Данный раздел описывает функции управления Центра регистрации Aladdin eCA, доступные учётной записи с ролью Администратор.

Верхняя панель

Верхняя панель (см. Рисунок 9) Центра регистрации фиксирована и отображается на любом шаге или переходе между разделами.

Рисунок 9 – Верхняя панель окна «Центра регистрации»

При наведении курсора на иконку панели всплывает соответствующее текстовое пояснение для каждого элемента.

Верхняя панель содержит следующие элементы:

·          


‑ текущая авторизация учётной записи пользователя, при нажатии неё отображается меню с кнопкой <Выход>[1];

·          



‑ сведения о текущей версии программы, контактная информация разработчика, права на программное обеспечение.

[1] Подробнее про выход из Центра регистрации Aladdin eRA см. подраздел 6.7

Боковая панель

Боковая панель Центра регистрации Aladdin eRA закреплена и отображается на любом шаге или переходе между разделами при ширине окна браузера больше или равной 1200px. При ширине окна браузера менее 1200px боковая панель скрыта и отображается только при нажатии на кнопку , которая отображается только в данном режиме.

Полный вид боковой панели показан на рисунке ниже (Рисунок 10). Компактный вид боковой панели приведён на рисунке ниже (Рисунок 11). Выбор вида боковой панели происходит по нажатию кнопки , расположенной внизу данной панели.

Рисунок 10 – Полный вид боковой панели

Рисунок 11 – Компактный вид боковой панели

Боковая панель состоит из разделов, определяющих соответствующие функции программы, и предназначена для организации управления Центром регистрации:

  • Раздел «Центр регистрации» – в данном разделе возможно:
    • посмотреть данные о подключённом Центре сертификации, который производит выпуск сертификатов по согласованным направленным заявкам на сертификаты Центром регистрации;
    • посмотреть данные о заявках на сертификаты за период от начала развёртывания Центра регистрации до настоящего момента (за всё время) и за последние 7 дней.
  • Раздел «Заявки» – в данном разделе возможно:
    • просмотреть существующие заявки;
    • произвести поиск заявки по номеру заявки;
    • создать заявку на выпуск сертификата на основании запроса;
    • создать заявку на выпуск сертификата с закрытым ключом PKCS#12;
    • создать заявку на выпуск сертификата на ключевом носителе;
    • отменить заявку;
    • обработать заявку (выпустить сертификат или отклонить заявку);
    • скачать сертификат;
    • импортировать сертификат на ключевой носитель;
    • скачать цепочку сертификатов;
    • скачать контейнер закрытого ключа PKCS#12;
    • скачать CRL издателя;
    • скачать цепочку сертификатов издателя;
    • просмотреть карточку заявки.
  • Раздел «Учётные записи» – в данном разделе возможно:
    • просмотреть существующие учётные записи;
    • заблокировать или активировать существующую доменную учётную запись.
  • Раздел «Журнал событий» ‑ в данном разделе возможно:
    • посмотреть в интерактивном режиме полный или выборочный (с применением фильтров) журнал событий;
    • произвести поиск событий по описанию;
    • скачать журнал событий в формате .csv по выбранным параметрам экспорта.
  • Раздел «Управление» – в данном разделе возможно:
    • просмотреть существующие правила выпуска;
    • создать новое правило выпуска;
    • отредактировать правило выпуска;
    • скопировать правило выпуска;
    • запустить или остановить правило выпуска;
    • удалить правило выпуска.
  • Раздел «Настройки» – в данном разделе возможно:
    • просмотреть информацию о сертификате веб‑сервера;
    • сменить текущий сертификат веб‑сервера;
    • просмотреть список разрешённых издателей

Доступность разделов в зависимости от ролей представлена в таблице ниже (Таблица 11).

Таблица 11 – Доступность раздела в зависимости от роли учётной записи

Раздел

Получатель сертификатов

Оператор

Администратор

Центр регистрации

Заявки

Учётные записи

Журнал событий

Управление

Настройки

Раздел «Центр регистрации»

Переход на экран раздела «Центр регистрации» осуществляется по выбору раздела «Центр регистрации» бокового меню, расположенного слева на главном экране (см. Рисунок 10).

Данный раздел доступен только для администратора.

На экране раздела «Центр регистрации» отображены (см. Рисунок 12):

  • информация о Центре сертификации, с котором установлено подключение и который получает запросы от настоящего Центра регистрации:
    • Подключённый Центр сертификации Aladdin eCA (CN) – Common name Центра сертификации;
    • Подключённый Центр сертификации Aladdin eCA (HostName) – IP‑адрес или Hostname Центра сертификации;
    • Сертификат доступа к ЦС – расположение сертификата для доступа к Центра сертификации Aladdin eCA.
  • информация об общем количестве созданных заявок:
    • Создано заявок (всего) – общее количество заявок на сертификаты, созданных с момента регистрации Центра регистрации Aladdin eRA.
  • информация о заявках на сертификаты:
    • Блок «Ожидает подтверждения» – количество заявок на сертификаты, ожидающих рассмотрения. В блоке отображаются:
      • общее количество созданных заявок на сертификаты цифрами синего цвета;
      • количество созданных заявок на сертификаты за последнюю неделю.
    • Блок «Выполнена» – количество сертификатов доступа, выпущенных Центром сертификации по согласованным заявкам на сертификаты. В блоке отображаются:
      • общее количество выпущенных сертификатов цифрами зелёного цвета;
      • количество выпущенных сертификатов доступа Центром сертификации по согласованным заявкам на сертификаты за последнюю неделю.
    • Блок «Заявка отклонена» – количество отклонённых заявок. В блоке отображаются:
      • общее количество отклонённых заявок цифрами оранжевого цвета;
      • количество отклонённых заявок за последнюю неделю.
    • Блок «Ошибка выпуска» – количество заявок, при обработке которых произошла ошибка. В блоке отображаются:
      • общее количество заявок с ошибками цифрами красного цвета;
      • количество заявок с ошибками за последнюю неделю.

Раздел «Центр регистрации» является информационным и не предоставляет каких‑либо действий.

Рисунок 12 – Экран раздела «Центр регистрации»

Раздел «Заявки»

Раздел «Заявки» обеспечивает возможности создания, отслеживания, обработки заявок на выпуск сертификатов, а также получения файлов, являющихся результатом выполнения заявки, включая скачивание и импорт сертификатов на ключевой носитель.

Переход на экран раздела «Заявки» (см. Рисунок 13) осуществляется по выбору раздела «Заявки» бокового меню, расположенного слева на главном экране (см. Рисунок 10).

Данный раздел доступен для всех учётных записей:

  • для пользователя с ролью «Администратор» на данном экране отображаются все созданные в Центре регистрации Aladdin eRA заявки, а также у пользователя есть возможность обрабатывать заявки, попавшие под ручной режим обработки, скачивать и отзывать сертификаты, выпущенные по заявкам любых учётных записей (см. Рисунок 13);
  • пользователь с ролью «Оператор» может просматривать созданные им заявки, просматривать и обрабатывать заявки для доступных ему субъектов[1], создавать заявки для любых субъектов Центре сертификации Aladdin eСA, к которому подключён Центре регистрации Aladdin eRA, скачивать и отзывать сертификаты, выпущенные по заявкам доступным ему субъектов;
  • пользователь с ролью «Получатель сертификатов» может просматривать только свои заявки, создавать новые заявки, получать выпущенные по своим заявкам сертификаты, а также отзывать их.

Рисунок 13 – Экран раздела «Заявки». Вид для администратора

На экране раздела «Заявки» в табличной форме отображена следующая информация о заявках:

  • Номер заявки – содержит номер заявки;
  • Сценарий – содержит сценарий, по которому была создана заявка («На основании запроса (PKCS#10)», «С закрытым ключом (PKCS#12)», «На ключевом носителе», «SCEP» [2] или «WSTEP» [3]);
  • CN – содержит CN, указанный в заявке на сертификате;
  • Имя получателя (UPN) – содержит UPN отправителя заявки;
  • Шаблон – содержит шаблон, по которому должен быть выпущен сертификат;
  • Дата обработки – содержит дату последней обработки заявки;
  • Статус – содержит текущий статус заявки («Ошибка выпуска», «Отклонена», «Ожидает подтверждения», «Выполнена», «Отменена»[4], «Ожидает импорта на КН»).

На экране раздела «Заявки» Доступны следующие действия:

  • поиск заявок;
  • просмотр карточки заявки;
  • создание новой заявки на выпуск сертификата;
    • на основании запроса;
    • с закрытым ключом PKCS#12;
    • на ключевом носителе.
  • действия над заявкой (подробнее см. Таблица 12.):
    • обработка ожидающих подтверждение заявок (выпустить сертификат или отменить заявку);
    • отмена созданных собой заявок;
    • импорт сертификата на ключевой носитель;
    • скачивание сертификата;
    • скачивание цепочки сертификатов;
    • скачивание контейнера закрытого ключа PKCS#12;
    • скачивание CRL издателя;
    • скачивание цепочки сертификатов издателя.

[1] То есть заявки, у которых получателем сертификата является субъект, доступный данному оператору в соответствии с правилами доступа Центра сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA

[2] Заявки с типом «SCEP» создаются в Центре регистрации Aladdin eRA автоматически в результате обработки запросов клиентов по протоколу SCEP, подробнее см. раздел 8.

[3] Заявки с типом «WSTEP» создаются в Центре регистрации Aladdin eRA автоматически в результате обработки запросов клиентов по протоколу MS-WSTEP, подробнее см. раздел 9.

[4] Статус «Отмена» подразумевает, заявка была отменена её создателем. Статус «Отклонена» подразумевает, что пользователь, обрабатывавший заявку, отклонил процесс выпуска сертификата.

Управление экранной таблицей

Для каждой колонки экранной таблицы (справа от названия заголовка) доступна кнопка управления действиями <Действия в колонке>. По нажатию данной кнопки разворачивается меню (см. Рисунок 14, Рисунок 15 и Рисунок 16), в котором возможно (в зависимости от типа колонки и применённых ранее действий – фильтр, сортировка, изменение ширины, скрытие колонки):

  • очистить сортировку, если ранее было применено данное действие, и вернуться к отображению всех событий в колонке;
  • сортировать по возрастанию/убыванию значений в колонке;
  • очистить фильтр, если ранее было применено данное действие, и вернуться к отображению всех событий в колонке;
  • отфильтровать, отобразив поле для выбора критерия фильтрации;
  • сбросить размер колонок, сбросив ширину колонок к значению «по умолчанию»;
  • скрыть колонку из отображаемых на экране;
  • показать все колонки, отобразив на экране ранее скрытые колонки.

