поля поиска.
- Нажмите кнопку <Создать кластер>.
Рисунок 189 – Создание кластера точек распространения. Шаг 2
В результате будет создан кластер точек распространения в соответствии с назначенным приоритетом.
Порядок создания кластера на основе существующей пользовательской точки распространения:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Выделите выбранную пользовательскую точку распространения в списке и нажмите кнопку <Создать кластер> (см. Рисунок 190).
Рисунок 190 – Создание кластера на основе зарегистрированной точки распространения
- В открывшемся окне (см. Рисунок 189) выполните следующие действия:
- В списке «Выбрать» с помощью флажков выберите URL точек распространения, которые необходимо объединить в кластер, и щелкните значок . В результате выбранные точки распространения будут перемещены в список «Выбрано».
- Чтобы изменить список точек распространения, объединяемых в кластер, в списке «Выбрано» с помощью флажков выберите URL точек распространения, исключаемых из кластера, и щелкните значок .
- Чтобы найти точки распространения в списках, используйте поля поиска.
- Нажмите кнопку <Создать кластер>.
В результате будет создан кластер с URL и приоритетом пользовательской точки распространения, на основе которой он был создан.
Просмотр состава кластера точек распространения
Для просмотра точек распространения, объединённых в кластер, выполните следующие действия:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Раскройте состав кластер в списке. Для этого в строке выбранного кластера щелкните значок (см Рисунок 191).
Рисунок 191 –Просмотр состава кластера точек распространения
- Чтобы скрыть состав кластера, щелкните значок .
Редактирование кластера точек распространения
Для редактирования состава кластера точек распространения выполните следующие действия:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Наведите указателем мыши на выбранный кластер в списке и нажмите кнопку <Редактировать кластер> (см. Рисунок 192).
Рисунок 192 – Инициализация процесса редактирования кластера
- В открывшемся окне управления кластером (см. Рисунок 193) измените состав кластера и нажмите кнопку <Сохранить изменения>.
В списке «Выбрать» с помощью флажков выберите URL точек распространения, которые необходимо добавить в кластер, и щелкните значок . В результате выбранные точки распространения будут перемещены в список «Выбрано». Чтобы исключить точки распространения из кластера, выберите в списке «Выбрано» с помощью флажков URL точек распространения и щелкните значок . Чтобы найти точки распространения в списках, используйте поля поиска.
Рисунок 193 – Редактирование состава кластера
Для редактирования параметров кластера выполните следующие действия:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Наведите указателем мыши на выбранный кластер в списке и нажмите кнопку <Редактировать> (см. Рисунок 194).
Рисунок 194 – Инициализация процесса редактирования параметров кластера
- В открывшемся окне (см. Рисунок 195) в соответствующих полях измените URL, приоритет кластера точек распространения и нажмите кнопку <Сохранить изменения> (описание и правила заполнения полей см. в разделе 0).
Рисунок 195 –Редактирования кластера точек распространения
Удаление кластера точек распространения
Для удаления кластера точек распространения выполните следующие действия:
- Перейдите на вкладку «Точки распространения» раздела «Центры валидации».
- Наведите указателем мыши на выбранный кластер в списке и нажмите кнопку <Удалить> (см. Рисунок 196).
Рисунок 196 – Инициализация процесса удаления кластера
- В открывшемся окне (см. Рисунок 197) подтвердите удаление, нажав кнопку <Удалить>.
Рисунок 197 –Подтверждение удаления кластера
В результате кластер точек распространения будет удален. При этом точки распространения, входившие в кластер, будут исключены из него и доступны в списке точек распространения.
Управление службами OCSP
Управление службами OCSP предполагает:
- Просмотр URL служб OCSP, созданных в Центрах валидации Aladdin eVA, образующих автоматические службы. Данные службы обозначены в списке значком (поле «Тип»).
Создание, активация и управление службой OCSP для выбранного ЦВ выполняется уполномоченным администратором в Центре валидации Aladdin eVA. Порядок создание и активация службы OCSP приведен в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 4. Центр валидации Aladdin Enterprise Validation Authority».
- Регистрацию сторонних служб OCSP, существующих или развертываемых на серверах в информационной системе, образующих пользовательские службы. Данные службы обозначены в списке значком (поле «Тип»).
- Управление приоритетом служб OCSP. Приоритет определяет очерёдность записи URL служб OCSP в сертификаты субъектов (см. раздел 7.10.8).
- Управление записью служб OCSP в выпускаемые сертификаты. Объединение служб OCSP в кластеры для проксирования доступа к ним с целью распределения нагрузки.
Информация о службах OCSP представлена на вкладке «Службы OCSP» раздела «Центры валидации» списком в табличном виде:
- Тип – типа службы OCSP. (пользовательская или автоматическая).
- Центр валидации – IP‑адрес или полное доменное имя компьютера с установленным Центром валидации Aladdin eVA (только для автоматических служб).
- URL – адрес сервера службы OCSP.
- Приоритет – числовое значение т 0 до 1000. Службы OCSP располагаются в списке в порядке убывания назначенного им приоритета. Если приоритеты служб OCSP совпадают, то выше в списке будет располагаться служба, в параметры которой изменения были внесены позднее, начиная с даты и времени ее создания.
- Дата изменения – дата и время последнего редактирования параметров службы OCSP (изменение URL и приоритета).
- Переключатель, позволяющий управлять записью служб OCSP в выпускаемые сертификаты. При выключенном переключателе запись служб OCSP в сертификаты не выполняется.
Рисунок 198 –Список служб OCSP
Управление службами OCSP включает следующие операции:
- Создание (регистрация) пользовательских служб OCSP.
- Редактирование пользовательских и автоматических служб OCSP.
- Удаление пользовательских служб OCSP.
- Объединение пользовательских и автоматических служб OCSP в кластеры.
Создание пользовательской службы OCSP
Порядок создания пользовательской службы OCSP:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Нажмите кнопку и выберите в списке «Пользовательская».
- В открывшемся окне (см. Рисунок 199) выполните следующие действия:
- В поле «URL» укажите URL службы OCSP.
При указании URL возможны следующие сообщения об ошибках:
- «Указан URL существующей службы OCSP» ‑ введенный URL совпадает с URL ранее зарегистрированной службы OCSP.
- «Некорректный ввод» ‑ введенный URL содержит один и несколько пробелов.
- В поле «Приоритет» укажите приоритет службы OCSP (числовое значение от 0 до 1000).
Службы OCSP располагаются в списке в порядке убывания назначенного им приоритета. Если приоритеты служб OCSP совпадают, то выше в списке будет располагаться служба OCSP, в параметры которой изменения были внесены позднее, начиная с момента ее создания.
Рисунок 199 – Создание службы OCSP
- Нажмите кнопку <Создать>.
В результате будет создана пользовательская служба OCSP.
Редактирование пользовательской службы OCSP
Для редактирования параметров пользовательской службы OCSP выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Наведите указателем мыши на выбранную службу в списке и нажмите кнопку <Редактировать> (см. Рисунок 200).
Рисунок 200 –Инициализация процесса редактирования службы OCSP
- В открывшемся окне (см. Рисунок 201) в соответствующих полях измените URL и приоритет службы OCSP (описание и правила заполнения полей см. в разделе 7.10.6.1). После этого нажмите кнопку <Сохранить изменения>.
Рисунок 201 – Редактирования пользовательской службы OCSP
Редактирование автоматической службы OCSP
Для редактирования параметров автоматической службы OCSP выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Наведите указателем мыши на выбранную автоматическую службу в списке и нажмите кнопку <Редактировать> (см. Рисунок 200).
- В открывшемся окне (см. Рисунок 202) в соответствующем поле измените приоритет автоматической службы OCSP (описание и правила заполнения полей см. в разделе 7.10.6.1). После этого нажмите кнопку <Сохранить изменения>.
Рисунок 202 – Окно редактирования автоматической службы OCSP
Удаление пользовательской службы OCSP
Для удаления пользовательской службы OCSP выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Наведите указателем мыши на выбранную службу в списке и нажмите кнопку <Удалить> (см. Рисунок 203).
Рисунок 203 –Инициализация процесса удаления службы OCSP
- В открывшемся окне (см. Рисунок 204) подтвердите удаление службы, нажав кнопку <Удалить>.
Рисунок 204 – Подтверждение удаления пользовательской службы OCSP
Создание кластера служб OCSP
Объединения служб OCSP в кластеры может потребоваться для проксирования доступа к ним с целью распределения нагрузки. Кластер может быть организован как из автоматических, так и из пользовательских служб OCSP.
Создание кластера возможно двумя способами:
- Путем создания нового кластера и добавления в него уже существующих служб OCSP.
- Путем создания кластера на базе ранее созданной службы OCSP.
Порядок создания нового кластера и добавления в него ранее зарегистрированных служб OCSP:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Нажмите кнопку и выберите в списке «Кластер».
- В открывшемся окне (см. Рисунок 205) выполните следующие действия:
- В поле «URL» укажите URL балансировщика нагрузки.
При указании URL возможны следующие сообщения об ошибках:
- «Указан URL существующей службы OCSP» ‑ введенный URL совпадает с URL существующей (ранее зарегистрированной) точки распространения.
- «Некорректный ввод» ‑ введенный URL содержит один и несколько пробелов.
- В поле «Приоритет» укажите приоритет кластера (числовое значение от 0 до 1000).
Кластеры и службы OCSP располагаются в списках в порядке убывания назначенного им приоритета. Если приоритеты кластеров и/или служб OCSP совпадают, то выше в списке будет располагаться кластер и/или служба, в параметры которых изменения были внесены позднее, начиная с даты создания.
- Нажмите кнопку <Продолжить>.
Рисунок 205 – Создание кластера служб OCSP. Шаг 1
- В открывшем окне (см. Рисунок 206) выполните следующие действия:
- В списке «Выбрать» с помощью флажков выберите URL служб OCSP, которые необходимо объединить в кластер, и щелкните значок . В результате выбранные службы будут перемещены в список «Выбрано».
- Чтобы изменить список служб OCSP, объединяемых в кластер, в списке «Выбрано» с помощью флажков выберите URL служб, исключаемых из кластера, и щелкните значок . В результате выбранные службы будут перемещены в список «Выбрать».
- Чтобы найти службу в списках, используйте поля поиска.
- Нажмите кнопку <Создать кластер>.
Рисунок 206 – Создание кластера служб OCSP. Шаг 2
В результате будет создан кластер служб OCSP в соответствии с назначенным приоритетом.
Порядок создания кластера на базе существующей пользовательской службы OCSP:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Выделите выбранную пользовательскую службу OCSP в списке и нажмите кнопку <Создать кластер> (см. Рисунок 207).
Рисунок 207 – Инициализация процесса создания кластера служб OCSP
- В открывшемся окне создания кластера (см. Рисунок 208) выполните следующие действия:
- В списке «Выбрать» с помощью флажков выберите URL служб OCSP, которые необходимо объединить в кластер, и щелкните значок . В результате выбранные службы будут перемещены в список «Выбрано».
- Чтобы изменить список служб OCSP, объединяемых в кластер, в списке «Выбрано» с помощью флажков выберите URL служб, исключаемых из кластера, и щелкните значок .
- Чтобы найти службу в списках, используйте поля поиска.
- Нажмите кнопку <Создать кластер>.
Рисунок 208 – Создание кластера из пользовательской службы OCSP
В результате будет создан кластер с URL и приоритетом пользовательской службы OCSP, на основании которой он был создан.
Просмотр состава кластера служб OCSP
Для просмотра служб OCSP, объединённых в кластер, выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Раскройте состав кластер в списке. Для этого в строке выбранного кластера щелкните значок (см. Рисунок 209).
Рисунок 209 –Просмотр состава кластера служб OCSP
- Чтобы скрыть состав кластера, щелкните значок .
Редактирование кластера служб OCSP
Для редактирования состава кластера служб OCSP выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Наведите указателем мыши на выбранный кластер в списке и нажмите кнопку <Редактировать кластер> (см. Рисунок 210).
Рисунок 210 – Инициализация процесса редактирования состава кластера
- В открывшем окне управления кластером (см. Рисунок 211) измените состав кластера и нажмите кнопку <Сохранить изменения>.
- Чтобы добавить службы OCSP в кластер, выберите URL служб в списке «Выбрать» с помощью флажков и щелкните значок . В результате выбранные службы будут перемещены в список «Выбрано».
- Чтобы исключить службы OCSP из кластера, выберите URL служб в списке «Выбрано» с помощью флажков и щелкните значок . В результате выбранные службы будут перемещены в список «Выбрать».
- Чтобы найти службу в списках, используйте поля поиска.
