Описание верхней панели
Верхняя панель (см. Рисунок 12) Центра сертификации фиксирована и отображается на любом шаге или переходе между вкладками.
Рисунок 12 – Верхняя панель окна «Центра сертификации»
При наведении курсора на иконку панели всплывает соответствующее текстовое пояснение для каждого элемента.
Верхняя панель содержит следующие элементы:
· | - тип активного ЦС (возможные варианты: Корневой или Подчиненный); | |
· | - обозначение статуса ЦС. При отсутствии ошибок и предупреждений отображается активный статус: o активный . При наведении курсора отображается всплывающее сообщение «Активный»; Индикатор «треугольник с восклицательным знаком» присутствует в следующих случаях: o истёк срок действия сертификата текущего активного ЦС . При наведении курсора отображается всплывающее сообщение «Истек срок действия сертификата ЦС»; o истекает[1] срок действия сертификата текущего активного ЦС . При наведении курсора отображается всплывающее сообщение «Истекает срок действия сертификата ЦС»; o закрытый ключ ЦС недоступен[2] . При наведении курсора отображается всплывающее сообщение «Закрытый ключ центра сертификации недоступен». o истёк срок действия лицензии . При наведении курсора отображается всплывающее сообщение «Истек срок действия лицензии»; o достигнуто лицензионное ограничение на количество субъектов с действующими сертификатами . При наведении курсора отображается всплывающее сообщение «Достигнуто предельное количество субъектов с действующими сертификатами по лицензии». | |
· | - имя текущего активного ЦС. При наведении курсора всплывают заданные имя и значения суффикса различающегося имени ЦС; | |
· | - отображаемое имя текущего активного ЦС; | |
· | - текущая авторизация учётной записи пользователя; | |
· | - сведения о текущей версии программного компонента, контактная информация разработчика. |
[1] До истечения остаётся менее 90 дней.
[2] При запуске серверного компонента Центра сертификации Aladdin eCA не удалось получить закрытый ключ данного ЦС, что может быть обусловлено удалением или повреждением локально хранимого контейнера закрытого ключа либо отсутствием доступа к криптопровайдеру алгоритма, по которому была создана ключевая пара данного ЦС.
Описание боковой панели
В зависимости от ширины окна браузера боковая панель может:
- либо быть закрепленной и отображаться на любом шаге или переходе между разделами (при ширине окна браузера более или равной 1200px). При этом боковая панель отображается в полном (см. Рисунок 13) или компактном (см. Рисунок 14) виде. Выбор вида боковой панели происходит по нажатию кнопки , расположенной внизу данной панели;
- либо быть скрытой и отображаться только после нажатия на кнопку на верней панели, которая отображается только в данном режиме (при ширине окна браузера менее 1200px).
Рисунок 13 – Полный вид боковой панели | Рисунок 14 – Компактный вид боковой панели |
Боковая панель состоит из разделов, определяющих соответствующие функции программы, доступные Оператору, и созданы для организации управления выпуском и жизненным циклом сертификатов доступа:
- Раздел «Сертификаты» – в данном разделе возможно:
- посмотреть список всех выпущенных сертификатов субъектов, издателем которых является активный ЦС, с отображением статуса сертификата, срока действия, типа субъекта, имени субъекта и серийного номера сертификата;
- произвести поиск выпущенных сертификатов по имени субъекта или серийному номеру;
- отозвать или приостановить действие выпущенного сертификата субъекта;
- посмотреть карточку выпущенного сертификата субъекта;
- скачать сертификат субъекта в формате .pem;
- скачать цепочку сертификатов;
- скачать список выпущенных сертификатов в формате .csv;
- применить массовые операции к выбранным сертификатам (отзыв, приостановка, возобновление);
- Раздел «Субъекты» – в данном разделе возможно:
- произвести поиск субъекта по его имени (или части имени);
- обновить список групп и субъектов;
- посмотреть организационные группы субъектов локальной и подключенных ресурсных систем;
- посмотреть существующие субъекты;
- выпустить сертификат с закрытым ключом PKCS#12 для субъекта;
- выпустить сертификат на основании запроса для субъекта;
- выпустить сертификат на ключевом носителе для субъекта;
- посмотреть все выпущенные сертификаты для каждого субъекта;
- создать учётную запись для субъекта из группы «Users»;
- посмотреть карточку субъекта;
- опубликовать сертификат субъекта в ресурсную систему;
- Вкладка «Ресурсная система» – на данной вкладке возможно обновить список субъектов ресурсной системы и их данных в ручном режиме.
- Вкладка «Шаблоны», доступная Оператору только при наличии у него доступа к шаблонам, – на данной вкладке возможно просмотреть шаблоны, доступные Оператору для использования при создании сертификатов.
Далее в настоящем документе приводится полное описание доступных функций управления Центром сертификации для каждой вкладки.
Раздел «Сертификаты»
Раздел «Сертификаты» обеспечивает просмотр и управление сертификатами субъектов в соответствии с правами учётной записи Оператора. Авторизованному Оператору доступны только сертификаты тех субъектов, на которые ему прямо или косвенно[1] предоставлены полномочия в соответствии с назначенными правилами доступа.
Переход на экран управления Центра сертификации осуществляется по выбору раздела «Сертификаты» бокового меню, расположенного слева на главном экране (см. Рисунок 13).
На данном экране отображаются все созданные сертификаты субъектов (см. Рисунок 15).
Рисунок 15 - Экран раздела меню «Сертификаты»
- На экране раздела «Сертификаты» отображены информационные элементы (табличные поля):
- серийный номер сертификата;
- имя субъекта (CN);
- тип шаблона сертификата (шаблон);
- дата выпуска сертификата;
- дата срока окончания действия сертификата (действителен до);
- текущий статус сертификата (состояние).
- Доступны следующие операции по работе с сертификатами:
- поиск выпущенных сертификатов;
- сортировка сертификатов;
- скачивание сертификатов;
- изменение статуса сертификатов в формате .pem;
- просмотр списка сертификатов с заданными критериями;
- сброс всех применённых фильтров или выборочная отмена выбранного фильтра;
- просмотр карточки сертификата;
- экспорт списка выпущенных сертификатов с атрибутами;
- массовые операции с выпущенными сертификатами.
- Все созданные сертификаты субъектов на экране раздела отображаются в виде таблицы с пагинацией.
[1] Путем наследования от группы безопасности куда входит субъект, на основе которого создана учетная пользователя с ролью «Оператор».
Поиск сертификатов
Строка поиска (см. Рисунок 16) предназначена для поиска сертификатов по имени (поле Common Name), альтернативному имени субъекта (поле SubjectAltName) и серийному номеру сертификата (поле Serial Number). Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.
Рисунок 16 – Поисковая строка в разделе «Сертификаты»
- Для сброса результатов поиска и возврату к полному перечню сертификатов в экранной таблице удалите содержимое строки поиска.
Сортировка сертификатов
- Средства сортировки выпущенных сертификатов представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 17):
- «Серийный номер» – сортировка осуществляется в порядке возрастания или убывания значения;
- «CN» – сортировка осуществляется в алфавитном порядке;
- «Шаблон» – осуществляется группировка по типу шаблона;
- «Дата создания», «Действителен до» – сортировка осуществляется в порядке возрастания или убывания значения даты.
- Сортировка происходит только по одному значению при нажатии на соответствующий заголовок таблицы. Активное значение, по которому выполнена фильтрация обозначен знаком с правой стороны от заголовка таблицы.
Рисунок 17 – Поля сортировки содержимого раздела «Сертификаты»
- Также отобразить в определённом порядке список сертификатов (отсортировать) в колонке возможно по нажатию кнопки <Действия в колонке>, выбрав и нажав в раскрывшемся меню «Сортировать…» (см. Рисунок 19).
Фильтрация сертификатов
Применение фильтров
- Для выборочного просмотра сертификатов на экране раздела «Сертификаты» возможно применение фильтров. Для отображения параметров фильтрации для всех колонок таблицы нажмите кнопку <Фильтр> , заголовки колонок экранной таблицы будут дополнены полями фильтра для каждой колонки (см. Рисунок 18):
- шаблон. Выберите шаблоны сертификатов для отображения списка сертификатов, которые были выпущены на основании выбранных шаблонов;
- дата создания. Выберите за какой период создания отобразить сертификаты на экране, введите дату с помощью клавиатуры или выберите в развернувшемся календаре;
- действителен до. Выберите за какой период даты окончания действия отобразить сертификаты на экране, введите дату с помощью клавиатуры или выберите в развернувшемся календаре;
- состояние. Выберите состояния сертификатов для отображения (активирован, приостановлен, отозван).
Рисунок 18 – Поля фильтра заголовков экранной таблицы
- Выберите одно или несколько значений фильтров, после выбора фильтр будет применён сразу автоматически.
- Повторное нажатие кнопки <Фильтр> скроет поля выбора критериев фильтрации, но не отменяет применённые фильтры.
- Заголовки таблицы, для которых применён фильтр, будут отмечены знаком .
Сброс применённых фильтров
- Для очистки применённых фильтров для каждого заголовка колонки:
- нажмите кнопку <Действия в колонке> и в раскрывшемся окне выберите пункт «Очистить фильтр» (см. Рисунок 19);
Рисунок 19 – Кнопка <Очистить> фильтр
- Для полной отмены всех применённых фильтров по всем колонкам воспользуйтесь кнопкой <Сбросить фильтр> на экране раздела «Сертификаты».
Скачивание сертификатов
Для скачивания наведите указатель мыши на выбранный сертификат в экранной таблице, нажмите появившуюся кнопку (см. Рисунок 15) и в раскрывшемся подменю выберите пункт <Скачать сертификат> или «Скачать цепочку» в формате .pem (см. Рисунок 20).
Рисунок 20 – Подменю «Скачать сертификат/цепочку»
Статус сертификатов
- Возможные варианты состояния и доступные действия над сертификатами в зависимости от состояния приведены в таблице ниже (Таблица 4).