Рисунок 14 – Кнопка <Действия в колонке> в колонке «Сценарий»

Рисунок 15 – Кнопка <Действия в колонке> в колонке «CN»

Рисунок 16 – Кнопка <Действия в колонке> в колонке «Шаблон»

Для сброса применённых фильтров следует нажать кнопку <Сбросить фильтр>  в результате чего в экранной таблице раздела «Заявки» будут отображены все произошедшие события (см. Рисунок 17).

Рисунок 17 – Кнопка <Сбросить фильтр>

Фильтрация заявок

Для выборочного просмотра заявок на экране раздела «Заявки» возможно применение фильтров. Для отображения параметров фильтрации для всех колонок таблицы нажмите кнопку <Фильтр>, заголовки колонок экранной таблицы будут дополнены полями фильтра для каждой колонки (см. Рисунок 18):

  • сценарий. Выберите сценарий выпуска сертификата (На основании запроса (PKCS#10), С закрытым ключом (PKCS#12), На ключевом носителе).
  • дата обработки. Выберите период, в которой должна попадать дата обработки заявки. Введите дату с помощью клавиатуры или выберите в развернувшемся календаре;
  • статус. Выберите статус заявки («Ошибка выпуска», «Отклонена», «Ожидает подтверждения», «Выполнена», «Отменена»[1], «Ожидает импорта на КН»).

Рисунок 18 – Поля фильтра заголовков экранной таблицы

Выберите одно или несколько значений фильтров, после выбора фильтр будет применён сразу автоматически.

Повторное нажатие кнопки <Фильтр> скроет поля выбора критериев фильтрации, но не отменяет применённые фильтры.

Заголовки таблицы, для которых применён фильтр, будут отмечены знаком .

Для очистки применённых фильтров для каждого заголовка колонки нажмите кнопку  <Действия в колонке> и в раскрывшемся окне выберите пункт «Очистить фильтр» (см. Рисунок 14)

Для полной отмены всех применённых фильтров по всем колонкам воспользуйтесь кнопкой <Сбросить фильтр> .

[1] Статус «Отмена» подразумевает, заявка была отменена её создателем. Статус «Отклонена» подразумевает, что пользователь, обрабатывавший заявку, отклонил процесс выпуска сертификата.

Сортировка заявок

Средства сортировки событий на экране раздела «Заявки» представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 19):

  • номер заявки – упорядочивание осуществляется в алфавитном порядке;
  • сценарий – упорядочивание осуществляется в алфавитном порядке;
  • CN – упорядочивание осуществляется в алфавитном порядке;
  • имя получателя (UPN) – упорядочивание осуществляется в алфавитном порядке;
  • дата обработки – упорядочивание осуществляется от старых к новым и от новых к старым.

Рисунок 19 – Поля сортировки содержимого экрана раздела «Заявки»

Для выполнения сортировки по выбранной колонке таблицы нажмите на заголовок выбранной колонки или используйте кнопку <Действие колонки> (см. Рисунок 14, Рисунок 15).

Сортировка происходит только по одному значению при нажатии на соответствующий заголовок колонки таблицы.

Активное поле таблицы, по которому выполнена сортировка, обозначено знаком с правой стороны от заголовка таблицы.

Для сброса сортировки в каждой колонке:

  • нажмите кнопку <Действия в колонке> и в раскрывшемся окне выберите пункт «Очистить сортировку» (см. Рисунок 14, Рисунок 15);
  • или несколько раз нажмите на заголовке колонки, для которой применена сортировка.

Поиск заявок

Строка поиска (см. Рисунок 20) предназначена для поиска заявок по содержимому колонки «Номер заявки». Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.

Рисунок 20 – Поисковая строка в разделе «Заявки»

Для сброса результатов поиска и возврату к полному перечню событий в экранной таблице удалите содержимое строки поиска.

Карточка заявки

Просмотр данных заявки возможен посредством страницы «Карточка заявки».

Переход к экрану «Карточка заявки» осуществляется при нажатии на строку заявки главного экрана разделе «Заявки» (см. Рисунок 13).

Администратор может просматривать карточки заявок всех учётных записей Центра регистрации. Вид экрана «Карточка заявки» представлен на Рисунок 21.

Рисунок 21 – Экран «Карточка заявки». Вид для администратора

Администратору доступны следующие информационные блоки на экране «Карточка заявки»:

  • Заголовок с текстом «Заявка НОМЕР», где «НОМЕР» – номер заявки, и полем со статусом заявки. В поле статус заявки могут содержаться следующие значения: «Ошибка выпуска», «Отклонена», «Ожидает подтверждения», «Выполнена», «Отменена»[1], «Ожидает импорта на КН»;
  • Кнопка <Сертификат активирован>, отражающая текущий статус сертификата и предназначенная для отзыва сертификата, выпущенного по данной заявке. После отзыва сертификата кнопка меняет свое наименование на «Сертификат отозван» и становится неактивной.
  • Кнопка с контекстным меню действий (состав действий (Таблица 12), контекстное меню см. Рисунок 22, Рисунок 23 и Рисунок 24).

Таблица 12 – Доступные действия для заявок

Действия

Условие отображения действия

Выполнение

Выпустить сертификат

(Статус заявки «Ожидает подтверждения» или «Ошибка выпуска»)
и роль текущей учётной записи – Администратор

См. раздел 7.4.10

Отклонить выпуск

Отмена заявки

(Статус заявки «Ожидает подтверждения» или «Ошибка выпуска»)
и получателем сертификата является субъект, связанный с текущей учётной записью

См. раздел 7.4.9

Скачать запрос PKCS#10

Поле «Сценарий» равно «На основании запроса (PKCS#10)»
и (роль текущей учётной записи – Администратор или и получателем сертификата является субъект, связанный с текущей учётной записью)

Происходит скачивание запроса PKCS#10, указанного в заявке

Скачать сертификат

Статус заявки «Выполнена» или «Ожидает импорта на КН»
и (роль текущей учётной записи – Администратор или получателем сертификата является субъект, связанный с текущей учётной записью)

Происходит скачивание сертификата, выпущенного по заявке

Скачать цепочку сертификатов

Происходит скачивание цепочки сертификатов при успешном выпуске сертификата

Скачать цепочку сертификатов издателя

Происходит скачивание цепочки сертификатов издателя при успешном выпуске сертификата

Скачать CRL издателя

Происходит скачивание CRL издателя при успешном выпуске сертификата

Скачать контейнер PKCS#12

Статус заявки «Выполнена»
и поле «Сценарий» равно «С закрытым ключом (PKCS#12)»
и (роль текущей учётной записи – Администратор или получателем сертификата является субъект, связанный с текущей учётной записью)

Происходит скачивание контейнера PKCS#12, указанного к заявке

Импортировать на ключевой носитель

Статус заявки «Ожидает импорта на КН»
и (роль текущей учётной записи – Администратор или получателем сертификата является субъект, связанный с текущей учётной записью)

См. раздел 7.4.11

Рисунок 22 – Меню действий в карточке заявки. Вид для администратора. Выполненная заявка со сценарием «С закрытым ключом (PKCS#12)»

Рисунок 23 – Меню действий для заявки. Вид для администратора. Выполненная заявка со сценарием «На основании запроса (PKCS#10)»

Рисунок 24 – Меню действий для заявки. Вид для администратора. Заявка в статусе Ожидает подтверждения, создателем данной заявки является текущая учётная запись

  • Блок «Заявка», содержащий следующие строки в формате «ключ – значение» (cм. Рисунок 25):
    • Сценарий – содержит сценарий, по которому была создана заявка («На основании запроса (PKCS#10)», «С закрытым ключом (PKCS#12)», «На ключевом носителе», «SCEP» или «WSTEP»);
    • Шаблон – содержит название шаблона, по которому должен быть выпущен сертификат;
    • Центр сертификации ‑ центр сертификации, в котором будет выполняться выпуск сертификата по данной заявке, на основании используемого в сценарии создания заявки шаблона;
    • Внешний идентификатор – содержит значение внешнего идентификатора, указанного при создании заявки;
    • Дата создания – содержит дату создания заявки;
    • Дата обработки – содержит дату последней обработки заявки;
    • Комментарий – содержит комментарий, указанный при обработке заявки.

Рисунок 25 – Экран «Карточка заявки». Вид для администратора. Блок «Заявка»

  • Блок «Получатель сертификата», содержащий следующие строки в формате «ключ – значение» (см. Рисунок 26):
    • Идентификатор – содержит идентификатор субъекта. Значение поля является ссылкой, при нажатии на которую открывается карточка соответствующего субъекта ЦС в новой вкладке браузера;
    • Ресурсная система – содержит CN ресурсной системы субъекта;
    • Имя получателя (UPN) – содержит UPN отправителя заявки;
    • Common Name – содержит CN, указанный в заявке на сертификате.

Рисунок 26 – Экран «Карточка заявки». Вид для администратора. Блок «Получатель сертификата»

  • Блок «Информация о сертификате», содержащий (см. Рисунок 27):
    • Раскрывающийся список (дерево) «Цепочка сертификатов»;
    • Сведения о сертификате в табличной форме, содержащие следующие строки в формате «ключ – значение»:
      • Издатель – поле «Issuer» сертификата;
      • Владелец – атрибут «CN» из поля «Subject» сертификата;
      • SDN владельца – поле «Subject» сертификата;
      • Действует с – атрибут «Not Before» из поля «Validity» сертификата;
      • Действует по – атрибут «Not After» из поля «Validity» сертификата;
      • Алгоритм ключа –атрибут «Public Key Algorithm» из поля «Subject Public Key Info» сертификата;
      • Длина ключа – атрибут «Public Key Algorithm» из поля «Subject Public Key Info» сертификата.

Рисунок 27 – Экран «Карточка заявки». Вид для администратора. Блок «Информация о сертификате»

  • Блок «Состав сертификата», содержащий следующую информацию о сертификате (см. Рисунок 28):
    • Серийный номер – поле «Serial Number» сертификата;
    • Открытый ключ– поле «Subject Public Key Info»;
    • Отпечаток – вычисляемое значение, отсутствует в сертификате;
    • Версия – поле «Version» сертификата;
    • Параметр открытого ключа – всегда «X509»;
    • Алгоритм цифровой подписи– поле «Signature Algorithm»;
    • Основные ограничения – поле «X509v3 Basic Constraints»;
    • Использование ключа – поле «X509v3 Key Usage» сертификата;
    • Доступ к информации о центре сертификации – поле «Authority Information Access»;
    • Идентификатор ключа центра – поле «X509v3 Authority Key Identifier» сертификата;
    • Альтернативное имя субъекта – поле «X509v3 Subject Alternative Name» сертификата;
    • Идентификатор ключа субъекта – поле «X509v3 Subject Key Identifier» сертификата;
    • Расширенное использование ключа – поле «X509v3 Extended Key Usage» сертификата.