Рисунок 211 – Редактирование состава кластера служб OCSP
Для редактирования параметров кластера служб OCSP выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Наведите указателем мыши на выбранный кластер служб OCSP в списке и нажмите кнопку <Редактировать> (см. Рисунок 212).
Рисунок 212 – Инициализация процесса редактирования параметров кластера
- В открывшемся окне (см. Рисунок 213) в соответствующих полях измените URL, приоритет кластера служб OCSP и нажмите кнопку <Сохранить изменения> (описание и правила заполнения полей см. в разделе 7.10.6.5).
Рисунок 213 – Редактирование параметров кластера службы OCSP
Удаление кластера служб OCSP
Для удаления кластера служб OCSP выполните следующие действия:
- Перейдите на вкладку «Службы OCSP» раздела «Центры валидации».
- Наведите указателем мыши на выбранный кластер в списке и нажмите кнопку <Удалить> (см. Рисунок 214).
Рисунок 214 – Инициализация процесса удаления кластера служб OCSP
- В открывшемся окне (см. Рисунок 215) подтвердите удаление, нажав кнопку <Удалить>.
Рисунок 215 – Подтверждение удаления кластера служб OCSP
В результате кластер служб OCSP будет удален. При этом службы, входящие в кластер, будут исключены из него и доступны в списке служб OCSP.
Получение файлов CRL, Delta CRL и AIA
Получение файлов посредством запуска скрипта из состава программы
Предварительно необходимо подготовить скрипт, отредактировав его исходный код, выполнив команду:
sudo nano /opt/aecaCa/scripts/export‑ca‑data.shВнесите актуальные значения следующих параметров:
- идентификатор ЦС, файлы CRL, Delta CRL и AIA которого будут экспортированы (параметр CA_ID можно выделить, как крайний параметр URL ЦС, например: https://sub01.presale.aeca/access‑certificates/4a660253‑09bf‑4cc6‑a363‑871a9c4cbd8c, где 4a660253‑09bf‑4cc6‑a363‑871a9c4cbd8c – идентификатор ЦС);
- путь к папке хранения сертификата для авторизации в ЦС (параметр CERTIFICATE_PATH), в случае использования значений по умолчанию для этих параметров необходимо создать каталог /opt/aecaCa/dist/account;
- путь к файлу контейнера p12 для авторизации в ЦС (параметр P12_PATH);
- пароль от контейнера p12 для авторизации в ЦС (параметр P12_PASSWORD);
- путь к файлу сертификата для авторизации в ЦС (параметр CERT_PATH), в случае использования значений по умолчанию необходимо создать каталог /opt/aecaCa/dist/account;
- путь к файлу ключа сертификата для авторизации в ЦС (параметр KEY_PATH), в случае использования значений по умолчанию для этих параметров необходимо создать каталог /opt/aecaCa/dist/account;
- хост ЦС (может быть как localhost, так и внешний адрес, параметр SERVICE_HOST);
- путь к папке экспорта файлов CRL, Delta CRL и AIA (параметр DOWNLOAD_PATH);
- задержка между проверками статуса в секундах (параметр STATUS_CHECK_DELAY).
- Для экспорта файлов запустите скрипт, выполнив команду (с правами суперпользователя или sudo):
sudo bash /opt/aecaCa/scripts/export‑ca‑data.shВ результате успешного выполнения скрипта в каталог, указанный в параметре DOWNLOAD_PATH, будут экспортированы файлы CRL, Delta CRL и AIA, а также архив «certificates.zip» со списком сертификатов, выпущенных ЦС, идентификатор которого указан в параметре CA_ID.
Получение файлов посредством использования методов REST API
Для получения файлов CRL, Delta CRL и AIA необходимо аутентифицироваться в программе по сертификату доступа. Аутентификация осуществляется путем обращения к методу идентификации и аутентификации по сертификату доступа публичного API (см. описание метода и пример его использования в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 3. Описание методов REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑3).
В результате аутентификации по сертификату доступа будет получен маркер доступа, который будет использоваться далее.
Если при дальнейшем использовании маркера доступа в ответе на обращение к методам API будет содержаться сообщение об ошибке «Срок действия JWT токена истек», необходимо использовать метод обновления маркера доступа (см. описание метода и пример его использования в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 3. Описание методов REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑3).
Для получения файла CRL необходимо использовать метод получения CRL по идентификатору Центра сертификации (см. описание метода в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 3. Описание методов REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑3).
Пример использования метода (через утилиту curl):
curl ‑k ‑‑location 'https://192.168.111.100/export‑service/api/v2/public/export/certificate‑authorities/e5291624‑fac6‑4d5f‑aee7‑d57be0372489/crl' ‑‑header 'Cookie: token=eyJhbGciOiJSUzUxMiJ9.eyJzZXNzaW9uSWQiOiI2Njc3NGU1ZS1jODkzLTRmOWQtODM4Yy1lMzQzZGQ1MGE3ZjUiLCJpYXQiOjE3MTAzMTIzODAsImV4cCI6MTcxMDMxMjU2MH0.MyycCqr89HeahIsnsn_vUXxeSqwFVlWRJUtPIkVMTbxq7BrzjG1cjFNJ9rEXx9jGKeSaTMbuwhmjX4aODGnPWCSFc18DUCqFA‑85BTYgvGL5ns5kXfCe2Wxmr7oPj‑7XMAzBI98JydXkLEbmRx7F1OTeNW1ZY3JKwKvi9yFxbWrojB3yNq2ak39cvNj4AFKCEBF0nE8UxKPoyXKDXegC0xEv2UK8mhF7Um4od9B1LWlCuNqKExyqTGrlDDKJcYjoWBh49pQFAc3mG_bv7pBtTY7_vwuVNAelBAqj1kUm_scA_l‑gARBh‑oaU_ZTGXNe‑zpXKIiTDM‑uFXLTuImZXRA'где:
192.168.111.100 – IP‑адрес хоста AECA‑CA;
e5291624‑fac6‑4d5f‑aee7‑d57be0372489 – идентификатор ЦС (может быть получен из URL карточки Центра сертификации);
eyJhbGciOiJSUzUxMiJ9.eyJzZXNzaW9uSWQiOiI2Njc3NGU1ZS1jODkzLTRmOWQtODM4Yy1lMzQzZGQ1MGE3ZjUiLCJpYXQiOjE3MTAzMTIzODAsImV4cCI6MTcxMDMxMjU2MH0.MyycCqr89HeahIsnsn_vUXxeSqwFVlWRJUtPIkVMTbxq7BrzjG1cjFNJ9rEXx9jGKeSaTMbuwhmjX4aODGnPWCSFc18DUCqFA‑85BTYgvGL5ns5kXfCe2Wxmr7oPj‑7XMAzBI98JydXkLEbmRx7F1OTeNW1ZY3JKwKvi9yFxbWrojB3yNq2ak39cvNj4AFKCEBF0nE8UxKPoyXKDXegC0xEv2UK8mhF7Um4od9B1LWlCuNqKExyqTGrlDDKJcYjoWBh49pQFAc3mG_bv7pBtTY7_vwuVNAelBAqj1kUm_scA_l‑gARBh‑oaU_ZTGXNe‑zpXKIiTDM‑uFXLTuImZXRA – маркер доступа, полученный в результате аутентификации.
Полученный ответ на обращение к методу (при отсутствии ошибок) необходимо сохранить в файл с расширением «crl».
Для получения файла Delta CRL необходимо использовать метод получения Delta CRL по идентификатору ЦС (см. описание метода в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 3. Описание методов REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑3).
Пример использования метода (через утилиту curl):
curl ‑k ‑‑location 'https://192.168.111.100/export‑service/api/v2/public/export/certificate‑authorities/e5291624‑fac6‑4d5f‑aee7‑d57be0372489/delta‑crl' ‑‑header 'Cookie: token=eyJhbGciOiJSUzUxMiJ9.eyJzZXNzaW9uSWQiOiI2Njc3NGU1ZS1jODkzLTRmOWQtODM4Yy1lMzQzZGQ1MGE3ZjUiLCJpYXQiOjE3MTAzMTIzODAsImV4cCI6MTcxMDMxMjU2MH0.MyycCqr89HeahIsnsn_vUXxeSqwFVlWRJUtPIkVMTbxq7BrzjG1cjFNJ9rEXx9jGKeSaTMbuwhmjX4aODGnPWCSFc18DUCqFA‑85BTYgvGL5ns5kXfCe2Wxmr7oPj‑7XMAzBI98JydXkLEbmRx7F1OTeNW1ZY3JKwKvi9yFxbWrojB3yNq2ak39cvNj4AFKCEBF0nE8UxKPoyXKDXegC0xEv2UK8mhF7Um4od9B1LWlCuNqKExyqTGrlDDKJcYjoWBh49pQFAc3mG_bv7pBtTY7_vwuVNAelBAqj1kUm_scA_l‑gARBh‑oaU_ZTGXNe‑zpXKIiTDM‑uFXLTuImZXRA'где:
192.168.111.100 – IP‑адрес хоста AECA‑CA;
e5291624‑fac6‑4d5f‑aee7‑d57be0372489 – идентификатор ЦС (может быть получен из URL карточки ЦС)
eyJhbGciOiJSUzUxMiJ9.eyJzZXNzaW9uSWQiOiI2Njc3NGU1ZS1jODkzLTRmOWQtODM4Yy1lMzQzZGQ1MGE3ZjUiLCJpYXQiOjE3MTAzMTIzODAsImV4cCI6MTcxMDMxMjU2MH0.MyycCqr89HeahIsnsn_vUXxeSqwFVlWRJUtPIkVMTbxq7BrzjG1cjFNJ9rEXx9jGKeSaTMbuwhmjX4aODGnPWCSFc18DUCqFA‑85BTYgvGL5ns5kXfCe2Wxmr7oPj‑7XMAzBI98JydXkLEbmRx7F1OTeNW1ZY3JKwKvi9yFxbWrojB3yNq2ak39cvNj4AFKCEBF0nE8UxKPoyXKDXegC0xEv2UK8mhF7Um4od9B1LWlCuNqKExyqTGrlDDKJcYjoWBh49pQFAc3mG_bv7pBtTY7_vwuVNAelBAqj1kUm_scA_l‑gARBh‑oaU_ZTGXNe‑zpXKIiTDM‑uFXLTuImZXRA – маркер доступа, полученный в результате аутентификации.
Полученный ответ на обращение к методу (при отсутствии ошибок) необходимо сохранить в файл с расширением «crl».
Для получения файла AIA необходимо использовать метод получения сертификата ЦС по идентификатору ЦС (см. описание метода в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 3. Описание методов REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑3).
Пример использования метода (через утилиту curl):
curl ‑k ‑‑location 'https://192.168.111.100/export‑service/api/v2/public/export/certificate‑authorities/e5291624‑fac6‑4d5f‑aee7‑d57be0372489/certificate' ‑‑header 'Cookie: token=eyJhbGciOiJSUzUxMiJ9.eyJzZXNzaW9uSWQiOiI2Njc3NGU1ZS1jODkzLTRmOWQtODM4Yy1lMzQzZGQ1MGE3ZjUiLCJpYXQiOjE3MTAzMTIzODAsImV4cCI6MTcxMDMxMjU2MH0.MyycCqr89HeahIsnsn_vUXxeSqwFVlWRJUtPIkVMTbxq7BrzjG1cjFNJ9rEXx9jGKeSaTMbuwhmjX4aODGnPWCSFc18DUCqFA‑85BTYgvGL5ns5kXfCe2Wxmr7oPj‑7XMAzBI98JydXkLEbmRx7F1OTeNW1ZY3JKwKvi9yFxbWrojB3yNq2ak39cvNj4AFKCEBF0nE8UxKPoyXKDXegC0xEv2UK8mhF7Um4od9B1LWlCuNqKExyqTGrlDDKJcYjoWBh49pQFAc3mG_bv7pBtTY7_vwuVNAelBAqj1kUm_scA_l‑gARBh‑oaU_ZTGXNe‑zpXKIiTDM‑uFXLTuImZXRA'где:
192.168.111.100 – IP‑адрес хоста AECA‑CA;
e5291624‑fac6‑4d5f‑aee7‑d57be0372489 – идентификатор ЦС (может быть получен из URL карточки ЦС);
eyJhbGciOiJSUzUxMiJ9.eyJzZXNzaW9uSWQiOiI2Njc3NGU1ZS1jODkzLTRmOWQtODM4Yy1lMzQzZGQ1MGE3ZjUiLCJpYXQiOjE3MTAzMTIzODAsImV4cCI6MTcxMDMxMjU2MH0.MyycCqr89HeahIsnsn_vUXxeSqwFVlWRJUtPIkVMTbxq7BrzjG1cjFNJ9rEXx9jGKeSaTMbuwhmjX4aODGnPWCSFc18DUCqFA‑85BTYgvGL5ns5kXfCe2Wxmr7oPj‑7XMAzBI98JydXkLEbmRx7F1OTeNW1ZY3JKwKvi9yFxbWrojB3yNq2ak39cvNj4AFKCEBF0nE8UxKPoyXKDXegC0xEv2UK8mhF7Um4od9B1LWlCuNqKExyqTGrlDDKJcYjoWBh49pQFAc3mG_bv7pBtTY7_vwuVNAelBAqj1kUm_scA_l‑gARBh‑oaU_ZTGXNe‑zpXKIiTDM‑uFXLTuImZXRA – маркер доступа, полученный в результате аутентификации.