Таблица 4 – Доступные действия над сертификатами в зависимости от состояния
Состояние сертификата | Доступные действия | ||
активация | приостановка | отзыв | |
активирован | | ✚ | ✚ |
приостановлен | ✚ | | ✚ |
отозван | | | |
- Смена состояния сертификата производится посредством выбора нужного значения из выпадающего меню при выделении строки сертификата (см. Рисунок 21).
Рисунок 21 – Выпадающее меню смены состояния сертификата
- При смене состояния сертификата посредством радиокнопки появляется окно с запросом на подтверждение операции, в зависимости от типа операции предусмотрена различная активность для данного окна:
- активация (см. Рисунок 22)
Если достигнуто предельное количество субъектов с действующими сертификатами в соответствии с лицензией, при попытке активации сертификата субъекта, у которого отсутствуют действующие сертификаты, будет отображаться сообщение об ошибке «Лицензионные ограничения не позволяют активировать данный сертификат. Достигнуто предельное количество субъектов с действующими сертификатами».
Рисунок 22 – Окно активации сертификата
- приостановка действия сертификата (см. Рисунок 23):
Рисунок 23 – Окно приостановки действия сертификата
- отзыв (см. Рисунок 24);
ВНИМАНИЕ! Данную операцию нельзя отменить.
Рисунок 24 – Окно отзыва сертификата
Возможные причины отзыва (в соответствии с разделом 6.3.2 RFC5280):
- неиспользуемый (unused) – исключение владельца из системы/увольнение;
- принадлежность изменена (affiliation Changed) – смена данных владельца;
- приостановка полномочий владельца сертификата (certificateHold);
- компрометация ключа (keyCompromise);
- компрометация центра сертификации (cACompromise);
- заменен (сертификат) – заменен на иной сертификат;
- без указания причины (unspecified).
Карточка сертификата
- Просмотр данных сертификата возможен посредством страницы «Карточка сертификата».
- Переход к экрану «Карточка сертификата» (см. Рисунок 25) осуществляется при нажатии на строку сертификата таблицы главного экрана раздела «Сертификаты» (см. Рисунок 15).
Рисунок 25 – Окно «Карточка сертификата»
- Для возврата на главный экран раздела «Сертификаты» проследовать по стрелке
- Для изменения статуса сертификата выбрать из выпадающего списка действие в соответствие с Таблица 4.
Если достигнуто предельное количество субъектов с действующими сертификатами в соответствии с лицензией, при попытке активации сертификата субъекта, у которого отсутствуют действующие сертификаты, будет отображаться сообщение об ошибке «Лицензионные ограничения не позволяют активировать данный сертификат. Достигнуто предельное количество субъектов с действующими сертификатами».
- Для скачивания сертификата наведите указатель мыши на кнопку , во всплывающем меню выберите <Скачать сертификат> субъекта или <Скачать цепочку> сертификатов.
- В карточке сертификата отображаются следующие сведения:
- идентификатор;
- издатель;
- владелец;
- SDN владельца;
- срок действия («действует с», «действует по»);
- алгоритм ключа;
- длина ключа.
- Карточка сертификата содержит раскрывающиеся вкладки:
- «Цепочка сертификатов». Раскройте вкладку, нажав в строке с именем вкладки символ . На раскрывшемся экране отображены все Центры сертификации, участвующие в построении цепочки сертификатов, начиная с Корневого ЦС, на основе которого строится цепочка доверия сертификатам, до конечного Центра сертификации, выдавшего текущий сертификат субъекта (см. Рисунок 26).
Рисунок 26 – Окно карточки сертификата. Вкладка «Цепочка сертификатов»
- «Состав». Раскройте вкладку, нажав в строке с именем вкладки символ . На раскрывшемся экране отображены следующие поля (см. Рисунок 27):
- серийный номер;
- открытый ключ;
- отпечаток;
- версия;
- параметр открытого ключа;
- алгоритм цифровой подписи
- основные ограничения;
- использование ключа;
- доступ информации о центре сертификации;
- альтернативное имя субъекта;
- идентификатор ключа центра;
- идентификатор ключа субъекта;
- расширенное использование ключа.
- «Состав». Раскройте вкладку, нажав в строке с именем вкладки символ . На раскрывшемся экране отображены следующие поля (см. Рисунок 27):
При переходе на выбранное поле, в правой части экрана будет отображена информация, соответствующая выделенному полю.
Рисунок 27 – Окно карточки сертификатов. Вкладка «Состав»
- «История изменения сертификата». Раскройте вкладку, нажав в строке с именем вкладки символ . На данной вкладке зафиксирована информация о всех совершённых над сертификатом действиях в хронологическом порядке. На раскрывшемся экране отображены поля (см. Рисунок 28):
- дата – дата совершенного действия;
- пользователь – учётная запись, под которой было совершенно данное действие;
- событие – действие, совершённое над сертификатом.
- «История изменения сертификата». Раскройте вкладку, нажав в строке с именем вкладки символ . На данной вкладке зафиксирована информация о всех совершённых над сертификатом действиях в хронологическом порядке. На раскрывшемся экране отображены поля (см. Рисунок 28):
Рисунок 28 – Окно карточки сертификатов. Вкладка «История изменения сертификата»
- Выход из карточки сертификата осуществляется по кнопке <Возврат> и по кнопкам разделов на боковой панели.
Экспорт списка выпущенных сертификатов
- Оператору доступен экспорт выпущенные сертификаты только тех субъектов, права доступа на которые ему назначены.
- Для выгрузки списка сертификатов нажмите кнопку <Скачать все сертификаты в формате CSV>. Происходит формирование списка сертификатов, по завершению действия и готовности к выгрузке списка сертификатов кнопка переходит в состояние . Нажмите кнопку <Скачать (готово)> для сохранения подготовленного списка сертификатов.
- Сохранение списка сертификатов в виде zip-архива происходит по выбранному пути в открывшемся окне сохранения файла (см. Рисунок 29).
Рисунок 29 – Окно указания пути сохранения файла
- Выгруженный файл .csv представлен в текстовом формате для представления табличных данных, где строки текста содержат поля таблицы, разделённые запятыми. Сформированная таблица содержит следующие столбцы (см. Рисунок 30):
- fingerprint – содержит уникальный числовой отпечаток сертификата;
- cafingerprint – содержит уникальный числовой отпечаток сертификата центра, подписавшего сертификат;
- expire date – содержит значение даты «годен до»;
- issuerdn – содержит отличительное имя издателя;
- revocation date – содержит дату отзыва;
- revocation reason – содержит причину отзыва;
- serialnumber – содержит серийный номер сертификата;
- status – содержит текущий статус сертификата;
- subjectdn – содержит отличительное имя держателя сертификата;
- create date – содержит дату выпуска сертификата;
- username – содержит имя держателя сертификата;
- subject alt name – содержит дополнительные имена держателя;
- template – содержит наименование шаблона;
- algorithm – содержит обозначение алгоритма;
- key length – содержит длину ключа;
- history – содержит историю изменений сертификата в формате JSON.
Рисунок 30 – Пример экспортированного файла списка выпущенных сертификатов.csv
Массовые операции с сертификатами
- Для массовой операции, применяемой к выбранному множеству сертификатов доступа, нажмите кнопку <Массовые операции>, которая запускает окно выполнения массовой операции (см. Рисунок 31).
Рисунок 31 – Окно выполнения массовых операций. Шаг 1
- Выберите необходимую операцию из раскрывающегося списка. Доступны следующие типы операций:
- возобновление действия;
- приостановить;
- отозвать.
При выборе операции «Отозвать» дополнительно необходимо будет указать причину отзыва из выпадающего списка.
- Нажмите кнопку <Продолжить>.
- Далее необходимо осуществить поиск сертификатов по отличительному имени субъекта Subject Distinguished Names, для которых требуется применить выбранную операцию, в левом поле окна Шага 2 (см. Рисунок 32). Поиск сертификатов производится с учётом текущего статуса сертификата и выбранного типа операции на шаге 1. Например, при выборе типа операции «Возобновить» поиск осуществляется только среди сертификатов со статусом «Приостановлен», для которых допустимо выполнить данный тип операции.
- Выберите, найденные сертификаты, отметив их флажками .
- Перенесите отмеченные флажками сертификаты в правую часть окна, нажав кнопку , которая находится между правой и левой частью окна выполнения операции.
Рисунок 32 – Окно выполнения массовых операций. Шаг 2. Создание списка выбранных сертификатов
- В случае необходимости исключения из выбранных сертификатов, к которым будет применена массовая операция, отметьте флажками сертификата из списка в правой части окна, и нажмите кнопку .
Рисунок 33 – Окно выполнения массовых операций. Шаг 2. Редактирование списка выбранных сертификатов
- Для перехода на следующий шаг нажмите кнопку <Продолжить>.
- В открывшемся окне подтвердите действие, нажав кнопку «Применить» (см. Рисунок 34).
Рисунок 34 – Окно выполнения массовых операций. Шаг 3
- В случае успешного выполнения операции администратор будет уведомлён на шаге 4.
Рисунок 35 – Окно выполнения массовых операций. Шаг 4
Если выбранная на шаге 1 операция не может быть выполнена в связи с лицензионными ограничениями со всеми сертификатами, выбранными на шаге 2, то в данном окне отображается количество и перечень CN из сертификатов, для которых операция не была завершена успешно (см. Рисунок 36).
Рисунок 36 – Окно выполнения массовых операций. Шаг 4. Перечень сертификатов, для которых операция не была завершена успешно
Раздел «Субъекты»
Раздел «Субъекты» обеспечивает возможность просмотра субъектов подключенных служб каталога, выпуска сертификатов для субъектов. Для авторизованного Оператора в разделе «Субъекты» доступны только те субъекты, на которые ему прямо или косвенно[1] предоставлены полномочия в соответствии с назначенными правилами доступа.