Рисунок 28 – Экран «Карточка заявки». Вид для администратора. Блок «Состав сертификата»

  • Блок «История изменения заявки», содержащий историю изменений заявки в табличном виде (см. Рисунок 29). В таблице изменений отображается следующая информация:
    • Дата – содержит дату события изменения заявки;
    • Имя учётной записи – содержит отображаемое имя пользователя, сделавшего изменение в заявке;
    • Событие – содержит описание изменения.

Рисунок 29 – Экран «Карточка заявки». Вид для администратора. Блок «История изменения заявки»

[1] Статус «Отмена» подразумевает, заявка была отменена её создателем. Статус «Отклонена» подразумевает, что пользователь, обрабатывавший заявку, отклонил процесс выпуска сертификата.

Создание заявки на основании запроса

Для создания заявки на основании запроса выполните следующие шаги:

  • Нажмите кнопку <Создать +> на главном экране раздела «Заявки» (см. Рисунок 13).
  • В открывшемся контекстном меню выберите сценарий выпуска сертификата «На основании запроса» (см. Рисунок 30).

Рисунок 30 – Контекстное меню создания заявки

  • В открывшемся окне «Создание заявки» на шаге 1 выберите субъект, для которого выпускается сертификат (см. Рисунок 31):
    • в поле поиска введите частичное или полное значение любого атрибута субъекта;
    • поиск субъектов выполняется по атрибутам и является регистронезависимым;
    • в результате будут отображены найденные субъекты с указанием краткой информации:
      • «CN» – значение атрибута «Common Name» субъекта;
      • «ID» – идентификатор субъекта;
      • «UPN» – значение атрибута «MS UPN, User Principal Name» субъекта;
      • «DNS» – значение атрибута «DNS Name» субъекта;
      • пиктограммы наличия подключения субъекта к ресурсной системе (см. Рисунок 31).
    • в результате поиска в полях «CN», «UPN» и «DNS» отображаются все значения соответствующего полю атрибута субъекта, разделитель значений в поле – запятая с пробелом;
    • в результате поиска поля «CN», «UPN» и «DNS» не отображаются, если в соответствующем данному
    • полю атрибуте у субъекта отсутствуют значения;
    • выберите субъект и нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 31 – Создание заявки на основании запроса. Шаг 1

  • На втором шаге (см. Рисунок 32):
    • выберите файл‑запрос (загружается по кнопке <Выбрать файл> с возможностью перевыбора по кнопке <Изменить>);
    • выберите шаблон, на основании которого будет создан сертификат. В списке шаблонов присутствуют шаблоны, которые указаны в правилах выпуска с режимом обработки «Автоматический выпуск» или «Ручная обработка» для выбранного на шаге 1 субъекта[1].

Рисунок 32 – Создание заявки на основании запроса. Шаг 2

  • Для создания заявки нажмите на кнопку <Создать заявку>.

После этого заявка будет зарегистрирована и обработана в соответствии с правилом выпуска, под которое она попадает.


[1] Субъект может быть указан в правилах выпуска как напрямую, так и косвенно через группу безопасности.

Создание заявки с закрытым ключом PKCS#12

Для создания заявки с закрытым ключом PKCS#12 выполните следующие шаги:

  • Нажмите кнопку <Создать +> на главном экране раздела «Заявки» (см. Рисунок 13).
  • В открывшемся контекстном меню выберите сценарий выпуска сертификата «С закрытым ключом (PKCS#12)» (см. Рисунок 33).

Рисунок 33 – Контекстное меню создания заявки

  • В открывшемся окне «Создание заявки» на первом шаге выберите субъект, для которого выпускается сертификат (см. Рисунок 31):
    • в поле поиска введите частичное или полное значение любого атрибута субъекта;
    • поиск субъектов выполняется по атрибутам и является регистронезависимым;
    • в результате будут отображены найденные субъекты с указанием краткой информации:
      • «CN» – значение атрибута «Common Name» субъекта;
      • «ID» – идентификатор субъекта;
      • «UPN» – значение атрибута «MS UPN, User Principal Name» субъекта;
      • «DNS» – значение атрибута «DNS Name» субъекта;
      • пиктограммы наличия подключения субъекта к ресурсной системе (см. Рисунок 34).
    • в результате поиска в полях «CN», «UPN» и «DNS» отображаются все значения соответствующего полю атрибута субъекта, разделитель значений в поле – запятая с пробелом;
    • в результате поиска поля «CN», «UPN» и «DNS» не отображаются, если в соответствующем данному
    • полю атрибуте у субъекта отсутствуют значения.

Выберите субъект и нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 34 – Создание заявки с закрытым ключом PKCS#12. Шаг 1

  • На втором шаге выберите шаблон, на основании которого будет создан сертификат. В списке шаблонов присутствуют шаблоны, которые указаны в правилах выпуска с режимом обработки «Автоматический выпуск» или «Ручная обработка» для выбранного на шаге 1 субъекта[1].

После выбора шаблона нажмите на кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 35 – Создание заявки с закрытым ключом PKCS#12. Шаг 2

  • На третьем шаге указаны атрибуты в соответствии с шаблоном сертификата (см. Рисунок 36). Значения атрибутов заполняются автоматически в соответствии с данными из субъекта ЦС, выбранного на шаге 1, и изменению не подлежат. В случае если в атрибуте указано несколько значений, в выпадающем меню будет предложен выбор значения из существующих или возможно добавление значения атрибута по нажатию кнопки <Добавить> справа от соответствующего поля (если атрибут содержит несколько значений, то при наведении мышки на кнопку <Добавить>, она становится активной – красного цвета). Дополнительно добавленное значение атрибута можно удалить по кнопке <Удалить>  справа от соответствующего поля атрибута.

При отсутствии доступных для указания значений в обязательном по шаблону поле отображается ошибка «Обязательно к заполнению».

Необязательные поля могут оставаться незаполненными. При этом необязательные поля субъекта с отсутствующими значениями отображаются в выключенном состоянии.

После заполнения полей и нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 36 – Создание заявки с закрытым ключом PKCS#12. Шаг 3

  • На четвёртом шаге задайте пароль для ключевого контейнера PKCS#12 (см. Рисунок 37):
    • пароль должен содержать не менее восьми символов с использованием цифр, заглавных и прописных букв, ввод осуществляется на латинице;
    • если в пароле используются запрещённые символы, то рамка поля ввода приобретает красный цвет;
    • если пароль и подтверждение не совпадают, то рамка поля подтверждения окрашивается в красный цвет;
    • для просмотра вводимых символов следует нажать кнопку на текущей строке;

После заполнения полей и нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 37 – Создание заявки с закрытым ключом PKCS#12. Шаг 4

  • На пятом шаге укажите параметры криптографии (см. Рисунок 38):
    • выберите алгоритм генерации ключевой пары. Список алгоритмов определяется выбранным шаблоном;
    • выберите длину ключа. Минимальная доступная для выбора длина ключа определяется выбранным шаблоном.

Рисунок 38 – Создание заявки с закрытым ключом PKCS#12. Шаг 5

  • Для создания заявки нажмите на кнопку <Создать заявку>.

После этого заявка будет зарегистрирована и обработана в соответствии с правилом выпуска, под которое она попадает.

[1] Субъект может быть указан в правилах выпуска как напрямую, так и косвенно через группу безопасности.

Создание заявки на ключевом носителе

На хосте, с которого выполняется сценарий, должно быть установлено ПО JC‑WebClient.

Также должен быть подключён ключевой носитель, поддерживаемый ПО JC‑WebClient.

Для создания заявки на ключевом носителе выполните следующие шаги:

  • Нажмите кнопку <Создать +> на главном экране раздела «Заявки» (см. Рисунок 39).
  • В открывшемся контекстном меню выберите сценарий выпуска сертификата «На ключевом носителе» (см. Рисунок 40).

Рисунок 39 – Контекстное меню создания заявки

  • При отсутствии установленного ПО JC‑WebClient на хосте, с которого выполняется сценарий, отобразится окно с сообщением об ошибке (см. Рисунок 40).

В данном случае необходимо установить на хост ПО JC‑WebClient и повторить процесс создания заявки.

Рисунок 40 – Ошибка «ПО JS‑WebClient не установлено»

  • При наличии установленного ПО JC‑WebClient и отсутствии подключённого ключевого носителя отобразится окно с сообщением об ошибке (см. Рисунок 41).

В данном случае необходимо подключить ключевой носитель, поддерживаемый ПО JC‑WebClient, и повторить процесс создания заявки.

Рисунок 41 – Ошибка «Нет доступных устройств»

  • При наличии установленного ПО JC‑WebClient и подключённого ключевого носителя, поддерживаемого ПО JC‑WebClient, отобразится окно «Создание заявки».

На первом шаге выберите субъект, для которого выпускается сертификат (см. Рисунок 34):

    • в поле поиска введите частичное или полное значение любого атрибута субъекта;
    • поиск субъектов выполняется по атрибутам и является регистронезависимым;
    • в результате будут отображены найденные субъекты с указанием краткой информации:
      • «CN» – значение атрибута «Common Name» субъекта;
      • «ID» – идентификатор субъекта;
      • «UPN» – значение атрибута «MS UPN, User Principal Name» субъекта;
      • «DNS» – значение атрибута «DNS Name» субъекта;
      • пиктограммы наличия подключения субъекта к ресурсной системе (см. Рисунок 42).
    • в результате поиска в полях «CN», «UPN» и «DNS» отображаются все значения соответствующего полю атрибута субъекта, разделитель значений в поле – запятая с пробелом;
    • в результате поиска поля «CN», «UPN» и «DNS» не отображаются, если в соответствующем данному
    • полю атрибуте у субъекта отсутствуют значения.

Выберите субъект и нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 42 – Создание заявки на ключевом носителе. Шаг 1

  • На втором шаге (см. Рисунок 43):
    • выберите ключевой носитель;
    • введите PIN‑код от ключевого носителя;
    • выберите шаблон, на основании которого будет создан сертификат. В списке шаблонов присутствуют шаблоны, которые указаны в правилах выпуска с режимом обработки «Автоматический выпуск» или «Ручная обработка» для выбранного на шаге 1 субъекта[1].

После выбора шаблона нажмите на кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 43 – Создание заявки на ключевом носителе. Шаг 2

  • На третьем шаге указаны атрибуты в соответствии с шаблоном сертификата (см. Рисунок 44). Значения атрибутов заполняются автоматически в соответствии с данными из субъекта Центра сертификации Aladdin eСA, выбранного на шаге 1, и изменению не подлежат. В случае если в атрибуте указано несколько значений, в выпадающем меню будет предложен выбор значения из существующих или возможно добавление значения атрибута по нажатию кнопки <Добавить> справа от соответствующего поля (если атрибут содержит несколько значений, то при наведении мышки на кнопку <Добавить>, она становится активной – красного цвета). Дополнительно добавленное значение атрибута можно удалить по кнопке <Удалить> справа от соответствующего поля атрибута.