Ответ на обращение к методу (при отсутствии ошибок) необходимо сохранить в файл с расширением «pem».
Параметры точек распространения в сертификате
В создаваемых Центром сертификации Aladdin eCA сертификатах субъектов в разделе «x509v3 extensions»:
- В подразделе «x509v3 CRL Distributions Points» указаны URL‑адреса точек распространения CRL в соответствии с перечнем и порядком точек распространения CRL.
- В подразделе «x509v3 Freshest CRL» указаны URL‑адреса точек распространения Delta CRL в соответствии с перечнем и порядком точек распространения Delta CRL.
- В подразделе «Authority Information Access» в полях «CA Issuers» указаны URL‑адреса точек распространения AIA в соответствии с перечнем и порядком точек распространения AIA.
- В подразделе «Authority Information Access» в полях «OCSP» указаны URL‑адреса служб OCSP в соответствии с перечнем и порядком служб OCSP.
Раздел «Журнал событий»
Журнал событий предназначен для выявления случаев нарушения политики безопасности при эксплуатации ЦС Aladdin eCA. В журнале аудита регистрируются системные события, связанные с работой ПО, а также события, связанные с изменениями настроек и действиями пользователей.
Раздел «Журнал событий» предназначен для полного или выборочного просмотра истории событий сервера, формирования и выгрузки журнала событий по заданным критериям.
- Переход в раздел «Журнал событий» (см. Рисунок 216) осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 52).
- Данный раздел доступен только пользователям с ролью «администратор».
Рисунок 216 – Экран раздела «Журнал событий»
- Центр сертификации Aladdin eCA оснащен функцией сбора диагностической информации, которая получает и аккумулирует записи о событиях для последующего анализа в базе данных (имя базы данных по умолчанию, конфигурация базы данных указана в файле /opt/aecaCa/scripts/config.sh).
- В процессе работы Центра сертификации Aladdin eCA системные службы и компоненты приложения регистрируют все производимые действия. Произошедшие события записываются в файлы регистрации событий [1] с расширением .log, расположенные в папках соответствующих сервисов, которыми были инициированы события по пути /opt/aecaCa/dist/logs/’имя сервиса’. Срок хранения файлов регистрации событий составляет 10 дней с ограничением размера в 50 Мб.
- На данном экране (см. Рисунок 216) отображаются все зарегистрированные события (Таблица 23) в виде таблицы с пагинацией.
- В таблице отображены следующие информационные элементы (табличные поля):
- дата события;
- имя учётной записи, действия которой повлекли событие;
- роль (администратор, оператор);
- категория события (информационное, ошибка);
- код события;
- описание.
- В разделе «Журнал событий» доступны следующие операции:
- просмотр подробного описания события в его карточке;
- выгрузка журнала событий в файл формата .csv в объеме, выполненной выборки;
- полный или выборочный просмотр журнала событий.
[1] Файлы регистрации событий, создаваемые в подкаталогах /opt/aecaCa/dist/logs/, имеют права доступа 640 (rw-r-----).
Управление экранной таблицей
- Для каждой колонки экранной таблицы (справа от названия заголовка) доступна кнопка управления действиями <Действия в колонке>. По нажатию данной кнопки разворачивается меню (см. Рисунок 217) в котором возможно (в зависимости от применённых ранее действий – фильтр, сортировка, изменение ширины, скрытие колонки):
- очистить сортировку, если ранее было применено данное действие, и вернуться к отображению всех событий в колонке;
- сортировать по возрастанию/убыванию значений в колонке;
- очистить фильтр, если ранее было применено данное действие, и вернуться к отображению всех событий в колонке;
- отфильтровать, отобразив поле для выбора критерия фильтрации;
- сбросить размер колонок, сбросив ширину колонок к значению «по умолчанию»;
- скрыть колонку из отображаемых на экране;
- показать все колонки, отобразив на экране ранее скрытые колонки.
Рисунок 217 – Кнопка <Действия в колонке>
- Для сброса применённых фильтров следует нажать кнопку <Сбросить фильтр> в результате чего в экранной таблице раздела «Журнал событий» будут отображены все зарегистрированные события.
Рисунок 218 – Кнопка <Сбросить фильтр>
Выборка событий с помощью фильтров
Локальные фильтры расположены в заголовках столбцов списка. Каждый фильтр предназначен для выборки записей о событиях по параметрам, представленным в данном столбце. Вы можете выполнить выборку записей, применив несколько фильтров.
По умолчанию локальные фильтры скрыты. Чтобы раскрыть списки фильтров, нажмите .
Чтобы выполнить выборку записей о событиях, раскройте список фильтра в выбранном столбце и укажите критерии для выборки.
Рисунок 219 – Выборка записей о событиях с помощью локального фильтра
В журнале событий локальные фильтры позволяют отобрать записи о событиях по следующим критериям:
- временной отрезок, за который было зарегистрировано событие;
- имена учетных записей пользователей, которые были инициаторами действий, в результате которых были зарегистрированы события;
- роли учетных записей пользователей, которые были инициаторами действий, в результате которых были зарегистрированы события;
- категории событий, которые отражают информационный характер событий или ошибку;
- коды событий – уникальные идентификаторы событий определенного типа.
Чтобы отменить действие выбранного фильтра, нажмите в заголовке столбца и выберите в списке «Очистить фильтр».
Рисунок 220 – Отмена действия фильтра или исключение выбранных критериев
Чтобы скрыть фильтры, нажмите . При этом действие фильтров не отменяется.
Для полной отмены всех применённых фильтров нажмите кнопку <Сбросить фильтр> на верхней панели раздела «Журнал событий».
Сортировка событий
Средства сортировки событий на экране раздела «Журнал событий» представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 221):
- дата события – упорядочивание осуществляется от старых к новым или от новых к старым записям событий;
- учётная запись – упорядочивание осуществляется в алфавитном порядке;
- роль – упорядочивание осуществляется в алфавитном порядке;
- код события – упорядочивание данных в порядке возрастания или убывания кода.
Рисунок 221 – Поля сортировки содержимого экрана раздела «Журнал событий»
- Для выполнения сортировки по выбранной колонке таблицы нажмите на заголовок выбранной колонки или используйте кнопку <Действие колонки> (см. раздел 7.11.1).
- Сортировка происходит только по одному значению при нажатии на соответствующий заголовок колонки таблицы.
- Активное поле таблицы, по которому выполнена сортировка, обозначено знаком с правой стороны от заголовка таблицы.
- Для сброса сортировки в каждой колонке:
- нажмите кнопку <Действия в колонке> и в раскрывшемся окне выберите пункт «Очистить сортировку» (см. Рисунок 217);
- или несколько раз нажмите на заголовке колонки, для которой применена сортировка.
Поиск событий
Строка поиска (см. Рисунок 225) предназначена для поиска записей событий в журнале по содержимому колонки «Описание» и полям подраздела «Подробности» карточки события. Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.
Рисунок 222 – Поисковая строка в разделе «Журнал событий»
- Для сброса результатов поиска и возврату к полному перечню событий в экранной таблице удалите содержимое строки поиска.
Карточка события
- Просмотр подробного описания события возможен посредством окна «Свойства события» (карточка события).
- Переход к окну «Свойства события» (см. Рисунок 223) осуществляется при нажатии на строку события в разделе «Журнал событий» (см. Рисунок 216).
Рисунок 223 – Окно «Свойства события» (карточка события)
- Карточка события включает в себя следующую информацию:
- подраздел «Общие сведения», содержащий следующие поля:
- «Дата события» – содержит дату и время события;
- «Учетная запись» – содержит логин учетной записи инициатора события;
- «Роль» – содержит роль учетной записи инициатора события;
- «IP‑адрес источника» ‑ IP‑адрес узла, с которого была выполнена аутентификация пользователя (инициатора события);
- «Категория события» – содержит категорию события (Информация или Ошибка);
- «Код события», содержащее код события (список кодов событий см. в таблице ниже (Таблица 23));
- «Описание».
- подраздел «Подробности», содержащий поля расширенного описания события (состав полей см. в таблице ниже (Таблица 23)).
- подраздел «Общие сведения», содержащий следующие поля:
- Доступные действия в карточке события:
- копирование события в буфер обмена (см. раздел 7.11.6);
- закрытие окна с помощью нажатия на кнопку <Закрыть>.
Копирование события в буфер обмена
Для копирования события в буфер обмена следует:
- открыть карточку события (см. Рисунок 223);
- в карточке события нажать на кнопку <Копировать>. При этом происходит копирование содержимого полей карточки события в буфер обмена в формате «Название поля: значение в поле»;
- после этого вставить содержимое буфера обмена (например, в текстовый файл – см. Рисунок 224).
Рисунок 224 – Пример копирования события в текстовый файл
Экспорт журнала событий
- Определите параметры экспортируемого журнала событий, для этого настройте фильтры в соответствии с заданными критериями:
- датой (выбранным периодом);
- учётной записью. Значение учётной записи пользователя и его роли записываются в момент совершения события. В случае редактирования учётной записи пользователя (изменения отображаемого имени или роли учётной записи) запись события остаётся неизменной;
- ролью;
- категорией события;
- кодом события.
- Без применения фильтров, будут экспортированы все события.
- Для выгрузки журнала событий нажмите кнопку <Скачать>, расположенную на верхней панели экрана раздела «Журнал событий». Кнопка меняет своё состояние в зависимости от статуса процесса:
- скачать – система готова к новому формированию и скачиванию журнала событий;
- скачивание выполняется – начинается подготовка файла, содержащего записи журнала событий, соответствующие критериям фильтра или слову для поиска (при отсутствии заданных в фильтре или строке поиска значений будут экспортированы все записи журнала событий). Нажатие на кнопку в текущем состоянии не повлечёт никаких действий;
- скачать (готово) – файл журнала событий готов для скачивания. Нажатие на кнопку запускает скачивание файла журнала событий по указанному пути (в соответствии с настройками веб-браузера). После завершения скачивания файла, статус кнопки возвращается в состояние «Скачать».
- Выгруженный файл имеет формат .csv, содержимое файла представлено в кодировке UTF‑8 с разделителем полей “;” и доступно для открытия любым текстовым редактором (рекомендуемая программа просмотра записей журнала событий – MS Exсel).
- Время хранения записей в журнале событий составляет 180 дней по умолчанию с момента создания журнала (см. раздел 7.11.8 настоящего руководства).
- Возможные сообщения журнала событий приведены в таблице ниже (Таблица 23).