- Переход в раздел «Субъекты» осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 37).
- После выбора источника в поле «Внешние ресурсные системы», субъекты будут отображены в виде списка в окне раздела «Субъекты (см. Рисунок 37).
Рисунок 37 – Экран раздела меню «Субъекты». Подключенный ресурс
В разделе доступны следующие элементы:
- строка поиска субъекта. Поиск субъектов осуществляется по вхождению текста в атрибуты субъекта в его карточке и в путь субъекта.
- кнопка «Создать» для создания локального субъекта;
- поле выбора ресурсной системы с именами подключенных ресурсных систем. В данном поле присутствует возможность выбора всех внешних ресурсных систем (значение «Все внешние ресурсы») и локальной ресурсной системы (значение «Локальная ресурсная система»);
- поле выбора групп безопасности ресурсной системы. В данном поле отображаются только группы безопасности, в которых в ресурсной системе присутствуют субъекты. В данном поле присутствует возможность поиска групп безопасности, а также возможность указать значение «Без группы безопасности» для отображения субъектов, не входящих в группы безопасности;
- список субъектов, содержащий следующие поля:
- пиктограмма «Сертификат» – отображается, если у субъекта имеются действующий сертификаты, при наведении курсора на пиктограмму отображается количество действующих сертификатов субъекта;
- «Субъект» – значение атрибута «Common name» данного субъекта;
- «Путь» – содержит отличительное имя субъекта в ресурсной системе;
- «Ресурсная система» – содержит название ресурсной системы, которой принадлежит данный субъект.
В разделе «Субъекты» доступны следующие действия:
- просмотр субъектов подключенных ресурсных систем с выбором группы безопасности;
- просмотр субъектов локальной ресурсной системы;
- поиск субъекта;
- создание нового субъекта локальной ресурсной системы;
- редактирование значения атрибутов субъекта локальной ресурсной системы;
- просмотр карточки субъекта;
- просмотр списка сертификатов, выпущенных Центром сертификации для субъекта;
- управление статусом сертификатов, выпущенных Центром сертификации для субъекта;
- публикация сертификата субъекта в ресурсную систему;
- экспорт сертификата субъекта;
- создание сертификата для субъекта;
- создание учётной записи для субъекта.
- Идентификация локальных и подключенных субъектов в Центре сертификации осуществляется по атрибуту UUID.
[1] Путем наследования от группы безопасности, куда входит субъект, на основе которого создана учетная пользователя с ролью «Оператор».
Просмотр субъектов ресурсных систем
- Просмотр субъектов осуществляется посредством выбора источника:
- все внешние ресурсы – подключенные службы каталогов, на субъекты которых назначены права авторизованному Оператору;
- локальный ресурс – появляется в случае, если назначены права хот бы на один субъект в локальной базе данных Центра сертификации;
- внешний ресурс, отображаемое имя которого соответствует имени контроллера домена.
- В разделе «Субъекты» в верхней панели расположены элементы выбора ресурса и фильтрации (см. Рисунок 38):
- поле «Ресурсная система», по нажатию на которое в выпадающем меню выберите локальную ресурсную систему, подключенный ресурс или все внешние ресурсы для отображения всех субъектов внешних ресурсных систем;
- поле «Выбрать группу безопасности», для отображения на экране субъектов определенной группы нажмите на поле и в выпадающем меню выберите необходимую группу. В случае если группа безопасности не выбрана, то будут отображены все субъекты выбранного источника. Для локального ресурса группы безопасности отсутствуют. В списке «Выбрать группу безопасности» отображаются только те группы безопасности, которые содержат один или более субъектов. Группы безопасности, не имеющие членов, не будут показаны в списке и не доступны для выбора.
Рисунок 38 – Верхняя панель экранной формы вкладки «Субъекты»
Поиск субъектов
- В разделе «Субъекты» в верхней панели расположены элементы (см. Рисунок 38
- поле поиска, в котором осуществляется поиск субъектов по компонентам SubjectDN и SubjectAltName в выбранной ресурсной системе. Для поиска начните ввод имени субъекта в строке, поиск начинается автоматически через 1 секунду после прекращения ввода с клавиатуры. Для сброса поиска и отображения всех субъектов выбранной ресурсной системы очистите строку поиска.
Сортировка субъектов
Средства сортировки субъектов выбранной ресурсной системы представлены элементами выбора направления сортировки в заголовке таблицы экранной формы (см. Рисунок 39):
- «Субъект» – сортировка осуществляется в алфавитном порядке;
- «Путь» – сортировка осуществляется в алфавитном порядке содержимого атрибута «Common Name»;
- «Ресурсная система» – сортировка осуществляется в алфавитном порядке.
Сортировка происходит только по одному значению при нажатии на соответствующий заголовок таблицы. Активное значение, по которому выполнена сортировка обозначено знаком с правой стороны от заголовка таблицы.
Рисунок 39 – Поля сортировки содержимого экрана раздела «Сертификаты»
Карточка субъекта
- Просмотра данных субъекта возможен посредством страницы «Карточка субъекта».
- Переход к экрану «Карточка субъекта» (см. Рисунок 40) осуществляется при нажатии на строку субъекта главного экрана раздела «Субъекты» (см. Рисунок 37).
Рисунок 40 – Окно просмотра карточки субъекта (включено отображение «Атрибуты со значениями»)
- Карточка субъекта включает в себя следующие информационные поля:
- сведения о субъекте:
- из какой ресурсной системы получен субъект;
- статус пользователя в ресурсной системе;
- идентификатор UUID;
- SID (идентификатор безопасности)[1];
- атрибуты SAN и SDN (см. Таблица 5);
- сведения обо всех сертификатах субъекта, ранее выпущенных Центром сертификации:
- серийный номер;
- Common Name владельца сертификата;
- шаблон;
- дата создания;
- дата окончания действия;
- дата публикации в ресурсную систему;
- состояние сертификата.
- сведения о субъекте:
- Доступные действия в карточке субъекта:
- создать сертификат для выбранного субъекта с закрытым ключом, на основании запроса или на ключевом носителе по нажатию на кнопку <Создать сертификат> (см. п. 4.8, настоящего руководства);
- выбрать набор атрибутов SDN и SAN, отображаемых в карточке субъекта, в выпадающем меню (см. Рисунок 41);
Рисунок 41 – Фильтрация отображаемых атрибутов в карточке субъекта
- опубликовать сертификат в ресурсную систему (только для подключенных субъектов). По нажатию на кнопку происходит запись сертификата в формате LDIF в атрибут userCertification выбранного субъекта ресурсной системы, для которого выпущен сертификат. Если атрибут userCertification заполнен, то происходит перезапись содержимого;
- экспорт сертификата выбранного субъекта по указанному для сохранения файла по указанному пути по кнопке <Скачать>;
- переход в карточку сертификата;
- изменить статус сертификатов, выпущенных для данного субъекта в поле сертификата «Состояние».
При активации сертификата учитывается ограничения лицензии: если в программе достигнуто максимальное количество субъектов с действующими сертификатами по лицензии, то активация сертификата в карточке субъекта доступна только при условии, что у данного субъекта есть действующие сертификаты, иначе при попытке активации сертификата отображается сообщение об ошибке «Лицензионные ограничения не позволяют активировать данный сертификат. Достигнуто предельное количество субъектов с действующими сертификатами»;
- редактировать значения в полях атрибутов (только для локальных субъектов).