При отсутствии доступных для указания значений в обязательном по шаблону поле отображается ошибка «Обязательно к заполнению».

Необязательные поля могут оставаться незаполненными. При этом необязательные поля субъекта с отсутствующими значениями отображаются в выключенном состоянии.

После заполнения полей и нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 44 – Создание заявки на ключевом носителе. Шаг 3

  • На четвёртом шаге укажите параметры криптографии (см. Рисунок 45):
  • выберите алгоритм генерации ключевой пары. Список алгоритмов определяется выбранным шаблоном;
  • выберите длину ключа. Минимальная доступная для выбора длина ключа определяется выбранным шаблоном.

Нажмите на кнопку <Создать заявку> для перехода к завершающему шагу.

Рисунок 45 – Создание заявки на ключевом носителе. Шаг 4

  • На завершающем шаге отображаются следующие стадии выполнения (см. Рисунок 46):
    • стадия «Генерация ключевой пары»;
    • стадия «Генерация запроса»;
    • стадия «Создание заявки».

В случае успешного завершения процесса (в соответствии с Рисунок 46) будет отображено успешное прохождение вышеуказанных стадий (отображение флажка в чек‑боксе с положительной (зелёной) индикацией чек‑бокса), а также сообщение об успешном создании заявки и текстовая подсказка о возможности импорта сертификата на КН при переходе заявки в статус «Ожидает импорта на КН».

Если во время выполнения стадий создания заявки будут выявлены ошибки, то информация об этом будет отражена под соответствующей стадией.

Рисунок 46 – Создание заявки на ключевом носителе. Завершающий шаг

  • Для закрытия окна нажмите на кнопку <Закрыть>.

Импорт сертификата на ключевой носитель будет доступен при переходе заявки в статус «Ожидает импорта на КН» (см. раздел 7.4.11).

[1] Субъект может быть указан в правилах выпуска как напрямую, так и косвенно через группу безопасности.

Отмена заявки

Статус заявки, участвующей в сценарии, должен быть «Ожидает подтверждения» или «Ошибка выпуска».

Отмена заявки может быть выполнена только учётной записью, создавшей данную заявку.

Для отмены заявки выполните следующие шаги:

  • На главном экране раздела «Заявки» найдите заявку, которую необходимо отменить. При этом заявка должна находится в статусе «Ожидает подтверждения» или «Ошибка выпуска».

Далее необходимо нажать на кнопку выбора действий для заявки:

  • в строке заявки нажмите на кнопку <Операции> ;
  • либо в карточке заявки нажмите на кнопку .
  • В появившемся контекстном меню (см. Рисунок 47) выберите действие «Отмена заявки».

Рисунок 47 – Меню действий для заявки. Вид для администратора. Заявка в статусе Ожидает подтверждения, создателем данной заявки является текущая учётная запись

  • В появившемся окне введите комментарий к отмене заявки (см. Рисунок 48).

Нажмите на кнопку <Отменить> для подтверждения действия.

Рисунок 48 – Окно комментария к отмене заявки

  • После подтверждения операции будет выполнена отмена заявки, в результате чего её статус будет изменён на «Отменена». Над заявками в статусе «Отменена» никаких действий в Центре регистрации Aladdin eRA не предусмотрено.

Указанный комментарий будет отображаться в карточке заявки в поле «Комментарий».

Обработка заявки администратором

Статус заявки, участвующей в сценарии, должен быть «Ожидает подтверждения».

Для обработки заявки выполните следующие шаги:

  • На главном экране раздела «Заявки» найдите заявку, которую необходимо обработать. При этом заявка должна находится в статусе «Ожидает подтверждения».

Далее необходимо нажать на кнопку выбора действий для заявки:

    • в строке заявки нажмите на кнопку <Операции> ;
    • либо в карточке заявки нажмите на кнопку .
  • В появившемся контекстном меню (см. Рисунок 49) выберите действие из перечня:
    • Отклонить выпуск;
    • Выпустить сертификат.

Рисунок 49 – Меню действий для заявки. Вид для администратора. Заявка в статусе Ожидает

  • В появившемся окне введите комментарий к действию (см. Рисунок 50 и Рисунок 51).

Нажмите на кнопку <Выпустить> или <Отклонить> для подтверждения действия.

Рисунок 50 – Окно комментария к подтверждению выпуска сертификата

Рисунок 51 – Окно комментария к отклонению выпуска сертификата

  • После подтверждения операции выбранное действие будет выполнено с заявкой, в результате чего её статус будет изменён.

Указанный комментарий будет отображаться в карточке заявки в поле «Комментарий».

В случае, если было выбрано действие «Выпустить сертификат», и выпуск не был завершён успешно (заявка в статусе «Ошибка выпуска»), будет доступно повторное выполнение данного сценария.

Импорт сертификата на ключевой носитель

На хосте, с которого выполняется сценарий, должно быть установлено ПО JC‑WebClient.

Также должен быть подключён ключевой носитель, поддерживаемый ПО JC‑WebClient.

Статус заявки, участвующей в сценарии, должен быть «Ожидает импорта на КН».

Для импорта сертификата на ключевой носитель выполните следующие шаги:

  • На главном экране раздела «Заявки» найдите заявку, сертификат которой необходимо импортировать на КН. При этом заявка должна находится в статусе «Ожидает импорта на КН».

Далее в строке заявки нажмите на кнопку <Операции> и в контекстном меню (см. Рисунок 23) выберите действие <Импортировать на КН>. Также контекстное меню (см. Рисунок 23) можно открыть из карточки заявки, нажав на кнопку.

Рисунок 52 – Меню действий для заявки. Вид для администратора. Выполненная заявка со сценарием «На основании запроса (PKCS#10)»

  • При отсутствии установленного ПО JC‑WebClient на хосте, с которого выполняется сценарий, отобразится окно с сообщением об ошибке (см. Рисунок 53).

В данном случае необходимо установить на хост ПО JC‑WebClient и повторить процесс создания заявки.

Рисунок 53 – Ошибка «ПО JS‑WebClient не установлено»

  • При наличии установленного ПО JC‑WebClient и отсутствии подключённого ключевого носителя отобразится окно с сообщением об ошибке (см. Рисунок 54).

В данном случае необходимо подключить ключевой носитель, поддерживаемый ПО JC‑WebClient, и повторить процесс создания заявки.

Рисунок 54 – Ошибка «Нет доступных устройств»

  • При наличии установленного ПО JC‑WebClient и подключённого ключевого носителя, поддерживаемого ПО JC‑WebClient, отобразится окно «Импорт сертификата на ключевой носитель».

В появившемся окне выберите ключевой носитель и введите PIN‑код от него (см. Рисунок 55).

Для продолжения нажмите на кнопку <Импортировать>.

Рисунок 55 – Импорт сертификата на ключевой носитель

  • После нажатия на кнопку «Импортировать» возникающие ошибки отображаются во всплывающем сообщении. Могут возникать следующие ошибки:
    • «Ключевой носитель не содержит закрытый ключ, соответствующий открытому ключу из сертификата» – возникает при попытке импорта сертификата на КН, который не содержит закрытый ключ, соответствующий открытому ключу импортируемого сертификата;
    • Ошибки, получаемые от ПО JC‑WebClient, за исключением ошибок при создании контейнера на КН[1].

При отсутствии ошибок импорта сертификата в окне «Импорт сертификата на ключевой носитель» будет отображено сообщение об успешном импорте сертификата на ключевой носитель, а также информационный элемент, содержащий имя издателя, имя субъекта и срок действия импортированного сертификата (см. Рисунок 41) . При этом заявка, сертификат которой был успешно импортирован на КН, перейдёт в статус «Выполнена».

Рисунок 56 – Импорт сертификата на ключевой носитель

[1] ПО Центра регистрации Aladdin eRA последовательно проходит по списку ключевых пар на используемом КН. Все неуспешные попытки создания контейнера завершаются ошибкой, возвращаемой ПО JC-WebClient. При этом ПО Центра регистрации Aladdin eRA не отображает ошибку для каждой ключевой пары, генерируемую ПО JC-WebClient, а выводит общую ошибку «Ключевой носитель не содержит закрытый ключ, соответствующий открытому ключу из сертификата», если КН не содержит подходящую ключевую пару.

Отзыв сертификата

Чтобы отозвать сертификат, заявка по которой он был выпущен должна быть в статусе «Выполнена», а статус сертификата «Активирован». Отзыв сертификата является необратимой операцией, которая может повлиять на работу пользователя или устройства.

Для пользователя с ролью «Получатель сертификатов» доступен отзыв сертификатов, выпущенных только по собственным заявкам. Пользователю с ролью «Оператор» доступен отзыв сертификатов из заявок для субъектов, доступ к которым ему предоставлен в соответствии с правилами доступа, назначенными в Центре сертификации Aladdin eCA, к которому подключен Центр регистрации Aladdin eRA. Пользователю с ролью «Администратор» доступен отзыв сертификатов, выпущенных по любым заявкам.

Порядок отзыва сертификата:

  • перейдите в раздел «Заявки» и найдите нужную заявку в списке;
  • откройте карточку выбранной заявки;
  • нажмите кнопку <Сертификат активирован> и выберите в контекстном меню «Сертификат отозван» (см. Рисунок 57);

Рисунок 57 – Отзыв сертификата

  • в открывшемся окне выберите в списке «Причина» причину отзыва сертификата, оставьте обязательный комментарий в соответствующем поле и нажмите кнопку <Отозвать> (см. Рисунок 58);

Рисунок 58 – Указание причины отзыва сертификата

  • В результате сертификат будет отозван.

Рисунок 59 –Сертификат отозван

Раздел «Учётные записи»

Раздел «Учётные записи» предоставляет информацию об учётных записях Центра регистрации Aladdin eRA, а также обеспечивает возможность блокировать и активировать учётные записи.

Переход в раздел «Учётные записи» (см. Рисунок 60) осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 10).

Данный раздел доступен только для пользователей с ролью «Администратор».

Рисунок 60 – Экран раздела «Учётные записи». Вкладка «Учётные записи eCA»

На экране раздела «Учётные записи» отображаются следующие вкладки:

  • Учётные записи Центра сертификации eCA.
  • Получатели сертификатов.

Вкладка «Учётные записи eCA»

На вкладке «Учётные записи eCA» в табличной форме отображена следующая информация об учётных записях из Центра сертификации, к которому подключён Центр регистрации Aladdin eRA (см. Рисунок 60):

  • отображаемое имя;
  • роль (Оператор, Администратор);
  • логин;
  • дата создания;
  • состояние (Активирована, Заблокирована).

Действия над учётными записями Центра сертификации Aladdin eСA производятся в Центре сертификации Aladdin eCA (подробнее см. документ «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 2. Функции управления Центра сертификации Aladdin Enterprise Certification Authority»).