Таблица 23 – Сообщения журнала событий
Причина регистрации события | Код события | Категория события | Содержание описания в журнале |
|---|---|---|---|
Запуск службы | CAENV000 | INFO | Запуск службы:<наименование сервиса>:<параметры запуска если есть> |
Остановка службы | CAENV001 | INFO | Остановка службы:<наименование сервиса> |
Импорт лицензии | CAENV002 | INFO | Импорт лицензии:<CN‑корневого>:<CN‑CA>:<срок действия>:<флаг OCSP>:<кол‑во активных> |
Ошибка импорта лицензии | CAENV003 | ERROR | Ошибка импорта лицензии:<CN‑корневого>:<CN‑CA>:<срок действия>:<флаг OCSP>:<кол‑во активных>:<текст ошибки> |
Проверка лицензии | CAENV004 | INFO | Проверка лицензии:<CN‑корневого>:<CN‑CA>:<срок действия>:<флаг OCSP>:<кол‑во активных> |
Ошибка проверка лицензии | CAENV005 | ERROR | Ошибка проверки лицензии:<CN‑корневого>:<CN‑CA>:<срок действия>:<флаг OCSP>:<кол‑во активных>:<текст ошибки> |
Аутентификация пользователя | CAENV006 | INFO | Аутентификация пользователя:<имя>:<роль>:<серийный номер сертификата>:<тип аутентификации> |
Ошибка аутентификации | CAENV007 | ERROR | Ошибка аутентификации:<серийный номер сертификата>:<текст ошибки> |
Активация центра сертификации | CAENV008 | INFO | Активация центра сертификации:<CN>:<DNS> |
Ошибка активации | CAENV009 | ERROR | Ошибка активации центра сертификации:<CN>:<DNS>:<текст ошибки> |
Создание запроса на сертификат ЦС | CAENV010 | INFO | Успешное создание запроса на сертификат центра сертификации:<CN>:<DNS> |
Ошибка создания запроса | CAENV011 | ERROR | Ошибка создания запроса на сертификат центра сертификации:<CN>:<DNS>:<текст ошибки> |
Импорт сертификата центра сертификации | CAENV012 | INFO | Успешный импорт сертификата центра сертификации и цепочки сертификатов, успешные проверки цепочки сертификатов, успешная проверка сопоставления открытых ключей:<CN>:<CN‑корневого> |
Ошибка импорта сертификата центра сертификации | CAENV013 | ERROR | Ошибка импорта сертификата центра сертификации:<CN>:<CN‑корневого>:<текст ошибки> |
Выпуск сертификата | CAENV014 | INFO | Выпуск сертификата:<CN>:<SAN>:<шаблон>:<вид операции>:<сценарий>:<ресурсная система>:<алгоритм>, где <вид операции> ‑ один из вариантов «PKCS12», «по запросу», <сценарий> ‑ один из вариантов «подпись запроса - подчиненного ЦС», «сертификат учетной записи», «сертификат субъекта» |
Ошибка выпуска сертификата | CAENV015 | ERROR | Ошибка выпуска сертификата:<CN>:<SAN>:<шаблон>:<вид операции>:<сценарий>:<ресурсная система>:<алгоритм>:<текст ошибки> |
Регистрация центра валидации | CAENV016 | INFO | Регистрация центра валидации:<указанный адрес центра валидации> |
Ошибка регистрации | CAENV017 | ERROR | Ошибка регистрации центра валидации:<указанный адрес центра валидации>:<текст ошибки> |
Активация OCSP центра валидации | CAENV018 | INFO | Активация OCSP:<адрес центра валидации>:< серийный номер сертификата> |
Ошибка активации | CAENV019 | ERROR | Ошибка активации OCSP:<адрес центра валидации>:< серийный номер сертификата>:<текст ошибки> |
Настройка периода CRL | CAENV020 | INFO | Настройка периода CRL:<периода CRL>:<перекрытие CRL>:<период DeltaCRL> |
Ошибка настройки | CAENV021 | ERROR | Ошибка настройки периода CRL:<периода CRL>:<перекрытие CRL>:<период DeltaCRL>:<текст ошибки> |
Публикация CRL | CAENV022 | INFO | Публикация CRL:<номер CRL>:<срок действия>:<адрес точки публикации> |
Ошибка публикации | CAENV023 | ERROR | Ошибка публикации CRL:<номер CRL>:<срок действия>:<адрес точки публикации>:<текст ошибки> |
Добавление ресурсной системы | CAENV024 | INFO | Добавление ресурсной системы:<наименование>: <тип>:<адрес>:<точка>:<служебный логин> |
Ошибка добавления | CAENV025 | ERROR | Ошибка добавления ресурсной системы:<наименование>: <тип>:<адрес>:<точка>:<служебный логин>:<текст ошибки> |
Изменение ресурсной системы | CAENV026 | INFO | Изменение ресурсной системы: <наименование>:<тип>:<адрес>:<точка>:<служебный логин> |
Ошибка изменения | CAENV027 | ERROR | Ошибка изменения ресурсной системы: <наименование> :<тип>:<адрес>:<точка>:<служебный логин>:<текст ошибки> |
Синхронизация ресурса | CAENV028 | INFO | Синхронизация ресурса:<наименование>:<кол‑во субъектов> |
Ошибка синхронизации | CAENV029 | ERROR | Ошибка синхронизации ресурса:<наименование>:<кол‑во субъектов>:<текст ошибки> |
Создание учетной записи | CAENV030 | INFO | Создание учетной записи:<лог.имя>:<роль> |
Ошибка создания | CAENV031 | ERROR | Ошибка создания учетной записи:<лог.имя>:<роль>:<текст ошибки> |
Изменение учетной записи | CAENV032 | INFO | Изменение учетной записи:<лог.имя>:<роль>:< серийный номер сертификата> |
Ошибка изменения прав | CAENV033 | ERROR | Ошибка изменения учетной записи:<лог.имя>:<роль>:< серийный номер сертификата>:<текст ошибки> |
Сохранение прав оператора | CAENV034 | INFO | Ввод прав оператора:<лог.имя>:<[список прав]> |
Ошибка сохранения | CAENV035 | ERROR | Ошибка сохранения прав оператора:<лог.имя>:<[список прав]>:<описание ошибки> |
Установка сертификата веб‑сервера | CAENV036 | INFO | Установка сертификата веб ‑сервера:< серийный номер сертификата> |
Ошибка установки | CAENV037 | ERROR | Ошибка установки сертификата веб ‑сервера:< серийный номер сертификата>:<описание ошибки> |
Изменение списка издателей | CAENV038 | INFO | Изменение списка разрешенных издателей:<имя издателя>: <«добавлен» или «удален»> |
Ошибка изменения | CAENV039 | ERROR | Ошибка изменения списка разрешенных издателей:<имя издателя>: <«добавлен» или «удален» >:<текст ошибки> |
Подключение к ключевому носителю | CAENV042 | INFO | Подключение к ключевому носителю:<маркировка носителя>:<тип носителя> |
Ошибка подключения | CAENV043 | ERROR | Подключение к ключевому носителю:<маркировка носителя>:<тип носителя>:<описание ошибки> |
Создание контейнера на ключевом носителе | CAENV044 | INFO | Создание контейнера на ключевом носителе:<маркировка носителя>:<ID‑контейнера>:<алгоритм> |
Ошибка создания | CAENV045 | ERROR | Ошибка создания контейнера на ключевом носителе: <маркировка носителя>:<ID‑сертификата>: <алгоритм>: <описание ошибки> |
Запись сертификата на ключевой носитель | CAENV046 | INFO | Запись сертификата на ключевой носитель:<маркировка носителя>:<ID‑сертификата> |
Ошибка записи | CAENV047 | ERROR | Ошибка запись сертификата на ключевой носитель: <маркировка носителя>:<ID‑сертификата>:<описание ошибки> |
Публикация сертификата в ресурсной системе | CAENV048 | INFO | Публикация сертификата в ресурсной системе:<ресурс>: <CN‑субъекта>:< серийный номер сертификата> |
Ошибка публикации | CAENV049 | ERROR | Ошибка публикации сертификата в ресурсной системе: <ресурс>: <CN‑субъекта>:< серийный номер сертификата>: <текст ошибки> |
Сохранение журнала в CSV | CAENV050 | INFO | Сохранение журнала в CSV:<фильтр> |
Ошибка сохранения | CAENV051 | ERROR | Ошибка сохранения журнала в CSV:<фильтр>:<текст ошибки> |
Генерация CRL | CAENV052 | INFO | Генерация CRL:<номер CRL>:<срок действия> |
Ошибка генерации | CAENV053 | ERROR | Ошибка генерации CRL:<номер CRL>:<срок действия>:<текст ошибки> |
Отправка уведомления на почту | CAENV054 | INFO | Отправка уведомления на почту:<CN>:<email>:<шаблон> |
Ошибка отправки | CAENV055 | ERROR | Ошибка отправки уведомления на почту:<CN>:<email>: <шаблон>:<текст ошибки> |
Отзыв сертификата | CAENV056 | INFO | Отзыв сертификата: после обновления: certSerialNumber: <ID‑сертификата> |
Приостановка сертификата | CAENV057 | INFO | Приостановка сертификата: после обновления: certSerialNumber:<ID‑сертификата> |
Реактивация сертификата | CAENV058 | INFO | Активация сертификата: после обновления: certSerialNumber: <ID‑сертификата>: revocationReason:<Причина отзыва> |
Начало удаления центра сертификации | CAENV059 | INFO | Начало удаления центра сертификации: после обновления: <CN>:<CN‑корневого или подчиненного>, DNS <«суффикс различающегося имени»> |
Окончание удаления центра сертификации | CAENV060 | INFO | Конец удаления центра сертификации: после обновления <CN>:<CN‑корневого или подчиненного>, DNS <«суффикс различающегося имени»> |
Ошибка при удалении центра сертификации | CAENV061 | ERROR | Ошибка удаления центра сертификации:<CN>:<CN‑корневого или подчиненного>, DNS <«суффикс различающегося имени»> :<текст ошибки> |
Начало очистки журнала событий | CAENV064 | INFO | Начало очистки журнала событий |
Окончание очистки журнала событий | CAENV065 | INFO | Конец очистки журнала событий |
Ошибка при очистке журнала событий | CAENV066 | ERROR | Ошибка очистки журнала события: <фильтр>:<текст ошибки> |
Начало архивации журнала событий | CAENV067 | INFO | Начало архивации журнала событий |
Окончание архивации журнала событий | CAENV068 | INFO | Конец архивации журнала событий |
Ошибка при архивации журнала событий | CAENV069 | ERROR | Ошибка архивации журнала события: <фильтр>:<текст ошибки> |
Добавить шаблон сертификата в «Центр регистрации» | CAENV070 | INFO | Добавить шаблон сертификата <наименование шаблона> в «Центр регистрации» |
Ошибка при добавлении шаблона сертификата в «Центр регистрации» | CAENV071 | ERROR | Ошибка при добавлении шаблона сертификата <наименование шаблона> в «Центр регистрации» |
Убрать шаблон сертификата в «Центр регистрации» | CAENV072 | INFO | Убрать шаблон сертификата <наименование шаблона> в "Центр регистрации» |
Ошибка при уборке шаблона сертификата в «Центр регистрации» | CAENV073 | ERROR | Ошибка при уборке шаблона сертификата <наименование шаблона> в «Центр регистрации» |
Успешная проверка контрольных сумм | CAENV074 | INFO | Успешная проверка целостности исполняемых файлов. |
Неуспешная проверка контрольных сумм | CAENV075 | ERROR | Проверка целостности исполняемых файлов прошла неуспешно: <список файлов, которые не удалось проверить> |
Распаковка ключей ЦС | CAENV076 | INFO | Успешная проверка целостности контейнеров закрытых ключей центра сертификации при распаковке. |
Ошибка при распаковке ключей ЦС | CAENV077 | ERROR | Неуспешная проверка целостности контейнеров закрытых ключей центра сертификации при распаковке: <текст ошибки> |
Скачан контейнер PKCS#12 | CAENV078 | INFO | Успешный экспорт контейнера закрытого ключа за пределы программы <серийный номер сертификата в контейнере> |
Скачен сертификат | CAENV079 | INFO | Скачан сертификат |
Скачена цепочка сертификата | CAENV080 | INFO | Скачана цепочка сертификата |
Экспорт запроса на сертификат ЦС | CAENV081 | INFO | Успешный экспорт запроса на сертификат центра сертификации за пределы программы |
Ошибка экспорта запроса на сертификат ЦС | CAENV082 | ERROR | Неуспешный экспорт запроса на сертификат центра сертификации за пределы программы |
Ошибка экспорта контейнера PKCS#12 | CAENV085 | ERROR | Ошибка экспорта контейнера закрытого ключа за пределы программы <серийный номер сертификата в контейнере> |
Успешное создание резервной копии | CAENV086 | INFO | Успешное создание резервной копии <путь к созданной резервной копии> |
Ошибка создания резервной копии | CAENV087 | ERROR | Ошибка создания резервной копии: <текст ошибки> |
Успешное восстановление из резервной копии | CAENV088 | INFO | Успешное восстановление из резервной копии <путь к использованной резервной копии> |
Ошибка восстановления из резервной копии | CAENV089 | ERROR | Ошибка восстановления из резервной копии: <текст ошибки> |