Таблица 5 – Атрибуты субъекта
Атрибут | Возможные значения | Представление в API | Представление в клиентском компоненте |
|---|---|---|---|
Сведения о субъекте | |||
Ресурсная система, к которой подключен субъект | Ресурсная система, к которой подключен субъект | resource: { id (UUID), commonName (string), name (string)} | Поле «Получен из ресурсной системы» в карточке субъекта Для локальных субъектов всегда отображается значение «Локальная ресурсная система». |
Флаг подключения к РС | Субъект подключен к ресурсной системе (true) | "isConnected": true | Отображение субъекта в списке субъектов ресурсной системы, к которой он подключен. |
Локальный субъект (false) | " isConnected": false | Отображение субъекта в списке субъектов локальной ресурсной системы. | |
Флаг блокировки в РС | Для подключенных к РС субъектов: субъект заблокирован в РС (true) или субъект не заблокирован в РС (false) | "isBlocked" | Поле «Статус в ресурсной системе» в карточке субъекта. Для локальных субъектов всегда отображается символ «-». |
Для локальных субъектов: всегда false | |||
UUID | string($uuid) | "id" | Поле «UUID» карточки субъекта |
Расположение субъекта в структуре РС | Строка | "distinguishedName" | Поле «Путь» в списке субъектов в разделе «Субъекты» |
Время обновления субъекта | Дата в формате ISO 8601 | "updated" | - |
Время создания субъекта | Дата в формате ISO 8601 | "created" | - |
SID[2] | Строка | "sid" | Поле «SID» карточки субъекта |
Атрибуты SDN | |||
Common name | Список строк | "CN" | Поле «Common name» в карточке субъекта |
Unique Identifier (UID) | Список строк | "UID" | Поле «Unique Identifier (UID)» в карточке субъекта |
Email Address (E) | Список строк | "E" | Поле «Email Address (E)» в карточке субъекта |
Email Address (Mail) | Список строк | "EMAILADDRESS" | Поле «Email Address (Mail)» в карточке субъекта |
Список строк | "MAIL" | Поле «Mail» в карточке субъекта | |
Serial number | Список строк | "SN" | Поле «Serial number» в карточке субъекта |
Given name | Список строк | "GIVENNAME" | Поле «Given name» в карточке субъекта |
Initials | Список строк | "INITIALS" | Поле «Initials» в карточке субъекта |
Surname | Список строк | "SURNAME" | Поле «Surname» в карточке субъекта |
Organizational unit | Список строк | "OU" | Поле «Organizational unit» в карточке субъекта |
Organization | Список строк | "O" | Поле «Organization» в карточке субъекта |
Locality | Список строк | "L" | Поле «Locality» в карточке субъекта |
State or province | Список строк | "ST" | Поле «State or province» в карточке субъекта |
Domain component | Список строк | "DC" | Поле «Domain component» в карточке субъекта |
Country | Список строк | "C" | Поле «Country» в карточке субъекта |
Unstructured address | Список строк | "UNSTRUCTUREDADDRESS" | Поле «Unstructured address» в карточке субъекта |
Unstructured name | Список строк | "UNSTRUCTUREDNAME" | Поле «Unstructured name» в карточке субъекта |
Postalcode | Список строк | "POSTALCODE" | Поле «Postalcode» в карточке субъекта |
Business category | Список строк | "BUSINESSCATEGORY" | Поле «Business category» в карточке субъекта |
Telephone number | Список строк | "TELEPHONENUMBER" | Поле «Telephone number» в карточке субъекта |
Pseudonym | Список строк | "PSEUDONYM" | Поле «Pseudonym» в карточке субъекта |
Postal address | Список строк | "POSTALADDRESS" | Поле «Postal address» в карточке субъекта |
Street | Список строк | "STREET" | Поле «Street» в карточке субъекта |
Name | Список строк | "NAME" | Поле «Name» в карточке субъекта |
Title | Список строк | "T" | Поле «Title» в карточке субъекта |
Domain Qualifier | Список строк | "DN" | Поле «Domain Qualifier» в карточке субъекта |
Description | Список строк | "DESCRIPTION" | Поле «Description» в карточке субъекта |
ИНН | Список строк | "INN" | Поле «ИНН» в карточке субъекта |
ОГРН | Список строк | "OGRN" | Поле «ОГРН» в карточке субъекта |
ОГРНИП | Список строк | "OGRNIP" | Поле «ОГРНИП» в карточке субъекта |
СНИЛС | Список строк | "SNILS" | Поле «СНИЛС» в карточке субъекта |
ИНН ЮЛ | Список строк | "INNLE" | Поле «ИНН ЮЛ» в карточке субъекта |
Атрибуты SAN | |||
MS GUID, Globally Unique Identifier | string($uuid) | "MS_GUID" | Поле «MS GUID, Globally Unique Identifier» в карточке субъекта |
RFC 822 NAME | Список строк | "RFC822NAME" | Поле «RFC 822 NAME» в карточке субъекта |
MS UPN, UserPrincipalName | Список строк | "MS_UPN" | Поле «MS UPN, UserPrincipalName» в карточке субъекта |
DNS Name | Список строк | "DNS_NAME" | Поле «DNS Name» в карточке субъекта |
IP address | Список строк | "IPADDRESS" | Поле «IP address» в карточке субъекта |
Directory Name | Список строк | “DIRECTORY_NAME" | Поле «Directory Name» в карточке субъекта |
Uniform resource identifier | Список строк | "UNIFORM_RESOURCE_ID" | Поле «Uniform resource identifier» в карточке субъекта |
Registered identifier | Список строк | "REGISTERED_ID" | Поле «Registered identifier» в карточке субъекта |
Kerberos KPN, Kerberos 5 Principal | Список строк | "KRB5PRINCIPAL" | Поле «Kerberos KPN, Kerberos 5 Principal» в карточке субъекта |
Permanent identifier | Список строк | "PERMANENT_IDENTIFIER" | Поле «Permanent identifier» в карточке субъекта |
Xmpp address | Список строк | "XMPP_ADDR" | Поле «Xmpp address» в карточке субъекта |
Service Name | Список строк | "SRV_NAME" | Поле «Service Name» в карточке субъекта |
Subject Identification Method | Список строк | "SUBJECT_IDENTIFICATION_METHOD" | Поле «Subject Identification Method» в карточке субъекта |
- Выход из карточки субъекта осуществляется по кнопке <Возврат> в раздел «Субъекты» и по кнопкам разделов боковой панели.
[1] SID может быть получен для субъекта только из ресурсных систем MS AD, SambaDC, РЕД АДМ» и «Альт Домен». Для субъектов ресурсных систем FreeIPA и ALD PRO данный атрибут отсутствует.
[2] SID может быть получен для субъекта только из ресурсных систем MS AD, SambaDC, РЕД АДМ» и «Альт Домен».
Редактирование атрибутов субъекта
- Для субъектов локальной ресурсной системы доступно редактирование всех атрибутов SDN и SAN.
- Для субъектов подключенной ресурсной системы редактирование атрибутов SDN или SAN, значения которых получены Центром сертификации из ресурсной системы, недоступно. Все остальные атрибуты SDN или SAN доступны для редактирования.
- Для субъектов любой ресурсной системы редактирование сведений о субъектах в их карточках (поля «Получен из ресурсной системы», «Статус в ресурсной системе», «UUID») недоступны для редактирования.
- При вводе/редактировании значений атрибутов, указанных в Таблица 6, осуществляется валидация. Для всех остальных атрибутов субъекта валидация отсутствует.
Таблица 6 – Допустимые значения атрибутов
Атрибут | Правило валидации |
|---|---|
Country | Допустимые символы: "A"-"Z", "a"-"z". Длина значения должна составлять 2 символа. |
Domain qualifier | Допустимые символы: "A"-"Z", "a"-"z", "0"-"9", "'", "(", ")", "+", ",", "-", ".", "/", ":", "=", "?", пробел. |
Email Address (E) | Допустимые символы: "A"-"Z", "a"-"z", "А"-"Я", "а"-"я", "0"-"9", ".", "@", "_", "-". Формат значения: "text@text". |
Serial number | Допустимые символы: "A"-"Z", "a"-"z", "0"-"9", "'", "(", ")", "+", ",", "-", ".", "/", ":", "=", "?", пробел. |
RFC 822 Name | Допустимые символы: "A"-"Z", "a"-"z", "0"-"9", ".", "@", "_", "-". Если необходимо использовать кириллицу, то кириллицу необходимо преобразовать в латиницу с помощью Punycode (подробнее см. RFC 3492) и ввести полученное значение в поле. При этом преобразовывать можно только доменную часть. Формат значения: "text@text". |
DNS Name | Допустимые символы: "A"-"Z", "a"-"z", "0"-"9", "-", ".", "*". Если необходимо использовать кириллицу, то кириллицу необходимо преобразовать в латиницу с помощью Punycode (подробнее см. RFC 3492) и ввести полученное значение в поле. |
IP address | Допустимые символы: "A"-"F", "a"-"f", "0"-"9", ".", ":". Формат значения: IPv4-адрес или IPv6-адрес. |
Directory Name | Формат значения: последовательность идентификаторов относительных отличительных имен (RDN) и их значений, отделенных запятой или запятой с пробелом (например, O=organization, OU=Department, L=City, DC=Component, C=RU...). Допускается использование следующих идентификаторов RDN: EMAILADDRESS, CN, UID, SERIALNUMBER, OU, O, L, ST, C, T, SURNAME, STREET, INITIALS, GIVENNAME, DC, UNSTRUCTUREDADDRESS, UNSTRUCTUREDNAME, POSTALCODE, BUSINESSCATEGORY, TELEPHONENUMBER, PSEUDONYM, POSTALADDRESS, NAME, DN, DESCRIPTION. В качестве идентификатора RDN допускается указание OID (формат OID должен соответствовать рекомендации ITU X.660). |
Registered Identifier (OID) | Допустимые символы: "0"-"9", ".". Формат значения: OID в соответствии с рекомендацией ITU X.660. |
MS UPN, User Principal Name | Допустимые символы: "A"-"Z", "a"-"z", "А"-"Я", "а"-"я", "ё", "Ё", "0"-"9", ".", "@", "_", "-", "/". Формат значения: "text@text". |
MS GUID, Globally Unique Identifier | Допустимые символы: "A"-"F", "a"-"f", "0"-"9". Длина значения должна составлять 32 символа. |
Kerberos KPN, Kerberos 5 Principal Name | Допустимые символы: "A"-"Z", "a"-"z", "А"-"Я", "а"-"я", "ё", "Ё", "0"-"9", ".", "@", "_", "-", "/". Формат значения: "text@text". |
Permanent Identifier | Формат значения: "value/OID", где "value" – любая последовательность символов, а "OID" – OID в соответствии с рекомендацией ITU X.660. Допускается отсутствие значения "text", например, "/1.2.2.3.4.5". |
Xmpp address | Допустимые символы: "A"-"Z", "a"-"z", "А"-"Я", "а"-"я", "ё", "Ё", "0"-"9", ".", "@", "_", "-", "/". Формат значения: "text@text". |
Subject Identification Method | Формат значения: "OID::text::text", где "OID" – OID в соответствии с рекомендацией ITU X.660, а "text" – любая последовательность символов. |
ИНН | Допустимые символы: "0"-"9". Длина значения должна составлять 12 символов. |
ОГРН | Допустимые символы: "0"-"9". Длина значения должна составлять 13 символов. |
ОГРНИП | Допустимые символы: "0"-"9". Длина значения должна составлять 15 символов. |
СНИЛС | Допустимые символы: "0"-"9". Длина значения должна составлять 11 символов. |
ИНН ЮЛ | Допустимые символы: "0"-"9". Длина значения должна составлять 10 символов. |
- Для редактирования значения атрибута в карточке субъекта нажмите кнопку <Редактировать> , в открывшемся окне введите новое значение атрибута в соответствующем поле, в соответствии с условиями валидации (см. Рисунок 42).
- Для добавления значения атрибута (будет указано в поле атрибута через запятую) нажмите кнопку <Добавить значение +>;
- Для удаления значения атрибута нажмите кнопку <Удалить значение атрибута> . При этом у атрибута «Common name» нельзя удалить последнее значение;
- Для сохранения результата нажмите кнопку <Сохранить>;
- Для выхода из режима редактирования без сохранения изменений или нажмите кнопку <Закрыть>.