Вкладка «Получатели сертификатов»

На вкладке «Получатели сертификатов» в табличной форме отображена следующая информация о доменных учётных записях (см. Рисунок 61):

  • отображаемое имя;
  • дата создания;
  • состояние (Активирована, Заблокирована).

На вкладке «Получатели сертификатов» доступны следующие действия:

  • блокировка активированных учётных записей;
  • активация заблокированных учётных записей.

Рисунок 61 – Экран раздела «Учётные записи». Вкладка «Получатели сертификатов»

Блокировка доменной учётной записи

Администратор может заблокировать доменную учётную запись в состоянии «Активирована».

Для блокировки учётной записи найдите учётную запись, которую необходимо заблокировать, нажмите на кнопку <Операции>  и выберите опцию <Заблокировать> (см. Рисунок 62).

В результате блокировки доменной учётной записи:

  • Все сессии данной учётной записи будут удалены из БД.
  • Как следствие, при выполнении любых запросов (за исключением запросов на аутентификацию) будет выводиться ошибка: «Недействительный идентификатор сессии».
  • Субъект заблокированной учётной записи не сможет выполнить вход в Центр регистрации – при аутентификации будет выводиться ошибка: «Аккаунт заблокирован».

Рисунок 62 – Экран раздела «Учётные записи». Блокировка доменной учётной записи

Активация доменной учётной записи

Активация может быть выполнена для доменных учётных записей в состоянии «Заблокирована».

Для активации учётной записи найдите учётную запись, которую необходимо активировать, нажмите на кнопку <Операции> и выберите опцию <Активировать> (см. Рисунок 63).

Рисунок 63 – Экран раздела «Учётные записи». Активация доменной учётной записи

Раздел «Журнал событий»

Раздел «Журнал событий» предназначен для полного или выборочного просмотра истории событий сервера Центра регистрации Aladdin eRA, формирования и выгрузки журнала событий по заданным критериям.

Переход в раздел «Журнал событий» (см. Рисунок 64) осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 10).

Данный раздел доступен для пользователей с ролями «Администратор» и «Оператор»:

  • для пользователя с ролью «Администратор» доступен просмотр всех событий журнала;
  • для пользователя с ролью «Оператор» доступен просмотр только следующих событий журнала:
    • события, для которых он является инициатором;
    • события по заявкам, которые были созданы данным пользователем;
    • события по заявкам, у которых получателем сертификата является субъект, доступный данному пользователю в соответствии с правилами доступа Центра сертификации, к которому подключён Центр регистрации Aladdin eR

Центр регистрации оснащён функцией сбора диагностической информации, которая получает и аккумулирует записи о событиях для последующего анализа в базе данных (конфигурация базы данных указана в файле /opt/aecaRa/scripts/config.sh).

В процессе работы Центра регистрации системные службы и компоненты приложения записывают все производимые действия. Произошедшие события записываются в файлы регистрации событий с расширением .log, расположенные в папках соответствующих сервисов, которыми были инициированы события по пути /opt/aecaRa/dist/logs/’имя сервиса’. Файлы технических логов, создаваемые в подкаталогах /opt/aecaRa/dist/logs/, имеют права доступа 640 (rw‑r‑‑‑‑‑). Срок хранения файлов регистрации событий составляет 10 дней с ограничением размера в 50 Мб.

Рисунок 64 – Экран раздела «Журнал событий»

В разделе «Журнал событий» в табличной форме отображена следующая информация о событиях[1]:

  • дата регистрации события;
  • учётная запись – имя учётной записи, действия которой повлекли событие;
  • роль (администратор, оператор);
  • категория события (информация или ошибка);
  • код события;
  • описание.

В разделе «Журнал событий» доступны следующие действия:

  • просмотр подробного описания события в его карточке;
  • копирование события в буфер обмена;
  • экспорт журнала событий в формате .csv файла (полный или с применением фильтров);
  • полный или выборочный просмотр журнала событий.

[1] Возможные сообщения журнала событий приведены в Приложении 6.

Управление экранной таблицей

Для каждой колонки экранной таблицы (справа от названия заголовка) доступна кнопка управления действиями <Действия в колонке>. По нажатию данной кнопки разворачивается меню (см. Рисунок 65), в котором возможно (в зависимости от применённых ранее действий – фильтр, сортировка, изменение ширины, скрытие колонки):

  • очистить сортировку, если ранее было применено данное действие, и вернуться к отображению всех событий в колонке;
  • сортировать по возрастанию/убыванию значений в колонке;
  • очистить фильтр, если ранее было применено данное действие, и вернуться к отображению всех событий в колонке;
  • отфильтровать, отобразив поле для выбора критерия фильтрации;
  • сбросить размер колонок, сбросив ширину колонок к значению «по умолчанию»;
  • скрыть колонку из отображаемых на экране;
  • показать все колонки, отобразив на экране ранее скрытые колонки.

Рисунок 65 – Кнопка <Действия в колонке>

Для сброса применённых фильтров нажмите кнопку <Сбросить фильтр> . В результате в экранной таблице раздела «Журнал событий» будут отображены записи о всех зарегистрированных событиях.

Рисунок 66 – Кнопка <Сбросить фильтр>

Фильтрация событий

Для выборочного просмотра событий в разделе «Журнал событий» возможно применение фильтров. Для отображения параметров фильтрации для всех колонок таблицы нажмите кнопку <Фильтр>, заголовки колонок экранной таблицы будут дополнены полями фильтров для каждой колонки (см. Рисунок 67):

  • Дата события. Выберите за какой период отразить события на экране, введите дату с помощью клавиатуры или выберите в развернувшемся календаре.
  • Учётная запись. Выберите учётные записи, чьи действия повлекли события.
  • Роль. Выберите роли пользователей, чьи действия повлекли события.
  • Категории событий. Выберите категории событий для отображения (ошибка, информация).
  • Коды событий. Выберите коды событий для отображения.

Выберите одно или несколько значений фильтров, после выбора фильтр будет применён сразу автоматически.

Повторное нажатие кнопки <Фильтр> скроет поля выбора критериев фильтрации, но не отменяет применённые фильтры.

Заголовки таблицы, для которых применён фильтр, будут отмечены знаком .

Рисунок 67 – Поля фильтров заголовков экранной таблицы

Для очистки применённых фильтров для каждого заголовка колонки нажмите кнопку <Действия в колонке> и в раскрывшемся окне выберите пункт «Очистить фильтр» (см. Рисунок 65).

Для полной отмены всех применённых фильтров по всем колонкам воспользуйтесь кнопкой <Сбросить фильтр> на экране раздела «Журнал событий».

Сортировка событий

Средства сортировки событий в разделе «Журнал событий» представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 68):

  • дата события – упорядочивание осуществляется от старых к новым или от новых к старым записям событий;
  • учётная запись – упорядочивание осуществляется в алфавитном порядке;
  • роль – упорядочивание осуществляется в алфавитном порядке;
  • код события – упорядочивание данных в порядке возрастания или убывания кода.

Рисунок 68 – Поля сортировки содержимого экрана раздела «Журнал событий»

Для выполнения сортировки по выбранной колонке таблицы нажмите на заголовок выбранной колонки или используйте кнопку <Действие колонки> (см. Рисунок 65).

Сортировка происходит только по одному значению при нажатии на соответствующий заголовок колонки таблицы.

Активное поле таблицы, по которому выполнена сортировка, обозначено знаком с правой стороны от заголовка таблицы.

Для сброса сортировки в каждой колонке:

  • нажмите кнопку <Действия в колонке> и в раскрывшемся списке выберите пункт «Очистить сортировку» (см. Рисунок 65);
  • или несколько раз нажмите на заголовке колонки, для которой применена сортировка.

Поиск событий

Строка поиска (см. Рисунок 69) предназначена для поиска записей событий в журнале по содержимому поля «Описание» и полям подраздела «Подробности» карточки события. Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.

Рисунок 69 – Поисковая строка в разделе «Журнал событий»

Для сброса результатов поиска и возврату к полному перечню событий в экранной таблице удалите содержимое строки поиска.

Карточка события

  • Просмотр подробного описания события возможен посредством окна «Свойства события» (карточка события);
  • Переход к окну «Свойства события» (см. Рисунок 70) осуществляется при нажатии на строку события в разделе «Журнал событий» (см. Рисунок 64).

Рисунок 70 – Окно «Свойство события»

  • Карточка события включает в себя следующую информацию:
    • подраздел «Общие сведения», содержащий следующие поля:
      • «Дата события» – содержит дату и время события;
      • «Учетная запись» – содержит логин учетной записи инициатора события;
      • «Роль» – содержит роль учетной записи инициатора события;
      • «IP‑адрес источника» ‑ IP‑адрес узла, с которого была выполнена аутентификация пользователя (инициатора события);
      • «Категория события» – содержит категорию события (Информация или Ошибка);
      • «Код события», содержащее код события (список кодов событий см. в Приложении 6);
      • «Описание».
    • подраздел «Подробности», содержащий поля расширенного описания события. Состав полей см. в Приложении 6.
  • Доступные действия в карточке события:
    • копирование информации о событии в буфер обмена (см. 7.6.6);
    • закрытие окна с помощью нажатия на кнопку <Закрыть>.

Копирование события в буфер обмена

Для копирования события в буфер обмена выполните следующие шаги:

  • откройте карточку события (см. Рисунок 70);
  • в карточке события нажмите на кнопку <Копировать>. При этом происходит копирование содержимого полей карточки события в буфер обмена в формате «Название поля: значение в поле»;

Рисунок 71 – Пример копирования события в текстовый файл

Экспорт журнала событий

  • В разделе «Журнал событий» при необходимости воспользуйтесь фильтрами и строкой поиска для задания критериев отбора экспортируемых событий.

Если их не задать, то будет произведено скачивание всех записей журнала событий.

  • Нажмите на кнопку <Скачать> , расположенную на верхней панели экрана раздела «Журнал событий».
  • После этого будет произведена подготовка файла с записями журнала событий, в соответствии с критериями фильтров и поиска. Кнопка меняет своё состояние в зависимости от статуса процесса скачивания:
    • скачать – система готова к новому формированию и скачиванию журнала событий;
    • скачивание выполняется – начинается подготовка файла, содержащего записи журнала событий. Нажатие на кнопку в текущем состоянии не повлечёт никаких действий;
    • скачать (готово) – файл журнала событий готов для скачивания. Нажатие на кнопку запускает скачивание файла журнала событий по указанному пути (в соответствии с настройками браузера). После завершения скачивания файла, статус кнопки возвращается в состояние «Скачать».
  • Выгруженный файл имеет формат .csv, содержимое файла представлено в кодировке UTF‑8 с разделителем полей “;” и доступно для открытия любым текстовым редактором (рекомендуемая программа просмотра записей журнала событий – MS Excel).

Архивирование и очистка журнала событий

Центр регистрации обеспечивает настраиваемое архивирование событий аудита с одновременной очисткой журнала событий в части заархивированных событий.