Ошибка синхронизации субъекта | CAENV090 | ERROR | Ошибка синхронизации субъекта: текущее значение: идентификатор субъекта:<идентификатор субъекта>,DN субъекта:<DN субъекта>,идентификатор РС<идентификатор РС>:<причина ошибки> |
Создание правила доступа | CAENV091 | INFO | создание правила доступа: текущее значение: Категория правила доступа: категория правила доступа, Субъекты правила доступа:[cубъекты правила доступа],Объекты правила доступа:[объекты правила доступа],Операции правила доступа:[операции правила доступа] |
Ошибка создания правила доступа | CAENV092 | ERROR | Ошибка создания правила доступа: <текст ошибки> |
Редактирование правила доступа | CAENV093 | INFO | редактирование правила доступа:до обновления: Субъекты правила доступа:[cубъекты правила доступа],Объекты правила доступа:[объекты правила доступа], после обновления:Субъекты правила доступа:[ cубъекты правила доступа],Объекты правила доступа:[объекты правила доступа] |
Ошибка изменения правила доступа | CAENV094 | ERROR | Ошибка изменения правила доступа: <текст ошибки> |
Удаление правила доступа | CAENV095 | INFO | удаление правила доступа: текущее значение: Категория правила доступа: категория правила доступа, Субъекты правила доступа: [cубъекты правила доступа], Объекты правила доступа:[объекты правила доступа],Операции правила доступа:[операции правила доступа] |
Ошибка удаления правила доступа | CAENV096 | ERROR | Ошибка удаления правила доступа: <текст ошибки> |
Добавление Syslog‑сервера | CAENV097 | INFO | Успешное добавление Syslog‑сервера: <адрес хоста>:<порт>: <протокол>:<флаг отправки сообщений> |
Ошибка добавления Syslog‑сервера | CAENV098 | ERROR | Ошибка добавления Syslog‑сервера: <текст ошибки> |
Изменение параметров Syslog‑сервера | CAENV099 | INFO | Успешное изменение параметров Syslog‑сервера: <адрес хоста>: <порт>:<протокол>:<флаг отправки сообщений> |
Ошибка изменения параметров Syslog‑сервера | CAENV100 | ERROR | Ошибка изменения параметров Syslog‑сервера: <текст ошибки> |
Удаление Syslog‑сервера | CAENV101 | INFO | Успешное удаление Syslog‑сервера: <адрес хоста>:<порт>:<протокол>:<флаг отправки сообщений> |
Ошибка удаления Syslog‑сервера | CAENV102 | ERROR | Ошибка удаления Syslog‑сервера: <текст ошибки> |
Создание корневого ЦС | CAENV103 | INFO | Создание корневого ЦС: <Отображаемое имя ЦС>, <Имя ЦС>, <Суффикс различающегося имени>, <Криптопровайдер RSA>, <Криптопровайдер ECDSA>, <Криптопровайдер ГОСТ>, <Срок действия ЦС>, <Алгоритм ключа>, <Длина ключа>, <Алгоритм хэш‑суммы>, <Место хранения закрытого ключа> |
Ошибка создания корневого ЦС | CAENV104 | ERROR | Ошибка создания корневого ЦС: <Отображаемое имя ЦС>, <Имя ЦС>, <Причина ошибки> |
Создание подчиненного ЦС | CAENV105 | INFO | Создание подчиненного ЦС: <Отображаемое имя ЦС>, <Имя ЦС>, <Имя корневого ЦС>, <Суффикс различающегося имени>, <Криптопровайдер RSA>, <Криптопровайдер ECDSA>, <Криптопровайдер ГОСТ>, <Алгоритм ключа>, <Длина ключа>, <Алгоритм хэш‑суммы>, <Место хранения закрытого ключа> |
Ошибка создания подчиненного ЦС | CAENV106 | ERROR | Ошибка создания подчиненного ЦС: <Отображаемое имя ЦС>, <Имя ЦС>, <Причина ошибки> |
Экспорт закрытого ключа ЦС | CAENV107 | INFO | Экспорт закрытого ключа ЦС:<Идентификатор ЦС>: <Отображаемое имя ЦС>:<Имя ЦС>:<Экспортирован из хранилища> |
Ошибка экспорта закрытого ключа ЦС | CAENV108 | ERROR | Ошибка экспорта закрытого ключа ЦС: <Идентификатор ЦС>: <Отображаемое имя ЦС>:<Имя ЦС>:<Хранилище>:<Текст ошибки> |
Скачан закрытый ключ ЦС | CAENV109 | INFO | Скачан закрытый ключ ЦС:<Идентификатор ЦС>: <Отображаемое имя ЦС>:<Имя ЦС> |
Ошибка скачивания закрытого ключа ЦС | CAENV110 | ERROR | Ошибка скачивания закрытого ключа ЦС: <Идентификатор ЦС>: <Отображаемое имя ЦС>:<Имя ЦС>:<Текст ошибки> |
Импорт закрытого ключа ЦС | CAENV111 | INFO | Импорт закрытого ключа ЦС:<Идентификатор ЦС>: <Отображаемое имя ЦС>:<Имя ЦС>:<Импортирован в хранилище> |
Ошибка импорта закрытого ключа ЦС | CAENV112 | ERROR | Ошибка импорта закрытого ключа ЦС: <Идентификатор ЦС>: <Отображаемое имя ЦС>:<Имя ЦС>:<Хранилище>:<Текст ошибки> |
Создание ключевой пары | CAENV113 | INFO | Создание ключевой пары: <Тип владельца>, <ID владельца>, <Алгоритм>, <Длина ключа>, <Криптопровайдер>, <Место создания>, <Экспортируемость> |
Ошибка создания ключевой пары | CAENV114 | ERROR | Ошибка создания ключевой пары: <Тип владельца> (может отсутствовать), <ID владельца> (может отсутствовать), <Алгоритм> (может отсутствовать), <Длина ключа> (может отсутствовать), <Криптопровайдер> (может отсутствовать), <Место создания> (может отсутствовать), <Экспортируемость> (может отсутствовать), <Тест ошибки> |
Удаление закрытого ключа ЦС | CAENV115 | INFO | Удаление закрытого ключа ЦС: <Идентификатор ЦС>, <Отображаемое имя ЦС>, <Имя ЦС>, <Место хранения закрытого ключа> |
Ошибка удаления закрытого ключа ЦС | CAENV116 | ERROR | Ошибка удаления закрытого ключа ЦС: <Идентификатор ЦС> (может отсутствовать), <Отображаемое имя ЦС> (может отсутствовать), <Имя ЦС> (может отсутствовать), <Место хранения закрытого ключа> (может отсутствовать), <Тест ошибки> |
Создание корневого ЦС на основании контейнера PKCS#12 | CAENV117 | INFO | Создание корневого ЦС на основании контейнера PKCS#12: <Отображаемое имя ЦС>, <CN ЦС>, <Конфигурация криптопровайдеров ЦС>, <Срок действия>, <Алгоритм ключа>, <Длина ключа>, <Алгоритм хэш-суммы>, <Место хранения закрытого ключа> |
Ошибка создания корневого ЦС на основании контейнера PKCS#12 | CAENV118 | ERROR | Ошибка создания корневого ЦС на основании контейнера PKCS#12: <Отображаемое имя ЦС> (может отсутствовать), <CN ЦС> (может отсутствовать), <Конфигурация криптопровайдеров ЦС> (может отсутствовать), <Срок действия> (может отсутствовать), <Алгоритм ключа> (может отсутствовать), <Длина ключа> (может отсутствовать), <Алгоритм хэш-суммы> (может отсутствовать), <Место хранения закрытого ключа> (может отсутствовать), <Тест ошибки> |
Создание подчиненного ЦС на основании контейнера PKCS#12 | CAENV119 | INFO | Создание подчиненного ЦС на основании контейнера PKCS#12: <Отображаемое имя ЦС>, <CN ЦС>, <Конфигурация криптопровайдеров ЦС>, <Срок действия>, <Алгоритм ключа>, <Длина ключа>, <Алгоритм хэш-суммы>, <Место хранения закрытого ключа> |
Ошибка создания подчиненного ЦС на основании контейнера PKCS#12 | CAENV120 | ERROR | Ошибка создания подчиненного ЦС на основании контейнера PKCS#12: <Отображаемое имя ЦС> (может отсутствовать), <CN ЦС> (может отсутствовать), <Конфигурация криптопровайдеров ЦС> (может отсутствовать), <Срок действия> (может отсутствовать), <Алгоритм ключа> (может отсутствовать), <Длина ключа> (может отсутствовать), <Алгоритм хэш-суммы> (может отсутствовать), <Место хранения закрытого ключа> (может отсутствовать), <Тест ошибки> |
Архивирование и очистка журнала событий
- Центр сертификации Aladdin eCA обеспечивает настраиваемое архивирование событий с одновременной очисткой журнала событий в части заархивированных событий.
- Для настройки параметров архивации и очистки отредактируйте переменные окружения, используемые сервисом logs‑service в конфигурационном файле /opt/aecaCa/scripts/config.sh:
- archive_millis_ago– время хранения событий (по умолчанию 180 дней) в миллисекундах. Записи со сроком давности большим или равным времени хранения будут заархивированы;
- archive_cron– периодичность запуска архивации (значение указывается в формате CRON‑выражения, значение по умолчанию – ‘0 0 0 1 * *’). По умолчанию процесс архивации будет запущен при наступлении первого числа каждого месяца;
- archive_path– путь сохранения сформированного архива.
- Архив в формате .zip, содержащий .csv файл, с именем logs‑<дата и время создания архива>.zip будет сохранён на сервере, где развёрнут Центр сертификации Aladdin eCA, в папке (по умолчанию) /opt/aecaCa/dist/archive.
Раздел «Шаблоны»
Расширить возможности ЦС возможно при помощи создания специализированных индивидуальных шаблонов сертификатов.
- Переход в раздел «Шаблоны» (см. Рисунок 225) осуществляется через боковое меню, расположенное слева на экране (см. Рисунок 52).
Рисунок 225 – Экран раздела «Шаблоны»
- На экранной таблице раздела «Шаблоны» отображены следующие колонки:
- условное обозначение вида шаблона:
- – предустановленные по умолчанию шаблоны, созданные в момент установки Центра сертификации Aladdin еСА. Данный вид шаблонов не подлежит редактированию;
- – клонированные шаблоны для редактирования с целью создания нового шаблона с заданными параметрами;
- – импортированные шаблоны (например, из MS CS).
- имя – содержит название шаблона. В случае клонирования предустановленного шаблона или импортированного по умолчанию будет предложено имя в формате «Копия_`имя исходного шаблона`», при клонировании импортированного шаблона по умолчанию будет предложено имя шаблона в формате «``»;
- создано сертификатов – количество сертификатов, выпущенных по данному шаблону;
- дата создания – дата создания (клонирования) шаблона;
- центр сертификации – ЦС, в котором будет выполняться выпуск сертификатов по данному шаблону. Если в данном параметре шаблона указано значение «Любой», то выпуск сертификатов по данному шаблону доступен в любом ЦС. При этом для выпуска сертификатов будет использоваться активный в данный момент ЦС. Для предустановленных шаблонов данный параметр всегда имеет значение «Любой»;
- условное обозначение вида шаблона:
Внимание! При обновлении ПО с версии 2.1 до версии 2.2 всем шаблонам для параметра «Центр сертификации» устанавливается значение «Любой».
- тип субъекта – определяет тип субъекта, для которого предназначен данный шаблон (корневой ЦС, подчинённый ЦС, устройство, пользователь).
Внимание! При обновлении ПО с версии 2.1 до версии 2.2 ранее применяемый для шаблонов параметр «Тип сертификата» преобразовывается в параметр «Тип субъекта» по следующим правилам. Шаблон с типом сертификата «Корневой» принимает значение для типа субъекта «Корневой ЦС». Шаблон с типом сертификата «Подчиненный» принимает значение для типа субъекта «Подчиненный ЦС». Шаблон с типом сертификата «Пользовательский» принимает значение для типа субъекта «Пользователь» (за исключением шаблонов по умолчанию «WEB‑Server», «ECA‑WEB‑Server», «OCSP Signer», «Domain Controller», «ALD PRO Domain Controller», «SCEP Management», для которых устанавливается заначение типа субъекта «Устройство»).
- Просмотр набора полей предустановленных шаблонов[1] возможен по клику «мышкой» на выбранный шаблон. Список предустановленных шаблонов:
- User;
- WEB-Client;
- WEB-Server;
- Domain Controller;
- Smartcard Logon;
- S/MIME;
- ALD PRO Domain Controller;
- ALD PRO Smartcard Logon;
- OCSP Signer;
- Root CA;
- Sub CA;
- SCEP Management;
- [Deprecated] ECA-Auth;
- [Deprecated] ECA-User;
- [Deprecated] Domain Controller;
- [Deprecated] Smartcard Logon;
- [Deprecated] WEB-Client;
- [Deprecated] WEB-Server;
- [Deprecated] ECA-WEB-Server;
- [Deprecated] S/MIME;
- [Deprecated] ALD PRO Domain Controller;
- [Deprecated] ALD PRO Smartcard Logon;
- [Deprecated] OCSP Signer;
- [Deprecated] Root CA;
- [Deprecated] Sub CA;
- [Deprecated] SCEP Management.
Внимание! При обновлении ПО до версии 2.2 все предустановленные в версии 2.1 шаблоны считаются устаревшими (в названия шаблонов добавлена пометка [Deprecated]). В набор шаблонов добавлены копии устаревших шаблонов с измененными параметрами (за исключением шаблонов «ECA-WEB-Server» и «ECA-Auth»). Шаблон «ECA-User» переименован в «User».