Рисунок 42 – Окно редактирования значения атрибута в карточке субъекта
Субъекты локальной ресурсной системы
- Локальную базу субъектов формируют:
- субъекты, созданные Администратором путём вызова метода API;
- субъекты отключенной ресурсной системы (удалённой ранее зарегистрированной ресурсной системы), атрибут субъекта «isBlocked» принимает значение «false». В случае повторного подключения ресурсной системы связи субъектов с группами будут восстановлены, обновлены атрибуты в соответствии с данными из ресурсной системы;
- субъекты, загруженные в базу данных Центра сертификации Aladdin eCA при подключении ресурсной системы, но отсутствующие в списке субъектов, полученном по результатам выполнения полной синхронизации ресурсной системы. Атрибут субъекта «isBlocked» принимает значение «false».
- Локальный субъект отключенной ресурсной системы при подключении ресурсной системы, где существует данный субъект, будет перенесён из базы локальной ресурсной системы (атрибут субъекта «isConnected» примет значение «true»). При этом будет выполнено обновление атрибутов субъекта в соответствии с его атрибутами из ресурсной системы, остальные текущие атрибуты (то есть те, которые не были получены из ресурсной системы) не изменятся. Проверка субъектов осуществляется по атрибуту «id».
Субъекты внешнего ресурса
- Внешний (подключенный) ресурс формируется в результате регистрации службы каталогов доменных служб Samba DC, РЕД АДМ, ALD PRO, FreeIPA, MS Active Directory или Альт Домен.
- Подключенный ресурс будет отображен только после регистрации ресурсной системы на вкладке «Ресурсная система».
- Обновление списков и данных субъектов ресурсной системы происходит по правилам, приведённым в пункте 4.5.1 настоящего руководства.
- После подключения внешней ресурсной системы, обновления и выбора источника в поле «Ресурсная система», субъекты будут отображены в виде списка в окне вкладки «Субъекты». Возможно настроить отображение определенной группы безопасности или вывести полный список, упорядочив субъекты в алфавитном порядке по имени (CommonName) (см. Рисунок 37).
Рисунок 43 – Экран раздела меню «Субъекты». Подключенный ресурс
- Загрузка данных осуществляется из всей ресурсной системы, начиная с точки подключения, указанной в настройках подключения Корневого каталога.
- Для каждого загруженного пользователя и компьютера будет создан субъект и подгружены все поля, относящиеся к SubjectDN и SubjectAltName. Преобразование содержимого записи LDAP в поля базы субъектов ресурсной системы происходит в соответствии с Таблица 11.
Таблица 7 – Преобразование данных субъектов ресурсной системы
Атрибут субъекта Aladdin eCA | Поле в базах Samba DC, MS AD, РЕД АДМ, Альт Домен для типов субъектов | Поле в базах ALD PRO, FreeIPA для типов субъектов | |||
|---|---|---|---|---|---|
Пользователь | Компьютер | Пользователь | Компьютер | Сервис | |
Id | ObjectGUID | ObjectGUID | ipaUniquelD | ipaUniquelD | ipaUniquelD |
Common name | cn | cn | cn | cn | krbPrincipalName |
uid | |||||
Initials | - | - | initials | - | - |
Surname | sn | - | sn | - | - |
Given Name | givenName | - | givenName | - | - |
Organization | - | - | krbPrincipalName | krbPrincipalName | krbPrincipalName |
Name | name | name | - | serverHostName | - |
MS GUID | - | ObjectGUID | - | - | - |
Domain Qualifier | distigushedName | distigushedName | entrydn | entrydn | |
Description | description | - | - | - | - |
DNS Name | - | dNSHostName | - | fqdn | - |
Email Address (Mail) | - | - | - | ||
userPrincipalName | krbPrincipalName | krbPrincipalName | |||
RFC 822 NAME | - | - | krbPrincipalName | ||
userPrincipalName | krbPrincipalName | krbPrincipalName | |||
MS UPN | userPrincipalName | - | krbPrincipalName | krbPrincipalName | krbPrincipalName |
Unique Identifier (UID) | - | - | uid | - | - |
Kerberos KPN, Kerberos 5 Principal | - | - | - | krbPrincipalName | - |
SID | objectSid | objectSid | - | - | - |
- Если данные поля отсутствуют в описании субъекта в подключенном домене, то в шаблоне при выпуске сертификата соответствующие поля заполняются пустыми значениями.
- Идентификация подключенных субъектов в Центре сертификации осуществляется по атрибуту UUID.
Создание сертификата для субъекта ресурсной системы
Создание сертификата для локального субъекта доступно авторизованному Оператору, которому в соответствии с правилами доступа предоставлены полномочия на доступ к субъектам локальной ресурсной системы. Создание сертификата для подключенного к ресурсной системе субъекта доступно авторизованному Оператору, которому в соответствии с правилами доступа предоставлены полномочия на доступ к субъектам группы безопасности ресурсной системы, куда входит данный субъект.
- Выберите субъект, для которого необходимо создать сертификат, нажмите появившуюся кнопку <Создать сертификат> и выберите способ создания из выпадающего списка (см. Рисунок 44).
Рисунок 44 - Окно выпуска сертификата для субъекта ресурсной системы
Создание сертификата с закрытым ключом pkcs#12
- В открывшемся окне создания сертификата (см. Рисунок 45) выберите шаблон создаваемого сертификата из выпадающего списка. В выпадающем списке будут присутствовать только те шаблоны, на использование которых данному Оператору предоставлен доступ администратором путем создания правил доступа. Описание полей для шаблонов по умолчанию приведено в Приложение 1. Описание полей по умолчанию предустановленных шаблонов сертификатов. После выбора шаблона в окне отображается информация о центре сертификации, в котором будет выпущен сертификат. Центр сертификации, в котором будет выпущен сертификат, определяется при создании шаблона. Если в шаблоне в качестве центра сертификации выбрано значение «Любой», то выпуск сертификатов по данному шаблону доступен в любом центре сертификации. При этом для выпуска сертификатов будет использован активный в данный момент центр сертификации.
Рисунок 45 – Окно создания сертификата PKCS#12. Шаг 1. Выбор шаблона
- Нажмите ставшую активной кнопку <Продолжить> для перехода к следующему шагу.
- Значение атрибутов заполняется автоматически в соответствии с данными в карточке субъекта (см. п. 4.4 настоящего руководства) и изменению не подлежит (подробное описание полей предустановленных шаблонов см. в Приложение 1. Описание полей по умолчанию предустановленных шаблонов сертификатов).
В случае если в атрибуте указано несколько значений, в выпадающем меню будет предложен выбор значения из существующих или возможно добавление значения атрибута по нажатию кнопки <Добавить> справа от соответствующего поля (если атрибут содержит несколько значений, то при наведении мышки на кнопку <Добавить>, она становиться активной – красного цвета). Также дополнительно добавленное значение атрибута можно удалить по кнопке справа от соответствующего поля атрибута (см. Рисунок 46).
- Если данные атрибутов отсутствуют, то необходимо ввести значения в соответствующие поля в карточке субъекта (см. п. 4.5 настоящего руководства).
- Необязательные поля могут оставаться незаполненными.
- Нажмите ставшую активной кнопку <Продолжить> для перехода к следующему шагу.
Рисунок 46 – Окно создания сертификата PKCS#12. Шаг 2. Атрибуты сертификата
- Далее администратору необходимо создать пароль с подтверждением для ключевого контейнера (см. Рисунок 47). Правила ввода пароля:
- для просмотра вводимых символов необходимо нажать кнопку на текущей строке;
- пароль должен содержать не менее 8 символов с использованием цифр, заглавных и прописных букв, ввод осуществляется на латинице;
- если в пароле используются запрещенные символы, то рамка поля ввода приобретает красный цвет;
- если пароли не совпадают, то рамка поля подтверждения окрашивается в красный цвет.
Кнопка <Продолжить> доступна только после ввода и верного повторения пароля в соответствии с правилами ввода.
Рисунок 47 – Окно создания сертификата PKCS#12. Шаг 3. Задание пароля контейнера сертификата
- В следующем окне требуется определить параметры шифрования (см. Рисунок 48):
- алгоритм ключа;
- длину ключа.
Доступные алгоритмы определяются выбранным шаблоном (если криптопровайдер алгоритма не заявлен в шаблоне, его выбор будет недоступен), а также зависят от криптопровайдеров центра сертификации, указанного в выбранном шаблоне (если в шаблоне в качестве центр сертификации установлено значение «любой», доступные алгоритмы будут зависеть от криптопровайдеров активного центра сертификации).
- После выбора алгоритма нажмите кнопку <Создать сертификат>.
Рисунок 48 - Окно создания сертификата PKCS#12. Шаг 4. Выбор параметров криптографии
- Далее по нажатию кнопки <Создать сертификат> открывается финальное окно создания сертификата и отображается краткая информация о созданном сертификате (см. Рисунок 55).
Внимание! Только в данном окне возможно скачать сертификат и закрытый ключ в контейнере pkcs#12, после закрытия окна скачать сертификат возможно только в формате .pem.
Рисунок 49 – Окно по результату успешного завершения создания сертификата PKCS#12
- При успешном создании сертификата и выполнении всех условий ниже происходит его публикация в ресурсную систему:
- сертификат был создан для субъекта, подключенного к ресурсной системе;
- сертификат создан по шаблону, в котором включена публикация сертификата в ресурсную систему.
В случае успешной публикации сертификата в ресурсную систему отобразится всплывающее сообщение «Сертификат успешно опубликован в ресурсную систему».
В случае ошибки публикации сертификата в ресурсную систему отобразится всплывающее сообщение «Ошибка публикации сертификата в ресурсную систему», также сертификат будет помечен, как требующий публикации. И при включенной настройке автопубликации будет произведена попытка его публикации в соответствии с расписанием.