Для настройки параметров архивации и очистки отредактируйте в конфигурационном файле /opt/aecaRa/scripts/config.sh следующие переменные окружения:

    • archive_enabled– флаг включения режима архивации (по умолчанию архивация включена – значение «true», для выключения режима установите значение «false»);
    • archive_millis_ago– время хранения событий (по умолчанию 180 дней) в миллисекундах. Записи со сроком давности большим или равным времени хранения будут заархивированы;
    • archive_cron– периодичность запуска архивации (значение указывается в формате CRON‑выражения, значение по умолчанию – ‘0 0 0 1 * *’). По умолчанию процесс архивации будет запущен при наступлении первого числа каждого месяца;
    • archive_path– путь расположения сформированного архива.

Архив в формате .zip, содержащий .csv файл, с именем logs‑<дата и время создания архива>.zip будет сохранён в папке (по умолчанию) /opt/aecaRa/dist/archive.

Раздел «Управление»

Переход на экран раздела «Управление» (см. Рисунок 72) осуществляется по выбору раздела «Управление» бокового меню, расположенного слева на главном экране (см. Рисунок 10).

Раздел «Управление» содержит вкладки «Правила выпуска» и «SCEP».

Данный раздел доступен только для администратора.

Вкладка «Правила выпуска»

Вкладка «Правила выпуска» (см. Рисунок 72) раздела «Управление» обеспечивает возможности создания, изменения, удаления правил выпуска сертификатов, также управления статусами правил выпуска.

Рисунок 72 – Экран раздела «Управление». Вкладка «Правила выпуска»

Во вкладке «Правила выпуска» раздела «Управление» в табличной форме отображена следующая информация о существующих правилах выпуска (см. Таблица 13):

Таблица 13 – Описание полей таблицы «Правил выпуска сертификатов»

Поле

Описание

Отображаемое имя

Содержит отображаемое имя правила

Субъекты доступа

Содержит перечень субъектов и групп безопасности, являющихся субъектами доступа по данному правилу. Для групп безопасности указан домен, которому они принадлежат. В данном поле может содержаться значение «Все субъекты», обозначающее, что субъектами доступа по правилу являются все субъекты и группы безопасности Центра сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, включая локальных субъектов

Шаблоны

Содержит перечень шаблонов правила выпуска. В данном поле может содержаться значение «Все шаблоны», если при создании правила выпуска на шаге выбора шаблонов была выбрана опция «Все шаблоны»

Дата создания

Содержит дату и время создания правила выпуска

Режим обработки

Содержит режим обработки заявки по правилу выпуска. Допустимые значения в поле: «Автоматический выпуск», «Ручная обработка», «Отклонение заявки»

Статус

Содержит статус правила выпуска. Допустимые значения в поле: «Запущено», «Остановлено»

Внимание! После обновления ПО до версии 2.2 правила выпуска с субъектами доступа, являющимися подразделениями, удаляются.

Во вкладке «Правила выпуска» раздела «Управление» доступны следующие действия:

  • Создание нового правила выпуска;
  • Редактирование правила выпуска;
  • Запуск и остановка правила выпуска;
  • Копирование правила выпуска;
  • Удаление правила выпуска.

Создание правила выпуска

Для создания правила выпуска выполните следующие шаги:

  • Нажмите кнопку <Создать правило +> на главном экране раздела «Управление» (см. Рисунок 72).
  • В открывшемся окне укажите отображаемое имя для создаваемого правила выпуска (см. Рисунок 73). Далее нажмите кнопку <Продолжить> для перехода к следующему шагу.

Рисунок 73 – Окно создания правила выпуска. Шаг 1. Отображаемое имя

  • На втором шаге выберите субъекты доступа для создаваемого правила. Допустимые варианты выбора субъектов доступа:
    • «Все субъекты» (см. Рисунок 74). При выборе данного значения субъектами доступа будут являться все субъекты и группы безопасности ресурсных систем Центра сертификации Aladdin eCA, к которому подключён Центра регистрации Aladdin eRA, включая локальную ресурсную систему. При выборе данного значения указание отдельных субъектов или групп безопасности на данном шаге будет недоступно;

Рисунок 74 – Окно создания правила выпуска. Шаг 2. Выбор субъектов – Все субъекты

«Выбрать субъекты или группы» (см. Рисунок 75). При выборе данного значения становится доступен выбор типа (субъекты или группы), а также домена. Вложенные группы не наследуют правила выпуска от вышестоящих групп. Выбранные субъекты доступа необходимо перенести в правый столбец («Выбрано») путём нажатия на стрелку вправо. В случае, если в правый столбец («Выбрано») не добавлен ни один субъекта доступа, переход на следующий шаг недоступен.

Рисунок 75 – Окно создания правила выпуска. Шаг 2. Выбор субъектов – Выбрать субъекты

  • Для перехода к следующему шагу нажмите на кнопку <Продолжить>.
  • На третьем шаге выберите шаблоны для создаваемого правила выпуска. Доступны следующие варианты выбора шаблонов для правила выпуска:
    • «Все шаблоны» (см. Рисунок 76). При выборе данного значения объектами доступа будут являться все шаблоны (в том числе те, которые будут созданы в Центра сертификации Aladdin eCA позднее). При выборе данного значения указание отдельных шаблонов на данном шаге будет недоступно.

Рисунок 76 – Окно создания правила выпуска. Шаг 3. Выбор шаблонов – Все шаблоны

    • «Выбрать шаблоны» (см. Рисунок 77). При выборе данного значения пользователю доступен выбор шаблонов.

Выбранные шаблоны необходимо перенести в правый столбец («Выбрано») путём нажатия на стрелку вправо.

В случае, если в правый столбец («Выбрано») не добавлен ни один шаблон, переход на следующий шаг недоступен.

Рисунок 77 – Окно создания правила выпуска. Шаг 3. Выбор шаблонов – Выбрать шаблоны

  • Для перехода к следующему шагу нажмите на кнопку <Продолжить>.
  • На четвёртом шаге выберите режим обработки заявок для создаваемого правила выпуска (см. Рисунок 77). Режим обработки выбирается из следующих вариантов: «Автоматический выпуск», «Ручная обработка», «Отклонение заявки».

Рисунок 78 – Окно создания правила выпуска. Шаг 4. Выбор режима обработки

  • Для перехода к следующему шагу нажмите на кнопку <Продолжить>.
  • На пятом шаге отображена информация о создаваемом правиле выпуска, включающая в себя отображаемое имя, перечень выбранных субъектов доступа, шаблонов и режим обработки по правилу (см. Рисунок 79).

Рисунок 79 – Окно создания правила выпуска. Шаг 5. Подтверждение перед созданием

  • Для создания правила выпуска нажмите на кнопку <Создать правило>. После этого окно создания закроется, и созданное правило выпуска появится в списке правил выпуска в разделе «Управление».

Редактирование правила выпуска

Для редактирования правила выпуска выполните следующие шаги:

  • Найдите правило выпуска, которое необходимо отредактировать, нажмите на кнопку <Операции> и выберите опцию <Редактировать> (см. Рисунок 80).

Рисунок 80 – Экран раздела «Управление». Вкладка «Правила выпуска». Редактирование правила выпуска

  • В открывшемся окне «Редактирование правила выпуска» на первом шаге осуществляется редактирование отображаемого имени правила выпуска (см. Рисунок 81).

Рисунок 81 – Окно редактирования правила выпуска. Шаг 1. Отображаемое имя

  • Далее нажмите кнопку <Продолжить> для перехода к следующему шагу.
  • На шаге 2 окна «Редактирование правила выпуска» осуществляется редактирование субъектов доступа для правила выпуска (см. Рисунок 82 и Рисунок 83). Редактирование субъектов доступа для правила выпуска осуществляется аналогично их выбору при создании правила выпуска (см. раздел 7.7.1.1). В случае, если из правого столбца («Выбрано») исключены все элементы, переход на следующий шаг недоступен.

Рисунок 82 – Окно редактирования правила выпуска. Шаг 2. Выбор субъектов – Все субъекты

Рисунок 83 – Окно редактирования правила выпуска. Шаг 2. Выбор субъектов – Выбрать субъекты

  • На шаге 3 окна «Редактирование правила выпуска» осуществляется редактирование шаблонов для правила выпуска (см Рисунок 84 и Рисунок 86). Редактирование перечня шаблонов правила выпуска осуществляется аналогично их выбору при создании правила выпуска (см. раздел 7.7.1.1). В случае, если из правого столбца («Выбрано») исключены все элементы, переход на следующий шаг недоступен.

Рисунок 84 – Окно редактирования правила выпуска. Шаг 3. Выбор шаблонов – Все шаблоны

Рисунок 85 – Окно редактирования правила выпуска. Шаг 3. Выбор шаблонов – Выбрать шаблоны

  • На шаге 4 окна «Редактирование правила выпуска» осуществляется редактирование режима обработки заявок для правила выпуска (см. Рисунок 86). Режим обработки выбирается из следующих вариантов: «Автоматический выпуск», «Ручная обработка» и «Отклонение заявки».

Рисунок 86 – Окно редактирования правила выпуска. Шаг 4. Выбор режима обработки

  • На шаге 5 окна «Редактирование правила выпуска» отображена информация об отредактированном правиле выпуска, включающая в себя отображаемое имя, перечень субъектов доступа, шаблонов и режим обработки по правилу (см. Рисунок 87).

Рисунок 87 – Окно редактирования правила выпуска. Шаг 5. Подтверждение

  • После нажатия на кнопку «Сохранить изменения» отредактированное правило выпуска будет обновлено.

Запуск правила выпуска

Запуск может быть выполнен только для правил выпуска в статусе «Остановлено».

Для запуска правила выпуска выполните следующие шаги:

  • Найдите правило выпуска, которое необходимо запустить, нажмите на кнопку <Операции> и выберите опцию <Запустить> (см. Рисунок 88).

Рисунок 88 – Экран раздела «Управление». Вкладка «Правила выпуска». Запуск правила выпуска

  • В появившемся окне подтверждения операции запуска (см. Рисунок 89) нажмите на кнопку <Запустить>. После нажатия на неё правило выпуска будет запущено и будет использоваться при обработке заявок.

Рисунок 89 – Окно подтверждения запуска правила выпуска


Остановка правила выпуска

Остановка может быть выполнена только для правил выпуска в статусе «Запущено».

Для остановки правила выпуска выполните следующие шаги:

  • Найдите правило выпуска, которое необходимо остановить, нажмите на кнопку <Операции> и выберите опцию <Остановить> (см. Рисунок 90).

Рисунок 90 – Экран раздела «Управление». Вкладка «Правила выпуска». Остановка правила выпуска

  • В появившемся окне подтверждения операции остановки (см. Рисунок 91) нажмите на кнопку <Остановить>. После нажатия на неё правило выпуска будет остановлено и не будет использоваться при обработке заявок.