- Действия доступные над всеми видами шаблонов:
- просмотр полного списка шаблонов или по результатам поиска;
- загрузка новых шаблонов сертификатов MS CS;
- клонирование (создание) шаблона;
- поиск шаблонов;
- сортировка шаблонов.
- Действия доступные над клонированными и импортированными видами шаблонов:
- редактирование шаблона;
- сохранение результатов редактирования шаблона;
- удаление шаблона или массовое удаление шаблонов.
- Добавленные шаблоны доступны для использования на вкладке
- Все шаблоны на экране раздела отображаются в виде таблицы с пагинацией.
[1] Значения полей шаблонов сертификатов по умолчанию см. в Приложении 2 «Описание полей предустановленных шаблонов сертификатов».
Поиск шаблонов
Строка поиска (см. Рисунок 226) предназначена для поиска шаблонов в экранной таблице по содержимому колонки «Имя». Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.
Рисунок 226 – Поисковая строка в разделе «Шаблоны»
- Для сброса результатов поиска и возврату к полному перечню шаблонов в экранной таблице удалите содержимое строки поиска.
Сортировка шаблонов
- Средство сортировки списка шаблонов представлено элементом выбора направления сортировки в заголовках колонок экранной таблицы (см. Рисунок 225) – полями «Имя» (сортировка в алфавитном порядке), «Дата создания» (сортировка в порядке убывания/возрастания), «Тип субъекта» (упорядочивание по типу субъекта в алфавитном порядке), по виду шаблона (предустановленный, импортированный, клонированный), «Центр сертификации» (упорядочивание по названию центра сертификации в алфавитном порядке).
- Сортировка происходит только по одному значению при нажатии на соответствующий заголовок колонки таблицы.
- Активное поле таблицы, по которому выполнена сортировка, обозначено знаком с правой стороны от заголовка таблицы.
- Для сброса сортировки в колонке несколько раз нажмите на заголовке колонки, для которой применена сортировка.
Карточка шаблона
- Для просмотра карточки шаблона необходимо щёлкнуть левой кнопкой мыши на нужном шаблоне на главном экране вкладки «Шаблоны».
Рисунок 227 – Окно карточки шаблона
- В открывшемся окне администратору доступны:
- кнопка возврата на вкладку «Шаблоны»;
- кнопка для клонирования текущего шаблона;
- кнопка <Сохранить> для записи изменений полей текущего шаблона, доступная для всех шаблонов, кроме предустановленных;
- поле «Имя шаблона»;
- поле «Идентификатор» содержит постоянный идентификатор шаблона;
- дата и время создания шаблона (для предустановленных шаблонов – это дата и время развёртывания/обновления Центра сертификации, для импортируемых шаблонов – это дата и время загрузки шаблонов в ЦС, для новых шаблонов – это дата и время клонирования шаблона);
- дата и время изменения шаблона;
- информация, сформированная в виде вкладок «Свойства», «Расширения», «Компоненты имени сертификата».
Вкладка шаблона «Свойства»
На вкладке шаблона «Свойства» доступны поля (см. Рисунок 228):
- общие:
- поле «Период действия сертификата». Формат ввода: 1d,1m,1y ‑ час, день, месяц, год;
- поле «Центр сертификации» ‑ ЦС, в котором возможен выпуск сертификатов по данному шаблону.
- поле «Тип субъекта» ‑ определяет тип субъекта, для которого предназначен данный шаблон (корневой ЦС, подчинённый ЦС, устройство, пользователь).
- чек‑бокс «Публиковать сертификат в ресурсную систему».
- Шифрование (перечень доступных алгоритмов зависит от криптопровайдеров выбранного для данного шаблона ЦС – издателя сертификатов):
- RSA;
- ECDSA
- ГОСТ Р 34.10‑2012.
Рисунок 228 – Вкладка «Свойства» шаблона сертификата
Вкладка шаблона «Расширения»
На вкладке шаблона «Расширения» доступны:
- список с множественным выбором «Использование ключа»;
- чек‑бокс «Считать это расширение критическим» для списка «Использование ключа»;
- список с множественным выбором «Расширенное использование ключа»;
- кнопка рядом со списком «Расширенное использование ключа», при нажатии на которую открывается модальное окно «Идентификаторы расширенного использования ключа», в котором есть возможность создавать пользовательские идентификаторы расширенного использования ключа (подробнее см. раздел 7.12.11). Кнопка доступна только для шаблонов, не входящих в перечень предустановленных[1];
- чек‑бокс «Считать это расширение критическим» для списка «Расширенное использование ключа»;
- чек‑бокс «Включить SID субъекта в сертификат». При включенной опции в поле сертификата субъекта с OID 1.3.6.1.4.1.311.25.2 будет записан его SID (при наличие данного атрибута у субъекта). SID может быть получен только для субъектов ресурсных систем MS AD, SambaDC, РЕД АДМ и Альт Домен.
- список с возможностью удаления и добавления элементов «OID политики сертификата»;
- чек‑бокс «Считать это расширение критическим» для списка «OID политики сертификата».
Рисунок 229 – Вкладка «Расширения» шаблона сертификата
При наведении курсора на значения в поле «Расширенное использование ключа», а также на значения в выпадающем списке, отображается всплывающая подсказка, содержащая «OID» и «Описание» выбранного значения (см. Рисунок 230).
Рисунок 230 – Всплывающая подсказка значения расширенного использования ключа
Вкладка шаблона «Компоненты имени сертификата»
На вкладке шаблона «Компоненты имени сертификата» доступны (см. Рисунок 231):
- отличительное имя субъекта;
- альтернативное имя субъекта.
Рисунок 231 – Вкладка «Компоненты имени сертификата» шаблона сертификата
[1] Перечень предустановленных шаблонов см. в Приложении 2 «Описание полей предустановленных шаблонов сертификатов».
Создание нового шаблона
- Создание индивидуального шаблона возможно на базе существующих в системе шаблонов и состоит из трёх этапов:
- клонирования выбранного шаблона;
- редактирование клонированного шаблона в соответствии со спецификой индивидуального шаблона;
- сохранения изменений, внесённых в клонированный шаблон.
Клонирование шаблона
- Выделите предустановленный шаблон на вкладке «Шаблоны» указателем «мышь».
- Нажмите появившуюся в строке кнопку <Клонировать> .
- В открывшемся окне подтверждения действия (см. Рисунок 232) при необходимости отредактируйте имя нового шаблона в соответствующем поле и нажмите кнопку <Клонировать> для создания нового шаблона на основании выбранного предустановленного шаблона.
- Имя нового шаблона должно быть уникально, может содержать кириллицу, латиницу, любые символы, ограничители ввода между параметрами – пробелы, длина вводимого имени не ограничена с максимальной памятью до 1 Гб.
- Если имя сохраняемого шаблона не уникально, ниже поля ввода имени шаблона появится текстовое предупреждение, и операция сохранения не будет выполнена.
- Для прерывания действия клонирования шаблона нажмите кнопку <Отмена>.
Рисунок 232 – Экран раздела меню «Шаблоны»
- В случае успешного клонирования шаблона сертификата администратор будет уведомлен сообщением на экране «Шаблон успешно клонирован». В результате создаётся полная копия выбранного шаблона.
Редактирование шаблона
- Редактирование применимо для клонированного шаблона или импортированного (загруженного) шаблона MS CS.
- Редактирование предустановленных шаблонов недоступно.
- Для выбранного шаблона доступны для редактирования элементы, указанные в таблице ниже (Таблица 24).
Таблица 24 – Поля шаблона, доступные для изменения через графический интерфейс
Название | Тип | Допустимые значения | |
|---|---|---|---|
Имя шаблона | Строка | Ограничение: 255 символов | |
Вкладка «Свойства» | |||
Раздел «Свойства» | Период действия сертификата | Строка | *y *mo *d Значение не может превышать 25 лет |
Центр сертификации | Список | ● список созданных центров сертификации; ● любой. | |
Тип субъекта | Список | ● корневой Центр сертификации; ● подчинённый Центр сертификации; ● устройство; ● пользователь. | |
Раздел «Шифрование» | Алгоритм ключа | Три чек‑бокса | ● RSA ● ECDSA ● ГОСТ Р 34.10‑2012 Доступно включение всех чек‑боксов одновременно |
Минимальная длина ключа | Три списка (список для каждого чек‑бокса) | RSA: ● 1024 ● 1536 ● 2048 ● 3072 ● 4096 ● 6144 ● 8192 ECDSA: ● 256 ● 384 ● 521 ГОСТ Р 34.10‑2012: ● 256 ● 512 | |
Вкладка «Расширения сертификата» | |||
Использование ключа | Список с множественным выбором | ● Цифровая подпись ● Подтверждение подлинности ● Шифрование ключей ● Шифрование данных ● Согласование ключей ● Подпись сертификатов ● Подпись списков отзыва ● Только шифрование ● Только расшифрование | |
Чек‑бокс «Считать это расширение критическим» для поля «Использование ключа» | Чек‑бокс | ● Включен ● Выключен | |
Чек‑бокс «Включать SID субъекта в сертификат | Чек‑бокс | ● Включен ● Выключен | |
Расширенное использование ключа | Список с множественным выбором | ● Любое расширенное использование ключа ● CSN 369791 TLS клиент ● CSN 369791 TLS сервер ● Аутентификация клиента ● Подписание кода ● EAP через LAN (EAPOL) ● EAP через PPP ● Подписание ETSI TSL ● Защита электронной почты ● ICAO подписание списка отклонений ● Управление Intel AMT ● Интернет‑обмен ключами для IPsec ● Аутентификация клиента Kerberos ● Центр распространения ключей Kerberos ● Подписание коммерческого MS кода ● Подписание MS документа ● Восстановление MS EFS ● Зашифрованная MS файловая система ● Подписание индивидуального MS кода ● Вход с MS смарт‑картой ● OCSP подписант ● Подписание Adobe PDF ● Аутентификация PIV карты ● SCVP клиент ● SCVP сервер ● Домен SIP ● SSH клиент ● SSH сервер ● Аутентификация сервера ● Отметка времени ● ICAO подписание основного списка | |
Чек‑бокс «Считать это расширение критическим» для поля «Расширенное использование ключа» | Чек‑бокс | ● Включен ● Выключен | |
OID политики сертификата | Поле ввода | OID в формате, определенном стандартом ITU X.660 | |
Чек‑бокс «Считать это расширение критическим» для поля «OID политики сертификата» | Чек‑бокс | ● Включен ● Выключен | |
Вкладка «Компоненты имени сертификата» | |||
Отличительное имя субъекта (SDN) | Список с множественным выбором | ● Common name ● Unique Identifier (UID) ● Given name ● Initials ● Surname ● Organizational Unit ● Organization ● Locality ● State or Province ● Domain Component ● Country ● Postal Code ● Business Category ● Telephone number ● Pseudonym ● Postal address ● Street ● Name ● Title ● Domain qualifier ● Description ● Unstructured address ● Unstructured name ● Email Address (E) ● Serial number ● ИНН ● ОГРН ● ОГРНИП ● СНИСЛ ● ИНН ЮЛ | |
Чек‑бокс «Обязательное» для полей отличительного имени субъекта (SDN) | Чек‑бокс | ● Включен ● Выключен Значение по умолчанию (при добавлении нового поля) – выключен. Доступен для каждого поля отличительного имени субъекта. | |
Чек‑бокс «Валидация» для полей отличительного имени субъекта (SDN) | Чек‑бокс | ● Включен ● Выключен Значение по умолчанию (при добавлении нового поля) – выключен. | |
Альтернативное имя субъекта (SAN) | Список с множественным выбором | ● RFC 822 Name ● DNS Name ● IP address ● Directory Name ● Uniform resource identifier ● Registered Identifier (OID) ● MS UPN, User Principal Name ● MS GUID, Globally Unique Identifier ● Kerberos KPN, Kerberos 5 Principal Name ● Permanent Identifier ● Xmpp address ● Service Name ● Subject Identification Method | |
Чек‑бокс «Обязательное» для полей альтернативного имени субъекта (SAN) | Чек‑бокс | ● Включен ● Выключен Значение по умолчанию (при добавлении нового поля) – выключен. Доступен для каждого поля альтернативного имени субъекта. | |
Чек‑бокс «Валидация» для полей альтернативного имени субъекта (SAN) | Чек‑бокс | ● Включен ● Выключен Значение по умолчанию (при добавлении нового поля) – выключен. | |
- Для полей «Отличительное имя субъекта» (SDN) и «Альтернативное имя субъекта» (SAN) во вкладке «Компоненты имени сертификата» доступна функция поиска при выборе значений (см. Рисунок 233 и Рисунок 234).