Создание сертификата субъекта по запросу
- Предварительные условия выполнения сценария:
- файл-запрос для субъекта должен быть подготовлен заранее на стороннем ЦС (например, при помощи ПО «Единый клиент JaCarta»);
- расширение файл-запроса должно быть ***.csr или ***.pem;
- файл-запрос должен быть сформирован с учетом известных данных выбранного шаблона Центра сертификации Aladdin eCA. Например, для использования шаблона «Domain Controller» в запросе должны быть указаны параметры DNS Name и MS GUID;
- по файлу-запроса ранее не был выпущен сертификат.
- В открывшемся окне (см. Рисунок 50) необходимо выбрать и загрузить файл-запрос, а также выбрать шаблон сертификата в соответствии с запросом (предполагается, что Оператор заранее знает какой шаблон необходимо выбрать). В списке шаблонов будут присутствовать только те шаблоны, на использование которых данному Оператору предоставлен доступ администратором путем создания правил доступа. По файлу запроса возможен только одноразовый выпуск сертификата. После выбора шаблона в окне отображается информация о центре сертификации, в котором будет выпущен сертификат. Центр сертификации, в котором будет выпущен сертификат, определяется при создании шаблона. Если в шаблоне в качестве центра сертификации выбрано значение «Любой», то выпуск сертификатов по данному шаблону доступен в любом центре сертификации. При этом для выпуска сертификатов будет использован активный в данный момент центр сертификации.
- При необходимости, возможно перезагрузить файл-запрос в мастере создания сертификата без сброса текущего прогресса по кнопке <Изменить>.
Рисунок 50 – Окно создания сертификата по запросу. Шаг 1. Загрузка запроса и выбор шаблона
- После загрузки файла запроса и выбора шаблона нажмите активировавшуюся кнопку <Продолжить>.
- Программа проверяет запрос на соответствие полей запроса на сертификат и атрибутов субъекта по правилам, приведённым в Таблица 8. Проверка является регистронезависимой.
Таблица 8 – Соответствие полей запроса шаблону выпускаемого сертификата
Поле в шаблоне | Значение поля в запросе | Атрибут субъекта AECA | Возможность создания сертификата | Поле в сертификате | Возможные ошибки* |
|---|---|---|---|---|---|
Правила проверки соответствия SDN полей | |||||
Есть, обязательное | Есть | Нет | Нет | - | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка №4 |
Есть, обязательное | Нет | Нет | Нет | - | Ошибка №1 |
Есть, обязательное | Есть | Есть | Да | Присутствует | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка №4, если значение в запросе не соответствует значению атрибута субъекта |
Есть, обязательное | Нет | Есть | Нет | - | Ошибка №1 |
Есть, необязательное | Есть | Нет | Нет | - | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка №4 |
Есть, необязательное | Нет | Нет | Да | Отсутствует | - |
Есть, необязательное | Есть | Есть | Да | Присутствует | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка №4, если значение в запросе не соответствует значению атрибута |
Есть, необязательное | Нет | Есть | Да | Отсутствует | - |
Нет | Есть | Нет | Нет | - | Ошибка №3 |
Нет | Нет | Нет | Да | Отсутствует | - |
Нет | Есть | Есть | Нет | - | Ошибка №3 |
Нет | Нет | Есть | Да | Отсутствует | - |
Правила проверки соответствия SАN полей | |||||
Есть, обязательное | Есть | Нет | Нет | - | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка №4 |
Есть, обязательное | Нет | Нет | Нет | - | Ошибка №1 |
Есть, обязательное | Есть | Есть | Да | Присутствует | 1) Ошибка 2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка 4, если значение в запросе не соответствует значению атрибута субъекта Исправление указанных ошибок доступно на этапе переопределения значений для полей SAN, указанных в шаблоне. |
Есть, обязательное | Нет | Есть | Да | Присутствует | Ошибка №1 Исправление указанной ошибки доступно на этапе переопределения SAN (путем выбора значения для поля из атрибута субъекта). |
Есть, необязательное | Есть | Нет | Да | Отсутствует | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка №4 |
Есть, необязательное | Нет | Нет | Да | Отсутствует | - |
Есть, необязательное | Есть | Есть | Да | Присутствует, если поле не было удалено на этапе переопределения значений для полей SAN, указанных в шаблоне или Отсутствует, если поле было удалено на этапе переопределения значений для полей SAN, указанных в шаблоне | 1) Ошибка №2, если значение в запросе не проходит валидацию по шаблону 2) Ошибка 4, если значение в запросе не соответствует значению атрибута |
Есть, необязательное | Нет | Есть | Да | Присутствует, если поле не было удалено на этапе переопределения значений для полей SAN, указанных в шаблоне или Отсутствует, если поле было удалено на этапе переопределения значений для полей SAN, указанных в шаблоне | - |
Нет | Есть | Нет | Да | Отсутствует | Ошибка №3 |
Нет | Нет | Нет | Да | Отсутствует | - |
Нет | Есть | Есть | Да | Отсутствует | Ошибка №3 |
Нет | Нет | Есть | Да | Отсутствует | - |
- Если во время обработки запроса произошла ошибка, в окне результата обработки запроса отображаются сообщения об ошибках в полях запроса, где они были обнаружены, с цветовой (красной) индикацией и предупреждающей иконкой (см. Рисунок 51 и Рисунок 52).
- В случае выявления ошибки в запросе на сертификат доступа для субъекта возможны следующие сообщения:
Если создание сертификата невозможно, то существует две возможности:
- вернуться на предыдущий шаг и сменить шаблон на подходящий;
- пересоздать файл-запрос с учетом выявленных при сверке ошибок и перезагрузить файл-запрос, вернувшись на предыдущие шаги по нажатию кнопки <Назад>.
Рисунок 51 – Окно создания сертификата по запросу. Шаг 2. Результат обработки запроса с ошибкой в поле различающегося имени субъекта
Рисунок 52 – Окно создания сертификата по запросу. Шаг 2. Результат обработки запроса с ошибками в полях альтернативного имени субъекта
- В результате успешной обработки запроса на сертификат субъекта на следующем шаге отображаются (см. Рисунок 53):
- таблица, содержащая:
- перечень полей, заданных в шаблоне (в столбце «Поля»);
- пиктограммы, отображающие обязательные и необязательные поля шаблона (в столбце «В шаблоне»). Пиктограмма «Галка» указывает на необязательность поля, а пиктограмма «Двойная галка» указывает на обязательность поля;
- значения для полей, заданных шаблоном, полученные из запроса на сертификат (в столбце «Значение из запроса»);
- значения, которые будут указаны в полях создаваемого сертификата (в столбце «Значение в сертификате»).
- данные таблицы разделена на две основные части:
- различающееся имя субъекта (Subject DN);
- дополнительное имя субъекта (Subject AltName).
- кнопка <Продолжить> для перехода к следующему шагу;
- кнопка <Назад> для возврата к предыдущему шагу;
- кнопка <Отмена> для завершения работы мастера создания сертификата без сохранения результатов.
- таблица, содержащая:
- В случае, если в файле-запросе существуют дополнительные поля субъектных идентификаторов, отсутствующие в текущей реализации[3], то они идентифицируются по параметру OID.
Рисунок 53 – Окно создания сертификата по запросу. Шаг 2. Результат успешной обработки запроса
- После успешной загрузки файла запроса нажмите кнопку <Продолжить> для продолжения процедуры выпуска сертификата для субъекта, кнопку <Отмена> для прекращения процедуры выпуска сертификата или кнопку <Назад> для возврата на предыдущий шаг.
- В окне следующего шага указаны атрибуты в соответствии с шаблоном сертификата (подробное описание полей предустановленных шаблонов см. в Приложение 1. Описание полей по умолчанию предустановленных шаблонов сертификатов). Значение атрибутов заполняется автоматически в соответствии с данными в карточке субъекта (см. п. 4.4 настоящего руководства) и изменению не подлежит. В случае если в атрибуте указано несколько значений, в выпадающем меню будет предложен выбор значения из существующих или возможно добавление значения атрибута по нажатию кнопки <Добавить> справа от соответствующего поля (если атрибут содержит несколько значений, то при наведении мышки на кнопку <Добавить>, она становиться активной – красного цвета). Также дополнительно добавленное значение атрибута можно удалить по кнопке справа от соответствующего поля атрибута (см. Рисунок 54).
- Перечень доступных для выбора значений в полях SAN включает в себя:
- значения соответствующего полю атрибута субъекта;
- значения данного поля из запроса, если у субъекта в соответствующем атрибуте есть аналогичное значение, отличающееся от значения в запросе только регистрами символов (такие значения отмечены пиктограммой «Запрос» ).
- При отсутствии доступных для указания значений в поле обязательного атрибута будет отображаться ошибка «У субъекта отсутствует указанный атрибут».
- Необязательные поля могут оставаться незаполненными.
Рисунок 54 – Окно создания сертификата на основании запроса. Шаг 3. Атрибуты сертификата
- Далее по нажатию кнопки <Создать сертификат> открывается финальное окно создания сертификата и отображается краткая информация о созданном сертификате (см. Рисунок 55). У созданного сертификата значения в полях SDN соответствуют значениям в соответствующих полях SDN запроса, на основе которого был создан сертификат.
- При попытке повторного создания сертификата на основании одного запроса на данном шаге отображается ошибка.
Внимание! Только в данном окне возможно скачать сертификат и закрытый ключ в контейнере pkcs#12, после закрытия окна скачать сертификат возможно только в формате .pem.
Рисунок 55 – Окно создания сертификата по запросу. Информирование об успешном создании сертификата
- При успешном создании сертификата и выполнении всех условий ниже происходит его публикация в ресурсную систему:
- сертификат был создан для субъекта, подключенного к ресурсной системе;
- сертификат создан по шаблону, в котором включена публикация сертификата в ресурсную систему.