Рисунок 91 – Окно подтверждения остановки правила выпуска


Копирование правила выпуска

Для копирования правила выпуска выполните следующие шаги:

  • Найдите правило выпуска, которое необходимо скопировать, нажмите на кнопку <Операции> и выберите опцию <Скопировать> (см. Рисунок 92).

Рисунок 92 – Экран раздела «Управление». Вкладка «Правила выпуска». Копирование правила выпуска

  • В появившемся окне подтверждения операции копирования (см. Рисунок 93) нажмите на кнопку <Скопировать>. После нажатия на неё правило выпуска будет скопировано, при этом созданное правило выпуска будет находится в статусе «Запущено».

Рисунок 93 – Окно подтверждения копирования правила выпуска

Удаление правила выпуска

Для удаления правила выпуска выполните следующие шаги:

  • Найдите правило выпуска, которое необходимо удалить, нажмите на кнопку <Операции> и выберите опцию <Удалить> (см. Рисунок 94).

Рисунок 94 – Экран раздела «Управление». Вкладка «Правила выпуска». Удаление правила выпуска

  • В появившемся окне подтверждения операции удаления (см. Рисунок 95) нажмите на кнопку <Удалить>. После нажатия на неё правило выпуска будет удалено.

Рисунок 95 – Окно подтверждения удаления правила выпуска

Вкладка «SCEP»

Вкладка «SCEP» (см. Рисунок 96) раздела «Управление» обеспечивает следующие возможности:

  • Создания, изменения и удаления SCEP‑политик, а также управления статусами SCEP‑политик.
  • Создания, остановка, запуск и удаления SCEP‑профилей.

Во вкладке «SCEP» раздела «Управление» отображена следующая информация:

  • информация о существующих SCEP‑политиках в табличной форме с полями:
    • «ChallengePassword» – содержит ChallengePassword SCEP‑политики;
    • «Шаблон» – содержит шаблон, который используется при создании заявки по SCEP‑политике;
    • «Статус» – содержит статус SCEP‑политики. Допустимые значения в поле: «Активирована», «Остановлена».

Рисунок 96 – Экран раздела «Управление». Вкладка «SCEP»

  • информация о существующих SCEP‑профилях в табличной форме с полями:
    • индикатор «Оранжевый треугольник с восклицательным знаком» – отображается только при неработоспособности SCEP‑профиля. При наведении курсора на него отображается всплывающее сообщение «SCEP‑профиль неработоспособен»;
    • «Отображаемое имя» – содержит отображаемое имя SCEP‑профиля;
    • «Идентификатор профиля» – содержит идентификатор SCEP‑профиля;
    • «Центр сертификации» – содержит отображаемое имя Центра сертификации подключенного Центра сертификации Aladdin eCA, с которым ассоциирован данный профиль. Значение в данном поле является гиперссылкой на карточку данного Центра сертификации в Центре сертификации Aladdin eCA;
    • «Технологический сертификат» – содержит идентификатор технологического сертификата данного SCEP‑профиля. Значение в данном поле является гиперссылкой на карточку данного сертификата в Центре сертификации Aladdin eCA;
    • «Алгоритм шифрования» – содержит название алгоритма, по которому будут шифроваться ответы данного SCEP‑сервера на запросы клиентов. Допустимые значения в поле: «DES», «AES», «AES_192», «AES_256», «DESede»;
    • «Статус» – статус SCEP‑профиля. Допустимые значения в поле: «Активирован», «Остановлен».

Во вкладке «Правила выпуска» раздела «Управление» доступны следующие действия:

  • Действия над SCEP‑политиками:
    • Создание SCEP‑политики (см. 7.7.2.1);
    • Редактирование SCEP‑политики (см. 7.7.2.2);
    • Запуск SCEP‑политики (см. 7.7.2.3);
    • Остановка SCEP‑политики (см. 7.7.2.4);
    • Удаление SCEP‑политики (см. 7.7.2.5).
  • Действия над SCEP‑профилями:
    • Создание SCEP‑профиля (см. 7.7.2.6);
    • Копирование URL адреса SCEP‑сервера выбранного SCEP‑профиля (см. 7.7.2.7);
    • Остановка и запуск SCEP‑профиля (см. 7.7.2.8);
    • Удаление SCEP‑профиля (см. 7.7.2.9).

Создание SCEP‑политики

Для создания SCEP‑политики выполните следующие шаги:

  • В разделе «Управление» во вкладке «SCEP» нажмите на кнопку <Создать политику> ;
  • В отрывшемся окне «Создание SCEP‑политики» (см. Рисунок 97) укажите «ChallengePassword» и выберите шаблон для создаваемой SCEP‑политики.

При этом допускается оставить поле «ChallengePassword» пустым. Данная SCEP‑политика будет использоваться при обработке запросов, в которых отсутствует «ChallengePassword».

Рисунок 97 – Окно «Создание SCEP‑политики»

  • Далее нажмите на кнопку <Создать политику>.
  • При успешном создании созданная SCEP‑политика будет отображаться в списке SCEP‑политик на вкладке «SCEP» в разделе «Управление».

В случае, если указанный ChallengePassword уже используется в существующей SCEP‑политике, после нажатия на кнопку «Создать политику» в пользовательском интерфейсе Центра регистрации Aladdin eRA будет отображено всплывающее сообщение об ошибке «Указанный ChallengePassword уже используется», и новая политика не будет создана. Данное ограничение применимо в том числе и к SCEP‑политике, у которой ChallengePassword представляет собой пустую строку.

Редактирование SCEP‑политики

Для редактирования SCEP‑политики выполните следующие шаги:

  • Найдите SCEP‑политику, которую необходимо отредактировать, нажмите на кнопку <Операции> и выберите опцию <Редактировать> (см. Рисунок 98).

Рисунок 98 – Экран раздела «Управление». Вкладка «SCEP». Редактирование SCEP‑политики

  • В отрывшемся окне «Редактирование SCEP‑политики» (см. Рисунок 99) осуществляется редактирование ChallengePassword и шаблона SCEP‑политики.

При этом допускается оставить поле «ChallengePassword» пустым. Данная SCEP‑политика будет использоваться при обработке запросов, в которых отсутствует «ChallengePassword».

Рисунок 99 – Окно «Редактирование SCEP‑политики»

  • После нажатия на кнопку «Сохранить изменения» отредактированная SCEP‑политика будет обновлена.

В случае, если указанный ChallengePassword уже используется в существующей SCEP‑политике, после нажатия на кнопку «Создать политику» в пользовательском интерфейсе Центра регистрации Aladdin eCA будет отображено всплывающее сообщение об ошибке «Указанный ChallengePassword уже используется», и новая политика не будет создана. Данное ограничение применимо в том числе и к SCEP‑политике, у которой ChallengePassword представляет собой пустую строку.

Запуск SCEP‑политики

Запуск может быть выполнен только для SCEP‑политик в статусе «Остановлена».

Для запуска SCEP‑политики выполните следующие шаги:

  • Найдите SCEP‑политику, которую необходимо запустить, нажмите на кнопку <Операции> и выберите опцию <Запустить> (см. Рисунок 100).

Рисунок 100 – Экран раздела «Управление». Вкладка «SCEP». Запуск SCEP‑политики

  • В открывшемся окне подтверждения операции запуска (см. Рисунок 101) нажмите на кнопку <Запустить>. После нажатия на неё SCEP‑политика будет запущена.

Рисунок 101 – Окно подтверждения запуска SCEP‑политики

Остановка SCEP‑политики

Остановка может быть выполнен только для SCEP‑политик в статусе «Активирована».

Для остановки SCEP‑политики выполните следующие шаги:

  • Найдите SCEP‑политику, которую необходимо остановить, нажмите на кнопку <Операции> и выберите опцию <Остановить> (см. Рисунок 102).

Рисунок 102 – Экран раздела «Управление». Вкладка «SCEP». Остановка SCEP‑политики

  • В появившемся окне подтверждения операции остановки (см. Рисунок 103) нажмите на кнопку <Остановить>. После нажатия на неё SCEP‑политика будет остановлена.

Рисунок 103 – Окно подтверждения остановки SCEP‑политики

Удаление SCEP‑политики

Для удаления SCEP‑политики выполните следующие шаги:

  • Найдите SCEP‑политику, которую необходимо удалить, нажмите на кнопку <Операции> и выберите опцию <Удалить> (см. Рисунок 104).

Рисунок 104 – Экран раздела «Управление». Вкладка «SCEP». Удаление SCEP‑политики

  • В появившемся окне подтверждения операции удаления (см. Рисунок 105) нажмите на кнопку <Удалить>. После нажатия на неё SCEP‑политика будет удалена.

Рисунок 105 – Окно подтверждения удаления SCEP‑политики

Создание SCEP‑профиля

Для создания SCEP‑профиля выполните следующие шаги:

  • В разделе «Управление» во вкладке «SCEP» нажмите на кнопку <Создать профиль> ;
  • В отрывшемся окне «Создание SCEP‑ профиля» (см. Рисунок 97) заполните следующие поля:
    • отображаемое имя для создаваемого SCEP‑профиля;
    • Центр сертификации подключенного Центра сертификации Aladdin eCA, для которого необходимо создать SCEP‑профиль. В списке доступных для выбора Центров сертификации отсутствуют те Центры сертификации, для которых в Центре регистрации Aladdin eRA уже существует SCEP‑профиль;
    • алгоритм шифрования ответов SCEP‑сервера.

Рисунок 106 – Окно «Создание SCEP‑профиля»

  • Далее нажмите на кнопку <Создать профиль>.
  • При успешном создании созданный SCEP‑профиль будет отображаться в списке SCEP‑профилей на вкладке «SCEP» в разделе «Управление».

Работа со SCEP‑профилями Центров сертификации подключенного Центра сертификации Aladdin eCA, у которых криптопровайдером алгоритма ключа является СКЗИ «КриптоПро CSP», недоступна.

Для такого SCEP‑профиля сразу после его создания в пользовательском интерфейсе Центра регистрации Aladdin eRA будет отображаться индикация его неработоспособности

Копирование URL адреса SCEP‑сервера выбранного SCEP‑профиля

Для копирования URL SCEP‑сервера найдите SCEP‑профиль в списке нажмите на кнопку <Операции> и выберите опцию <Копировать URL> (см. Рисунок 107).

Рисунок 107 – Экран раздела «Управление». Вкладка «SCEP». Копирование URL

После этого буфер обмена будет содержать URL адреса SCEP‑сервера выбранного SCEP‑профиля (см. Рисунок 108).

Рисунок 108 – Пример URL адреса SCEP‑сервера

Остановка и запуск SCEP‑профиля

Для остановки SCEP‑профиля выполните следующие действия:

  • Найдите SCEP‑профиль в списке, нажмите на кнопку <Операции> и выберите в списке <Остановить> (см. Рисунок 111).