Рисунок 233 – Поиск при выборе значения в поле «Отличительное имя субъекта»
Рисунок 234 – Поиск при выборе значения в поле «Альтернативное имя субъекта»
- При выборе параметров шифрования выбирается минимальная длина ключа, т.е. при выпуске сертификата по данному шаблону для выбора минимальной длины ключа будут доступны значения начиная от установленного минимального и все значения более установленного минимального значения длины ключа.
- Формат ввода периода действия сертификата: 1d,1m,1y ‑ час, день, месяц, год.
- Используйте предлагаемые чек‑боксы для дополнительной настройки шаблона сертификата:
- Если включен чек‑бокс «Считать это расширение критическим» для расширения, оно помечается как критическое при создании сертификата по данному шаблону (см. Рисунок 235). При обработке сертификата, имеющего атрибуты, для которых установлены чек‑боксы «Считать это расширение критическим», могут быть отклонены, если правила обработки полей сертификатов системы не содержат отмеченных атрибутов (подробнее см. стандарт RFC 5280).
Рисунок 235 – Поле чек‑бокса «Считать это расширение критическим»
- При включенном чек‑боксе «Обязательное» для поля будет необходимо указать минимум одно значение в процессе создания сертификата по данному шаблону, а при выключенном чек‑боксе значения для данного поля могут быть не указаны. При включенном чек‑боксе «Валидации» для поля будет выполняться валидация значений, указываемых пользователем для данного поля в процессе создания сертификата (см. Рисунок 236).
Рисунок 236 – Поле чек‑бокса «Обязательное» и «Валидация»
- Используйте кнопки <Добавить поле> (см. Рисунок 237) на вкладках шаблона «Расширения» и «Компоненты имени сертификата» для формирования специализированного шаблона сертификата.
Рисунок 237 – Кнопка <Добавить поле> шаблона специализированного сертификата
Сохранение внесённых изменений в шаблон
- Для сохранения внесённых изменений в шаблоне нажмите кнопку в карточке шаблона <Сохранить> , расположенную в правом верхнем углу экранной формы. Сохранение изменений происходит без подтверждения.
- При переходе обратно на текущую вкладку «Шаблоны» или другую вкладку в случае, если предварительно внесённые в редактируемый шаблон изменения не были сохранены, появляется окно подтверждения действия (см. Рисунок 238), в котором при нажатии кнопки:
- <Покинуть страницу> внесённые изменения в текущем шаблоне будут утеряны и осуществлён выход из карточки шаблона;
- <Отмена> будет осуществлено закрытие окна подтверждения и возврат к редактируемой карточке шаблона.
Рисунок 238 – Подтверждение выхода из карточки шаблона без сохранения изменений
Удаление шаблона
- Данная функция применима только для созданных, клонированных и загруженных шаблонов.
- Данная функция НЕ применима для предустановленных шаблонов.
- При наведении на строку с нужным шаблоном будет доступна иконка <Удалить>. После нажатия на кнопку <Удалить> будет выведено на экран окно подтверждения действия (см. Рисунок 239), где возможно отменить выбранное действие, нажав кнопку <Отмена>, или подтвердить удаление выбранного шаблона, нажав кнопку <Удалить>.
Рисунок 239 – Окно подтверждения удаления шаблона сертификата
- В случае успешного выполнения удаления шаблона сертификата администратор будет уведомлен сообщением на экране «Шаблон успешно удалён».
- Выбранный шаблон удаляется из системы и становится недоступным для всех операций. Сертификаты, выпущенные на этом шаблоне, остаются действительными.
Массовая операция (удаления) с шаблонами
- Для массовой операции удаления, применяемой к выбранному множеству шаблонов, нажмите кнопку <Массовые операции>, которая запускает окно выполнения массовой операции.
- В открывшемся окне (см. Рисунок 240) до применения поиска в левом столбце окна будут отображены первые 100 шаблонов в алфавитном порядке. В случае, если найдено более 100 шаблонов, то требуется уточнить параметры в строке поиска. Также поиск возможно осуществить по имени шаблона, который подлежит удалению. Поиск производится для видов шаблонов: импортированный и клонированный, к которым применима операция удаления.
- Выберите, найденные сертификаты, отметив их флажками .
- Перенесите отмеченные флажками сертификаты в правую часть окна, нажав кнопку , которая находится между правой и левой частью окна выполнения операции.
Рисунок 240 – Окно выполнения массовых операций. Шаг 2. Создание списка выбранных шаблонов
- В случае необходимости исключения из выбранных шаблонов, к которым будет применена массовая операция, отметьте флажками шаблоны из списка в правой части окна, и нажмите кнопку (см. Рисунок 241).
Рисунок 241 – Окно выполнения массовых операций. Шаг 2. Редактирование списка выбранных шаблонов
- Для перехода на следующий шаг нажмите кнопку <Продолжить>.
- В открывшемся окне подтвердите действие, нажав кнопку «Применить» (см. Рисунок 242).
Рисунок 242 – Окно выполнения массовых операций. Шаг 3
- В случае успешного выполнения операции администратор будет уведомлён на шаге 4.
Рисунок 243 – Окно выполнения массовых операций. Шаг 4
Шаблоны MSCS
Экспорт шаблонов из MSCS
- Для экспорта шаблонов запустите скрипт ps1 из комплекта поставки на рабочем месте с установленным Центром сертификации MSCS от имени администратора.
- Для успешного выполнения скрипта необходимо интернет‑соединение. Для успешного выполнения скрипта в оффлайн режиме требуется предварительно скачать и установить пакет NuGet.
- Cкрипт запускается как консольное приложение и работает в режиме командной строки, графический интерфейс не предусмотрен. Запуск скрипта произвести от имени администратора.
- Результатом работы скрипта является сохранение всех шаблонов сертификатов из MSCS в папку C:\temp\ на хосте.
- Шаблоны сохраняются в формате .csv с разделителем точка с запятой.
- При импорте шаблона из MSCS к названию шаблона должен добавляться префикс «MSCS_». Если в системе уже существует шаблон, совпадающий с именем импортируемого, то к имени импортируемого должен добавляться суффикс «_1» и т.д. (счетчик копий).
Загрузка шаблона MSCS
Для загрузки полученных шаблонов MSCS в Центр Сертификации Aladdin Enterprise CA:
- нажмите кнопку <Загрузить шаблоны> . В открывшемся окне выберите .csv файл шаблонов MSCS в локальной папке и нажмите кнопку <Открыть>.
- В результате шаблоны MSCS будут импортированы, и администратор будет уведомлён сообщением на экране «ХХ шаблонов успешно загружено», где «ХХ» ‑ количество успешно загруженных шаблонов (см. Рисунок 244).
Рисунок 244 – Уведомление об успешной загрузке шаблонов MSCS
- В случае, если шаблоны не были импортированы, администратор будет уведомлен сообщением «Невозможно загрузить шаблоны» (см. Рисунок 244).
Рисунок 245 – Уведомление о неудачной загрузке шаблонов MSCS
- Поля, загружаемые из файла импорта шаблонов MSCS, приведены в таблице ниже (Таблица 25).
Таблица 25 – Поля, загружаемые из файла шаблонов MSCS
Название поля в файле | Описание | Название поле в AECA |
|---|---|---|
TmplName | Имя шаблона | Имя шаблона |
DN | Отличительное имя | Отличительное имя |
SubjName | Альтернативное имя субъекта и требование обязательности в одной строке | Альтернативное имя субъекта; флажок «Обязательное» |
Alghoritm | Алгоритм шифрования | Алгоритм шифрования |
AlgMinLen | Минимальная длина ключа | Минимальная длина ключа |
ValidPeriod | Период действия | Период действия |
KeyUsage, CritExts | Использование ключа | Использование ключа; флажок «считать это расширение критическим» |
EKU, CritExts | Расширенное использование ключа | Расширенное использование ключа; флажок «считать это расширение критическим» |
Polices, CritExts | Политики | OID политики сертификата; флажок «считать это расширение критическим» |
- При импорте шаблонов из MSCS значение параметра «Тип субъекта» для импортируемого шаблона определятся на основании значения в поле «SubjType»:
- значение «User» ‑ тип субъекта «Пользователь»;
- значение «Computer» ‑ тип субъекта «Устройство»;
- значение «CA» ‑ тип субъекта «Корневой ЦС»;
- значение «CrossCA» ‑тип субъекта «Подчиненный ЦС».
- При импорте шаблонов из MSCS для параметра «Центр сертификации» импортируемого шаблона будет установлено значение «Любой».
- При повторной загрузке файла шаблонов MSCS, все шаблоны будут загружены повторно. Имя шаблона будет сформировано из значения, записанного в поле шаблона «TmplName», и присвоением порядкового номера (счетчик копий).
Работа с шаблонами сертификатов
- Загруженные и созданные шаблоны доступны для использования при выпуске сертификатов на вкладке «Сертификаты» и «Субъекты» (см. раздел 7.4 и 7.7 настоящего Руководства администратора).
Идентификатор шаблона
- При формировании заявки на сертификат необходимо указывать идентификатор шаблона – название шаблона или его идентификатор.
- Идентификатор нового (клонированного) шаблона возможно выделить из URL шаблона. Откройте созданный шаблон, выделите адрес, указанный в строке веб-браузера, определите идентификатор шаблона, исходя из структуры URL‑адреса. Например:
https://172.22.5.21/template/8548d5dc‑c063‑40f9‑842d‑3e35326fca01имеет структуру
протокол://ip‑адрес или имя сервера ЦС/наименование раздела/идентификатор шаблонаТаким образом, идентификатор созданного шаблона имеет вид 8548d5dc‑c063‑40f9‑842d‑3e35326fca01.
- Для предустановленных шаблонов идентификаторы приведены в таблице ниже (Таблица 26).
Таблица 26 – Идентификаторы предустановленных шаблонов
Название шаблона | Идентификатор |
|---|---|
ALD PRO Domain Controller | 11ec34a4‑d03e‑4059‑92f0‑9c09b08bffea |
ALD PRO Smartcard Logon | 18d9bd4e‑6f15‑423f‑8137‑ac8416ad6874 |
Domain Controller | bf2dac0a‑f05f‑49dd‑95b4‑e50691489b6a |
ECA‑Auth | 8ecba810‑7f48‑4c4e‑b803‑99a97146e2ba |
OCSP Signer | aac2e49b‑9c8e‑4869‑80c1‑eef526ba75ab |
Root CA | 9129245a‑eaad‑4ebc‑a2a4‑8845ac0336fb |
Smartcard Logon | aa03e458‑50cd‑46b8‑82cd‑d5612ed3b647 |
S/MIME | 0c234243‑18cf‑4c05‑b699‑537731b2436f |
Sub CA | af3b0355‑1798‑4c64‑98f7‑a9c70407db1c |
WEB‑Client | 059a38f5‑f345‑4275‑b79f‑e7e6cc3cbb68 |
WEB‑Server | 08c66f99‑218a‑46ef‑bdee‑6a2b3b26a4f1 |
SCEP Management | 3e5df3d4‑683c‑4252‑b862‑467589c2225b |
ECA‑WEB‑server | 25bbd733‑4d8c‑43ce‑ba5a‑e9826eb7b16c |
ECA‑User | 2d58b30c‑3965‑4555‑9af4‑fec4552af21e |
Работа с идентификаторами расширенного использования ключа
Модальное окно «Идентификаторы расширенного использования ключа» (см. Рисунок 246) обеспечивает возможность просмотра идентификаторов расширенного использования ключа, а также создание и удаление пользовательских идентификаторов расширенного использования ключа.
Модальное окно «Идентификаторы расширенного использования ключа» доступно пользователю с ролью «Администратор».
Открытие модального окна «Идентификаторы расширенного использования ключа» осуществляется из вкладки «Расширения» карточки шаблона (см. раздел 7.12.4) нажатием на кнопку рядом со списком «Расширенное использование ключа».
Для закрытие модального окна следует нажать кнопку <Закрыть>.
Рисунок 246 – Модальное окно «Идентификаторы расширенного использования ключа»
В модальное окне в табличной форме отображена следующая информация об идентификаторах расширенного использования ключа:
- тип – условное обозначение вида:
- – предустановленные по умолчанию идентификаторы расширенного использования ключа, созданные в момент установки Центра сертификации Aladdin еСА[1]. Не подлежат редактированию;
- – созданные пользователем (пользовательские) идентификаторы расширенного использования ключа.
- имя;
- OID;
- описание.
В модальном окне доступны следующие действия:
- создание пользовательских идентификаторов расширенного использования ключа (см раздел 7.12.11.1);
- удаление пользовательских идентификаторов расширенного использования ключа (см. раздел 7.12.11.2).