В случае успешной публикации сертификата в ресурсную систему отобразится всплывающее сообщение «Сертификат успешно опубликован в ресурсную систему».
В случае ошибки публикации сертификата в ресурсную систему отобразится всплывающее сообщение «Ошибка публикации сертификата в ресурсную систему», также сертификат будет помечен, как требующий публикации. И при включенной настройке автопубликации будет произведена попытка его публикации в соответствии с расписанием.
Создание сертификата субъекта на ключевом носителе
Предварительные условия выполнения сценария:
- Убедитесь, что поддерживаемый электронный ключ присоединен к АРМ выпускающего Центра сертификации;
- Убедитесь, что на сервере выпускающего Центра сертификации установлено ПО JC-WebClient версии 4.3.2 или 4.3.3 для дальнейшей работы с ключевыми носителями из браузера.
- Нажатие кнопки <Создать (Выпустить) сертификат> - «на ключевом носителе» стартует сценарий по созданию сертификата на ключевом носителе.
- В случае если электронный ключ успешно подключен, в открывшемся необходимо выбрать ключевой носитель из выпадающего списка в поле «Устройство», ввести PIN-код пользователя ключевого носителя и указать шаблон для выпуска сертификата. В списке шаблонов будут присутствовать только те шаблоны, на использование которых данному Оператору предоставлен доступ администратором путем создания правил доступа. После выбора шаблона в окне отображается информация о центре сертификации, в котором будет выпущен сертификат. Центр сертификации, в котором будет выпущен сертификат, определяется при создании шаблона. Если в шаблоне в качестве центра сертификации выбрано значение «Любой», то выпуск сертификатов по данному шаблону доступен в любом центре сертификации. При этом для выпуска сертификатов будет использован активный в данный момент центр сертификации.
- Переход на следующий шаг осуществляется по ставшей активной кнопке <Продолжить> в случае ввода корректного PIN-кода электронного ключа и заполнении всех полей.
Рисунок 56 – Окно создания сертификата на электронном ключе. Шаг 1
- В окне Шага 2 указаны атрибуты в соответствии с выбранным (на предыдущем шаге) шаблоном сертификата (подробное описание полей предустановленных шаблонов см. в Приложение 1. Описание полей по умолчанию предустановленных шаблонов сертификатов). Значение атрибутов заполняется автоматически в соответствии с данными в карточке субъекта (см. п. 4.4 настоящего руководства) и изменению не подлежит. В случае если в атрибуте указано несколько значений, в выпадающем меню будет предложен выбор значения из существующих или возможно добавление значения атрибута по нажатию кнопки <Добавить> справа от соответствующего поля (если атрибут содержит несколько значений, то при наведении мышки на кнопку <Добавить>, она становиться активной – красного цвета). Также дополнительно добавленное значение атрибута можно удалить по кнопке справа от соответствующего поля атрибута.
- Необязательные поля могут оставаться незаполненными.
Рисунок 57 – Окно создания сертификата на электронном ключе. Шаг 2
- Далее необходимо выбрать параметры криптографии:
- выберите алгоритм генерации ключевой пары из раскрывающегося списка. Список алгоритмов ключа определяется шаблоном. При этом алгоритмы, для которых на активном центре сертификации отключен криптопровайдер, не будут отображены в списке. По умолчанию указан первый алгоритм из списка в используемом шаблоне, для которого не отключен криптопровайдер;
- выберите длину ключа из раскрывающегося списка. Минимальная доступная для выбора длина ключа определяется выбранным шаблоном. По умолчанию указана минимальная длина ключа по шаблону;
- после выбора алгоритма нажмите кнопку <Создать сертификат>.
Рисунок 58 – Окно создания сертификата на электронном ключе. Шаг 3
- Далее осуществляются все необходимые операции для выпуска и записи сертификата на ключевой носитель:
- генерация ключевой пары на основе данных заполненного шаблона сертификата на предыдущем шаге;
- генерация запроса на основе данных заполненного шаблона сертификата на предыдущем шаге;
- выпуск сертификата;
- запись сертификата на ключевой носитель.
- Процессы выполняются автоматически и после завершения процессов станут доступны кнопки <Скачать сертификат> и <Скачать цепочку сертификатов>.
Внимание! Сертификат и закрытый ключ в контейнере pkcs#12 возможно скачать только в последнем окне выпуска сертификата «об успешном создании сертификата» по нажатию на кнопку <Скачать>. Далее, после закрытия окна, скачивание выпущенного сертификата для субъекта в разделе «Сертификаты» доступно только в формате .pem!
Рисунок 59 – Окно успешного создания сертификата субъекта на электронном ключе сертификата
- При успешном создании сертификата и выполнении всех условий ниже происходит его публикация в ресурсную систему:
- сертификат был создан для субъекта, подключенного к ресурсной системе;
- сертификат создан по шаблону, в котором включена публикация сертификата в ресурсную систему.
В случае успешной публикации сертификата в ресурсную систему отобразится всплывающее сообщение «Сертификат успешно опубликован в ресурсную систему».
В случае ошибки публикации сертификата в ресурсную систему отобразится всплывающее сообщение «Ошибка публикации сертификата в ресурсную систему», также сертификат будет помечен, как требующий публикации. И при включенной настройке автопубликации будет произведена попытка его публикации в соответствии с расписанием.
[1] Описание полей предустановленных шаблонов см. в Приложение 1. Описание полей по умолчанию предустановленных шаблонов сертификатов.
[2] Правила валидации значений полей предустановленных шаблонов см. в Приложение 2. Правила валидации значений полей по умолчанию предустановленных шаблонов сертификатов.
[3] Для справки – https://www.alvestrand.no/objectid/2.5.4.html, раздел Subdirectory references.
Раздел «Ресурсные системы»
Раздел «Ресурсные системы» обеспечивает получение данных субъектов с целью упрощенного выпуска сертификатов субъектам служб каталогов Linux и Microsoft, а также централизованную публикацию выпущенных сертификатов в карточку субъекта службы каталогов. Для авторизованного Оператора в списке присутствуют только те ресурсные системы, на субъекты которых ему прямо или косвенно[1] предоставлены полномочия в соответствии с текущими правилами доступа.
Переход в раздел «Ресурсные системы» осуществляется через боковое меню, расположенное слева на главном экране (см. Рисунок 60).
- На основном экране «Ресурсной системы» отображены информационные поля (см. Рисунок 60):
- имя домена – домен подключенной ресурсной системы;
- последнее обновление – отображается дата и время последней синхронизации базы субъектов источника с базой данных программного компонента;
- статус –статус ресурсной системы, который назначается в соответствии с критериями, приведенными в таблице ниже;;
Таблица 9 – Статусы ресурсной системы и критерии их присвоения
Статус ресурсной системы | Критерии присвоения статуса ресурсной системе |
|---|---|
Ожидание обработки | Все точки подключения к данной ресурсной системе ожидают первой синхронизации (при регистрации ресурсной системы) |
Успешно | Все точки подключения к ресурсной системе успешно синхронизированы |
В процессе | Какая-либо точка подключения к ресурсной системе находится в процессе синхронизации или удаления |
Ошибка | У ресурсной системы нет точек, находящихся в процессе синхронизации, и есть хотя бы одна точка, синхронизация которой завершена с ошибкой |
- субъекты – показывает количество загруженных субъектов из источника;
- - пиктограмма «Очередь» показывает, что ресурсной системе назначена задача, которая поставлена в очередь, так как в данный момент выполняется другая задача.
Назначение ресурсной системе новой задачи с постановкой в очередь сопровождается уведомительным сообщением «Успешно. Задача поставлена в очередь».
Повторно назначить ресурсной системе задачу, уже находящуюся в очереди, невозможно. Данное действие сопровождается уведомительным сообщением «Ошибка. Задача уже находится в очереди».
Рисунок 60 – Экран раздела «Ресурсная система»
- Центр сертификации Aladdin Enterprise Certification Authority позволяет загрузить из нескольких ресурсных систем Samba DC, РЕД АДМ, MS AD, FreeIPAALD PRO или Альт Домен:
- список субъектов (пользователей, компьютеров и сервисов (только для ALD PRO и FreeIPA)), их атрибуты и сертификаты;
- список и состав групп безопасности.
- В разделе «Ресурсные системы» доступны следующие возможности:
- переход в карточку ресурсной системы (см. п. 4.5.1);
- запуск полной синхронизации ресурсной системы (см. п. 4.5.2.3).
[1] Путем наследования от группы безопасности, куда входит субъект, на основе которого создана учетная пользователя с ролью «Оператор».
Карточка ресурсной системы
Просмотр информации о ресурсной системе возможен посредством окна «Карточка ресурсной системы».
- Переход к «Карточке ресурсной системы» (см. Рисунок 61) осуществляется при нажатии на строку ресурсной системы в разделе «Ресурсные системы» (см. Рисунок 60).
Рисунок 61 – Окно «Ресурсная система»
- Карточка ресурсной системы включает в себя следующую информацию:
- Заголовок с именем домена в формате «Домен DomainName», где «DomainName» – имя домена;
- Подраздел «Сведения о домене», включающий в себя таблицу со следующими полями:
- «Идентификатор». В данном поле указан идентификатор ресурсной системы;
- «Последнее обновление». В данном поле указаны дата и время последней попытки полной синхронизации ресурсной системы;
- «Статус». Статус ресурсной системы, который назначается в соответствии с критериями, приведенными в таблице выше (Таблица 9);
- «Субъекты». В данном поле указано количество субъектов, полученных из ресурсной системы.
- Подраздел «Точки подключения», содержащий таблицу со списком точек подключения к данной ресурсной системе, которая включает в себя поля:
- «Адрес хоста» - полное доменное имя или IP-адрес точки подключения ресурсной системы;
- «Точка подключения» – Base DN, который содержит в своем DN объекты, получаемые из точки подключения; указывается при регистрации точки подключения в формате Distinguished Name;
- «Тип» – значение из списка: SambaDC, ALD PRO, MS AD, FreeIPA, RED ADM или Альт Домен.