Рисунок 109 – Экран раздела «Управление». Вкладка «SCEP». Остановка SCEP‑профиля

  • В появившемся окне подтверждения операции (см. Рисунок 112) нажмите на кнопку <Остановить>.

Рисунок 110 – Окно подтверждения удаления SCEP‑профиля

В результате SCEP‑профиль будет остановлен (статус «Остановлен»

Чтобы активировать (запустить) SCEP‑профиль найдите его в списке, нажмите на кнопку <Операции> и выберите в списке <Запустить>. В открывшемся окне подтвердите запуск профиля, нажав кнопку <Запустить>.

Удаление SCEP‑профиля

Для удаления SCEP‑профиля выполните следующие шаги:

  • Найдите SCEP‑профиль, который необходимо удалить, нажмите на кнопку <Операции> и выберите опцию <Удалить> (см. Рисунок 111).

Рисунок 111 – Экран раздела «Управление». Вкладка «SCEP». Удаление SCEP‑профиля

  • В появившемся окне подтверждения операции удаления (см. Рисунок 112) нажмите на кнопку <Удалить>. После нажатия на неё SCEP‑профиль будет удален.

Рисунок 112 – Окно подтверждения удаления SCEP‑профиля

Раздел «Настройки»

Раздел «Настройки» предоставляет информацию о текущем сертификате веб‑сервера, о разрешённых издателях, обеспечивает возможность замены сертификата веб‑сервера и управления Syslog‑серверами для отправки сообщении с событиями аудита.

Переход на экран раздела «Настройки» (см. Рисунок 113) осуществляется по выбору раздела «Настройки» бокового меню, расположенного слева на главном экране (см. Рисунок 10).

Раздел «Настройки» содержит вкладки «Веб‑сервер» и «Syslog».

Данный раздел доступен только для администратора.

Вкладка «Веб сервер»

Вкладка «Веб‑сервер» предназначена для:

  • просмотра данных текущего сертификата веб‑сервера;
  • изменения текущего сертификата веб‑сервера;
  • просмотра списка разрешенных издателей сертификатов.

Вкладка «Веб‑сервер» включает в себя следующие подразделы:

  • Сертификат;
  • Разрешённые издатели.

В подразделе «Сертификат» в табличной форме отображена следующая информация о текущем сертификате веб‑сервера:

  • в поле «Имя» – CN, указанный в сертификате;
  • в поле «Издатель» – SDN издателя сертификата;
  • в поле «Действителен до» – дата окончания действия сертификата.

В подразделе «Разрешённые издатели» в табличной форме отображается следующая информация об издателях сертификатов:

  • в поле «Отображаемое имя» ‑ отображаемое имя центра сертификации;
  • в поле «Издатель» – CN, указанный в сертификате центра сертификации;
  • в поле «Действителен до» – дата окончания действия сертификата центра сертификации;
  • в поле «Разрешенный издатель» – индикатор, отражающий вхождение издателя в список разрешённых.

Рисунок 113 – Экран раздела «Настройки»

Смена сертификата веб‑сервера

Предварительно на подключённом Центре сертификации Aladdin eCA необходимо выпустить сертификат для субъекта, соответствующего Центра регистрации Aladdin eRA, с шаблоном WEB‑Server и со следующими значениями в полях:

  • «Common name» – имя веб‑сервера, отображаемое на экране, в разделе «Настройки», рекомендуется указать имя сервера;
  • «DNS Name» – имя хоста, на котором развёрнут Центр регистрации, должно совпадать с указанным в файле /etc/hosts.

Импортируемый сертификат должен отвечать следующим требованиям:

  • должен быть действительным;
  • должен содержать идентификатор расширенного использования ключа «Server Authentication» (OID 1.3.6.1.5.5.7.3.1);
  • если используется веб‑сервер cpnginx, алгоритм ключа в импортируемом сертификате не должен быть отличен от ГОСТ Р 34.10‑2012. При попытке импорта сертификата с иным алгоритмом ключа будет отображаться уведомление об ошибке «При использовании cpnginx установка сертификата с алгоритмом ключа, отличным от ГОСТ Р 34.10‑2012, недоступна».

Для смены ключей веб‑сервера выполните следующие шаги:

  • Наведите курсор на строку с сертификатом веб‑сервер и нажмите на появившуюся кнопку ;
  • В появившемся окне (см. Рисунок 114) выберите файл сертификата и введите пароль файла контейнера, заданный при выпуске сертификата веб‑сервера.
  • Нажмите активировавшуюся кнопку <Сменить ключи>.

Рисунок 114 – Окно смены ключей веб‑сервера

  • После смены сертификата веб‑сервера появится сообщение «Сертификат изменён» (см. Рисунок 115). И в результате успешной установки сертификата веб‑сервера в «Журнал событий» будет записано событие с кодом RAENV035.

Рисунок 115 – Окно уведомления об успешной смене ключей веб‑сервера

  • Далее для установки безопасного соединения с серверной частью Центра регистрации (после установки нового сертификата веб‑сервера) запустите браузер и выполните подключение к Центру регистрации.
  • После этого откроется страница с предупреждением системы безопасности (см. Рисунок 116).

Рисунок 116 – Страница с предупреждением системы безопасности

  • Нажмите кнопку <Дополнительно – произойдёт переход на страницу ошибки распознавания сертификата (см. Рисунок 117). Нужно принять риски, нажав кнопку <Принять риск и продолжить> на текущей странице.

Рисунок 117 – Страница ошибки распознавания сертификата

  • Установка ключей веб‑сервера завершена.

Вкладка «Syslog»

В Центре регистрации Aladdin eRA реализована возможности автоматической отправки во внешние системы информации о регистрируемых событиях аудита по протоколу Syslog (в соответствии с рекомендацией RFC5424). Отправка Syslog‑сообщений на Syslog‑серверы возможна по протоколу UDP или TCP. Максимально возможно добавить 10 Syslog‑серверов.

Значения полей отправляемых сообщений о зарегистрированных событиях представлено в таблице ниже (Таблица 14).

Таблица 14 – Значения полей отправляемых сообщений

Поле Syslog‑сообщения

Описание

Значение

PRIVAL

Priority Value – значение, вычисляемое на основе категории и важности события

Для информационных событий – 14, для ошибок –

 11

VERSION

Версия используемого стандарта Syslog

1

TIMESTAMP

Временная метка в соответствии с RFC3339

Текущее время на хосте Центра регистрации в формате ISO 8601:

YYYY‑MM‑DDThh:mm:ss[.SSS]

HOSTNAME

Имя хоста, отправляющего сообщение

FQDN хоста Центра регистрации

APP‑NAME

Тег, указывающий приложение или процесс, создавшего сообщение

AECA‑RA

PROCID

Идентификатор процесса (PID) приложения

PID сервиса, являющегося источником события

MSGID

Идентификатор сообщения

Код события

[STRUCTURED‑DATA]

Структурированные данные

[aeca‑ra actionCode=''actionCode'' category=''category'' id=''id'' serviceName=''serviceName'' system=''system'' username=''username'' role=''role'' ipAddress=''ipAddress'' attributes=''attributes'']

где:

-         ''actionCode'' – код события;

-         ''category'' – категория события;

-         ''id'' – идентификатор типа события;

-         ''serviceName'' – имя сервиса, в котором произошло событие;

-         ''system'' – флаг системного события;

-         ''username'' – логин учетной записи инициатора события;

-         ''role'' – роль инициатора события;

-         ''ipAddress'' – IP‑адрес инициатора события;

-         ''attributes'' – расширенное описание события. Состав полей расширенного описания события соответствует составу полей описания события, указанному в Приложении 6.

MESSAGE

Строка, содержащая краткую информацию о событии

Краткое описание события (аналогично описанию события, отображаемому в списке событий в разделе «Журнал событий»).

Вкладка «Syslog» предназначена для:

  • просмотра списка и параметров Syslog‑серверов;
  • добавления Syslog‑серверов в список;
  • редактирования параметров Syslog‑серверов из списка, включая управление (включение/выключение) отправкой сообщений на данный Syslog‑сервер;
  • удаления Syslog‑серверов из списка.

На вкладке «Syslog» (см. Рисунок 118) в табличной форме отображается следующая информация о добавленных Syslog‑серверах:

  • поле «Адрес хоста» ‑ адрес хоста Syslog‑сервера (IP‑адрес или доменное имя);
  • поле «Порт» ‑ порт Syslog‑сервера;
  • поле «Протокол» ‑ протокол, по которому выполняется отправка сообщение на Syslog‑сервер;
  • поле «Отправка сообщений» ‑ содержит переключатель, позволяющий включить или выключить отправку сообщение на данный Syslog‑сервер.

Рисунок 118 –Раздел «Настройки». Вкладка «Syslog»

Добавление Syslog‑сервера

Чтобы добавить Syslog‑сервер, выполните следующие действия:

  • Перейдите в раздел «Настройки» на вкладку «Syslog» и нажмите кнопку «Добавить».
  • В открывшемся окне (Рисунок 119) укажите параметры добавляемого Syslog‑сервера:
    • в поле «Адрес хоста» укажите адрес хоста Syslog‑сервера (IP‑адрес или DNS‑имя);
    • в поле «Порт» ‑ укажите порт Syslog‑сервера (число в диапазоне от 0 до 65535);
    • в списке «Протокол» выберите протокол взаимодействия с Syslog‑сервером UDP (указан по умолчанию) или TCP.
  • Нажмите кнопку «Добавить».

После добавления Syslog‑сервера отправка оповещений на него по умолчанию будет включена. Выключение отправки сообщений на выбранный Syslog‑сервер выполняется с помощью переключателя «Отправка сообщений».

Рисунок 119 –Добавление Syslog‑сервера

Редактирование параметров Syslog‑сервера

Чтобы выполнить редактирование параметров Syslog‑сервера, выполните следующие действия:

  • Перейдите в раздел «Настройки» на вкладку «Syslog».
  • В строке выбранного Syslog‑сервера нажмите кнопку «Редактировать».
  • В открывшемся окне (Рисунок 120) измените параметры Syslog‑сервера (адрес хоста, порт, протокол передачи данных) и нажмите кнопку «Сохранить изменения».

Рисунок 120 –Редактирование параметров Syslog‑сервера

Удаление Syslog‑сервера

Чтобы удалить Syslog‑сервер, выполните следующие действия:

  • Перейдите в раздел «Настройки» на вкладку «Syslog».
  • В строке выбранного Syslog‑сервер нажмите кнопку «Удалить».
  • В открывшемся окне подтверждения удаления Syslog‑сервера (Рисунок 121) нажмите кнопку «Удалить».

Рисунок 121 – Диалоговое окно подтверждения удаления Syslog‑сервера

В результате Syslog‑сервер будет удален из списка.