Создание пользовательского идентификатора расширенного использования ключа
Для создания пользовательского идентификатора расширенного использования ключа выполните следующие шаги:
- В Модальном окне «Идентификаторы расширенного использования ключа» нажмите кнопку <Создать>;
- В появившемся модальном окно «Создание идентификатора расширенного использования ключа» введите следующие поля (см. Рисунок 247):
- имя – имя создаваемого идентификатора расширенного использования ключа. Поле является уникальным и обязательно к заполнению. При вводе существующего значения будет отображено сообщение об ошибке «Указанное имя уже используется»;
- OID – OID создаваемого идентификатора расширенного использования ключа в формате OID[2]. Поле является уникальным и обязательным к заполнению. При вводе существующего значения будет отображено сообщение об ошибке «Указанный OID уже используется»;
- описание – описания создаваемого идентификатора расширенного использования ключа. не является обязательным к заполнению.
Рисунок 247 – Модальное окно «Идентификаторы расширенного использования ключа»
- Для создания идентификатора расширенного использования ключа нажмите кнопку <Создать>.
После этого будет создан пользовательский идентификатор расширенного использования ключа.
Удаление пользовательского идентификатора расширенного использования ключа
Для удаления пользовательского идентификатора расширенного использования ключа выполните следующие шаги:
- В Модальном окне «Идентификаторы расширенного использования ключа» найдите пользовательский идентификатор, который необходимо удалить;
- В строке с идентификатором нажмите на кнопку <Удалить>.
После этого пользовательский идентификатор расширенного использования будет удален.
Если идентификатор расширенного использования ключа используется в шаблонах, то удаление завершится с ошибкой: «Удаление идентификатора недоступно, так как он используется в шаблоне <Имя текущего шаблона>». Если шаблонов несколько, то отображается имя первого по алфавиту шаблона.
Удаление предустановленных идентификатор расширенного использования недоступно.
[1] Описание предустановленных идентификаторов расширенного использования ключа см. в Приложении 4 «Описание предустановленных идентификаторов расширенного использование ключа».
[2] В соответствии с рекомендацией ITU X.660.
Раздел «Настройки»
- Раздел «Настройки» обеспечивает:
- управление работой веб‑сервера и доступом к нему: возможность смены ключей веб‑сервера и управление издателями сертификатов учётных записей для доступа к нему;
- управление перечнем подключенных к программе Syslog‑серверов, на которые будет выполняться оправка данных о событиях аудита программы.
- Переход в раздел «Настройки» (см. Рисунок 248) осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 52).
- Раздел «Настройки» включает в себя следующие вкладки:
- Веб‑сервер;
- Seslog.
- Данный раздел доступен только в режиме администратора.
Рисунок 248 – Экран раздела «Настройки»
- Вкладка «Веб‑сервер» позволяет осуществлять просмотр данных текущего сертификата веб‑сервера, изменение текущего сертификата веб‑сервера, просмотр и редактирование списка разрешенных издателей сертификатов.
- На экране вкладки «Веб‑сервер» отображены (см. Рисунок 248) присутствуют следующие подразделы:
- Сертификат;
- Разрешенные издатели.
- В подразделе «Сертификат» в табличной форме отображена следующая информация о текущем сертификате веб‑сервера:
- в поле «Имя» ‑ CN, указанный в сертификате;
- в поле «Издатель» ‑ SDN издателя сертификата;
- в поле «Действителен до» ‑ дата окончания действия сертификата.
- В подразделе «Разрешенные издатели» в табличной форме отображается следующая информация об издателях сертификатов:
- в поле «Отображаемое имя» ‑ отображаемое имя ЦС;
- в поле «Издатель» ‑ CN, указанный в сертификате ЦС;
- в поле «Действителен до» ‑ дата окончания действия сертификата ЦС.
- для каждого издателя в списке в столбце «Проверка издателя» присутствует переключатель, позволяющий включить или исключить ЦС из списка разрешенных издателей.
Рисунок 249 ‑ Экран раздела «Настройки», вкладка «Syslog»
- Вкладка «Syslog» позволяет осуществлять просмотр списка и параметров Syslog‑серверов, добавление Syslog‑сервера в список, редактирование параметров Syslog‑серверов из списка, включая управление отправкой сообщений на данный Syslog‑сервер, удаление Syslog‑серверов из списка.
- На экране вкладки «Syslog» (Рисунок 249) в подразделе «Syslog серверы» присутствуют следующие элементы:
- Кнопка «Добавить», предназначенная для добавления нового Syslog‑сервера в список;
- Подраздел «Syslog‑серверы».
- В подразделе «Syslog‑серверы» в табличной форме содержится следующая информация:
- в поле «Адрес хоста» ‑ адрес хоста Syslog‑сервера;
- в поле «Порт» ‑ порт Syslog‑сервера;
- в поле «Протокол» ‑ протокол, по которому выполняется отправка сообщение на Syslog‑сервер;
- в поле «Отправка сообщений» присутствует переключатель, позволяющий включить или выключить отправку сообщение на данный Syslog‑сервер.
Установка сертификата веб-сервера
- Предварительно необходимо выпустить сертификат для субъекта локальной ресурсной системы (для автоматически созданного локального субъекта при развёртывании ЦС (см. раздел 7.8.5 настоящего руководства) или нового созданного субъекта) (см. Приложение 1 «Создание сертификата для субъекта») со значениями в полях шаблона WEB‑Server при выпуске сертификата:
- «общее имя» – имя веб‑сервера, отображаемое на экране, в разделе «Настройки», рекомендуется указать имя сервера;
- «доменное имя» – имя хоста, на котором развёрнут ЦС, должно совпадать с именем, указанным в файле /etc/hosts.
- Для смены ключей выберите веб‑сервер и нажмите появившуюся кнопку .
- В появившемся окне (см. Рисунок 250) выберите файл сертификата и введите пароль файла контейнера, заданный при выпуске сертификата веб‑сервера.
- Нажмите кнопку <Сменить ключи>.
Рисунок 250 – Окно смены ключей веб‑сервера
- После смены сертификата веб‑сервера пользователь будет уведомлён сообщением «Сертификат изменён» (см. Рисунок 251).
Рисунок 251 – Окно уведомления об успешной смене ключей веб‑сервера
- Далее будет выполнена автоматическая перезагрузка веб‑сервера. В результате перезагрузки веб‑сервера в журнале событий будет зарегистрировано событие с кодом CAENV040 в случае успешной перезагрузки веб‑сервера или событие с кодом CAENV041 в случае ошибки в процессе перезагрузки веб‑сервера.
- Для установки безопасного соединения с серверной частью Центра сертификации Aladdin eCA (после установки нового сертификата веб‑сервера заново запустите веб-веб-браузер и выполните подключение к веб-интерфейсу Центра сертификации Aladdin eCA.
- Администратору будет предложено выбрать сертификат для идентификации и аутентификации (или оставить текущий, издатель, которого активирован в «Разрешённых издателях») (см. Рисунок 252). Более подробно процедура аутентификации по сертификату приведена в разделе 6 документа RU.АЛДЕ.03.01.020 32 01‑1.
Рисунок 252 – Выбор сертификата пользователя
Разрешённые издатели
- На экранной таблице в поле «Разрешённые издатели» отображены текущие ЦС (технологического и созданного, при установке программного комплекса и загрузки лицензии).
- Для доступа пользователей с ролями «Администратор» и «Оператор» к текущему веб‑серверу необходимо активировать издателя сертификата учётной записи с помощью переключателя .
- Для исключения издателя из «разрешённых» необходимо выделить издателя и деактивировать в поле «Проверка издателя», передвинув ползунок влево . С сертификатом пользователя, выпущенным исключённым издателем, аутентификация не будет успешной, в доступе к веб‑серверу будет отказано.
Добавление Syslog-сервера
- Для добавления Syslog‑сервера необходимо в разделе «Настройки» на вкладке «Syslog» нажать на кнопку «Добавить».
- В отобразившемся модальном окне «Добавление Syslog‑сервера» (Рисунок 253) необходимо указать следующие параметры добавляемого Syslog‑сервера:
- в поле «Адрес хоста» ‑ адрес хоста Syslog‑сервера (IP‑адреса или DNS‑имя);
В случае, если адрес хоста Syslog‑сервера не указан, в поле «Адрес хоста» будет отображаться сообщение об ошибке «Обязательно к заполнению» (кнопка «Добавить» будет недоступна).
В случае, если указанный адрес хоста Syslog‑сервера содержит пробел, в поле «Адрес хоста» будет отображаться сообщение об ошибке «Некорректный ввод» (кнопка «Добавить» будет недоступна).
- в поле «Порт» ‑ порт Syslog‑сервера (число в диапазоне от 0 до 65535);
В случае, если порт не указан, в данном поле ввода будет отображаться сообщение об ошибке «Обязательно к заполнению» (кнопка «Добавить» будет недоступна для нажатия).
В случае, если в поле «Порт» указано значение, не соответствующее формату ввода, в данном поле будет отображаться сообщение об ошибке «Некорректный ввод» (кнопка «Добавить» будет недоступна для нажатия).
- в поле «Протокол» выбрать протокол UDP (указан по умолчанию) или TCP.
- после этого нажать ставшую доступной кнопку «Добавить».
Рисунок 253 – Модальное окно добавления Syslog‑сервера
- После нажатия на кнопку «Добавить» в список Syslog‑серверов будет добавлен новый Syslog‑сервер с параметрами, указанными в модальном окне «Добавление Syslog‑сервера». При этом переключатель «Отправка сообщений» у добавленного Syslog‑сервера по умолчанию будет находиться во включенном состоянии.
Если в списке уже присутствуют 10 Syslog‑серверов, после нажатия на кнопку «Добавить» будет отображаться сообщение об ошибке «Ошибка. Максимальное количество Syslog‑серверов – 10» (Рисунок 254). При этом новый Syslog‑сервер не будет добавлен в список.
Рисунок 254 – Ошибка при превышении максимального количества Syslog‑серверов
Редактирование параметров Syslog-сервера
- Для редактирования параметров Syslog‑сервера необходимо в разделе «Настройки» на вкладке «Syslog» в строке любого из имеющихся в списке Syslog‑серверов нажать на кнопку «Редактировать».
- В отобразившемся модальном окне «Редактирование Syslog‑сервера» (Рисунок 255) допустимо редактирование следующих параметров Syslog‑сервера:
- Адрес хоста;
В случае, если адрес хоста Syslog‑сервера не указан, в поле «Адрес хоста» будет отображаться сообщение об ошибке «Обязательно к заполнению» (кнопка «Сохранить изменения» будет недоступна).
В случае, если указанный адрес хоста Syslog‑сервера содержит пробел, в поле «Адрес хоста» будет отображаться сообщение об ошибке «Некорректный ввод» (кнопка «Сохранить изменения» будет недоступна).
- Порт (в формате числа в диапазоне 0‑65535);
В случае, если порт не указан, в данном поле ввода будет отображаться сообщение об ошибке «Обязательно к заполнению» (кнопка «Сохранить изменения» будет недоступна для нажатия).
В случае, если в поле «Порт» указано значение, не соответствующее формату ввода, в данном поле будет отображаться сообщение об ошибке «Некорректный ввод» (кнопка «Сохранить изменения» будет недоступна для нажатия).
- Протокол (UDP или TCP).
Рисунок 255 – Модальное окно редактирования Syslog‑сервера
Удаление Syslog-сервера
- Для редактирования параметров Syslog‑сервера необходимо в разделе «Настройки» на вкладке «Syslog» в строке любого из имеющихся в списке Syslog‑серверов нажать на кнопку «Удалить».
- В отобразившемся диалоговом окне подтверждения удаления Syslog‑сервера (Рисунок 256) в строке «Удалить Syslog‑сервер?» будет содержаться адрес хоста удаляемого Syslog‑сервера (Рисунок 256).
- Для удаления выбранного Syslog‑сервер нажать на кнопку «Удалить».
Рисунок 256 – Диалоговое окно подтверждения удаления Syslog‑сервера
- После нажатия на кнопку «Удалить» в диалоговом окне подтверждения удаления Syslog‑сервер будет удален из списка отображаемых на вкладке «Syslog» в разделе «Настройки». При этом должно отображаться сообщение о успешном удалении Syslog‑сервера (Рисунок 257).
Рисунок 257 – Сообщение об успешном удалении Syslog‑сервера


































































































































































































