Указывается при регистрации точки подключения; - «Логин» – логин уполномоченного пользователя контроллера домена, указанный при регистрации точки подключения);
- «Последнее обновление» – дата последней успешной полной синхронизации точки подключения;
- «Статус» – статус точки подключения, который назначается в соответствии с критериями, приведенными в таблице ниже;
Таблица 10 – Статусы точки подключения и критерии их присвоения
Статус точки подключения | Критерии присвоения статуса точке подключения |
|---|---|
Ожидание обработки | Точка подключения ресурсной системы ожидает первой синхронизации (при регистрации ресурсной системы) |
Успешно | Точка подключения к ресурсной системе успешно синхронизирована |
В процессе | Точка подключения к ресурсной системе находится в процессе синхронизации или удаления |
Ошибка | Последняя синхронизация точки подключения завершена с ошибкой |
- Доступные действия в карточке ресурсной системы:
- запуск полной синхронизации ресурсной системы (см. п. 4.5.2);
- запуск частичной синхронизации точки подключения (см. п. 4.5.2.3).
Синхронизация ресурсных систем
Виды синхронизации ресурсных систем
Центр сертификации Aladdin eCA поддерживает следующие виды синхронизации:
- полная. Синхронизация выполняется из точки подключения к ресурсной системе всех данных – списка субъектов (пользователей, компьютеров и сервисов (только для ALD PRO и FreeIPA), их атрибуты и сертификаты, список и состав групп безопасности).
При запуске полной синхронизации нескольких точек подключения процесс выполняется поочерёдно. Статус ресурсной системы, обновление которой выполняется, будет отображен как «В процессе».
По результатам обновления ресурсной системы будут:
- обновлены дата и время в поле «Последнее обновление» экранной формы «Ресурсная система»;
- в поле «Статус» экранной формы «Ресурсная система» будет отображён результат синхронизации «Успешно» или «Ошибка»;
- выведено всплывающее сообщение по результату синхронизации «Успешно» или «Ошибка».
- частичная. При частичной синхронизации выполняется обновление всех данных, полученных при полной синхронизации, за исключением сведений об удалении субъектов, организационных групп и групп безопасности из ресурсной системы.
Субъекты ресурсной системы, которые не могут быть синхронизированы, будут отсутствовать в списке субъектов данной ресурсной системы. Ошибка синхронизации для каждого субъекта ресурсной системы будет зафиксирована в Журнале событий с кодом CAENV090.
Режимы обновления ресурсной системы
- Автоматическая частичная и полная синхронизация всех зарегистрированных точек подключения к ресурсным системам выполняется по расписанию в соответствии с заданным CRON-выражением администратором.
- Ручной запуск полной синхронизации ресурсной системы (см. п. 4.5.2.3);
- Ручной запуск частичной синхронизации точки подключения (см. п. 4.5.2.4);
- В результате обновления ресурсной системы состав объектов будет синхронизирован:
- переименованы существующие объекты;
- изменены существующие связи (включения в группы и т.д.);
- обновлён список субъектов (добавлены новые группы и объекты, удалены субъекты).
- Для каждого загруженного пользователя и компьютера будет создан субъект и подгружены все поля, относящиеся к SubjectDN и SubjectAltName. Преобразование содержимого записи LDAP в поля базы субъектов ресурсной системы происходит в соответствии с Таблица 11. Если данные поля отсутствуют в описании субъекта в подключенном домене, то в шаблоне при выпуске сертификата соответствующие поля заполняются пустыми значениями.
Таблица 11 – Преобразование данных субъектов ресурсной системы
Атрибут субъекта AECA-СA | Поле в MS AD, SambaDC, RED ADM, Альт Домен | Поле в ALD PRO, FreeIPA | |||
|---|---|---|---|---|---|
Тип субъекта | Тип субъекта | ||||
Пользователь | Компьютер | Пользователь | Компьютер | Сервис | |
Id | ObjectGUID | ObjectGUID | ipaUniqueID | ipaUniqueID | ipaUniqueID |
Common name | cn | cn | cn | cn | krbPrincipalName |
uid | |||||
Initials | - | - | initials | - | - |
Surname | sn | - | sn | - | - |
Given Name | givenName | - | givenName | - | - |
Organization | - | - | krbPrincipalName | krbPrincipalName | krbPrincipalName |
Name | name | name | - | serverHostName | - |
MS GUID | - | ObjectGUID | - | - | - |
Domain Qualifier | distigushedName | distigushedName | entrydn | entrydn | entrydn |
Description | description | - | - | - | - |
DNS Name | - | dNSHostName | - | fqdn | - |
Email Address (Mail) | - | - | - | ||
userPrincipalName | - | krbPrincipalName | krbPrincipalName | krbPrincipalName | |
RFC 822 NAME | - | - | - | ||
userPrincipalName | - | krbPrincipalName | krbPrincipalName | krbPrincipalName | |
MS UPN | userPrincipalName | - | krbPrincipalName | krbPrincipalName | krbPrincipalName |
Unique Identifier (UID) | - | - | uid | - | - |
Kerberos KPN, Kerberos 5 Principal | - | - | - | krbPrincipalName | - |
SID | objectSid | objectSid | ‑ | ‑ | ‑ |
Ручной запуск полной синхронизации ресурсной системы
Запуск полной синхронизации ресурсной системы может осуществляться путем нажатия на кнопку <Обновить> для ресурсной системы в разделе «Ресурсные системы» (см. Рисунок 62) или путем нажатия на кнопку <Обновить полностью> в карточке ресурсной системы (см. Рисунок 62). Ресурсная система, для которой выполняется полная синхронизация, имеет статус «В процессе».
Рисунок 62 – Запуск полной синхронизации ресурсной системы из раздела «Ресурсные системы»
Рисунок 63 – Запуск полной синхронизации ресурсной системы из карточки ресурсной системы
Ручной запуск частичной синхронизации точки подключения
Запуск частичной синхронизации точки подключения осуществляться путем нажатия на кнопку <Обновить> для точки подключения в карточке ресурсной системы (см. Рисунок 64).
Рисунок 64 – Запуск частичной синхронизации точки подключения
Раздел «Шаблоны»
Раздел «Шаблоны» позволяет Операторам просматривать шаблоны, доступ к которым им предоставлен в соответствии с назначенными правилами доступа.
- Переход в раздел «Шаблоны» (см. Рисунок 65) осуществляется через боковое меню, расположенное слева на экране.
Рисунок 65 – Раздел «Шаблоны»
- На экранной таблице раздела «Шаблоны» отображены следующие колонки:
- условное обозначение вида шаблона:
- – предустановленные по умолчанию шаблоны, созданные в момент установки Центра сертификации Aladdin еСА. Данный вид шаблонов не подлежит редактированию;
- – клонированные шаблоны для редактирования с целью создания нового шаблона с заданными параметрами;
- – импортированные шаблоны (например, из MS CS).
- имя – содержит название шаблона;
- создано сертификатов – количество сертификатов, выпущенных по данному шаблону, владельцами которых являются субъекты, на управление которыми данному Оператору назначены полномочия;
- дата создания – дата создания (клонирования) шаблона;
- центр сертификации – центр сертификации, в котором будет выполняться выпуск сертификатов по данному шаблону. Если в данном параметре шаблона указано значение «Любой», то выпуск сертификатов по данному шаблону доступен в любом центре сертификации. При этом для выпуска сертификатов будет использоваться активный в данный момент центр сертификации. Для предустановленных шаблонов данный параметр всегда имеет значение «Любой»;
- условное обозначение вида шаблона:
Внимание! При обновлении ПО с версии 2.1 до версии 2.2 всем шаблонам для параметра «Центр сертификации» устанавливается значение «Любой».
- тип субъекта – определяет тип субъекта, для которого предназначен данный шаблон (корневой Центр сертификации, подчинённый Центр сертификации, устройство, пользователь).
Внимание! При обновлении ПО с версии 2.1 до версии 2.2 ранее применяемый для шаблонов параметр «Тип сертификата» преобразовывается в параметр «Тип субъекта» по следующим правилам. Шаблон с типом сертификата «Корневой» принимает значение для типа субъекта «Корневой ЦС». Шаблон с типом сертификата «Подчиненный» принимает значение для типа субъекта «Подчиненный ЦС». Шаблон с типом сертификата «Пользовательский» принимает значение для типа субъекта «Пользователь» (за исключением шаблонов по умолчанию «WEB-Server», «ECA-WEB-Server», «OCSP Signer», «Domain Controller», «ALD PRO Domain Controller», «SCEP Management», для которых устанавливается значение типа субъекта «Устройство»).
Список предустановленных шаблонов[1]:
- User;
- WEB-Client;
- WEB-Server;
- Domain Controller;
- Smartcard Logon;
- S/MIME;
- ALD PRO Domain Controller;
- ALD PRO Smartcard Logon;
- OCSP Signer;
- Root CA;
- Sub CA;
- SCEP Management;
- [Deprecated] ECA-Auth;
- [Deprecated] ECA-User;
- [Deprecated] Domain Controller;
- [Deprecated] Smartcard Logon;
- [Deprecated] WEB-Client;
- [Deprecated] WEB-Server;
- [Deprecated] ECA-WEB-Server;
- [Deprecated] S/MIME;
- [Deprecated] ALD PRO Domain Controller;
- [Deprecated] ALD PRO Smartcard Logon;
- [Deprecated] OCSP Signer;
- [Deprecated] Root CA;
- [Deprecated] Sub CA;
- [Deprecated] SCEP Management.
Внимание! При обновлении ПО до версии 2.2 все предустановленные в версии 2.1 шаблоны считаются устаревшими (в названия шаблонов добавлена пометка [Deprecated]). В набор шаблонов добавлены копии устаревших шаблонов с измененными параметрами (за исключением шаблонов «ECA-WEB-Server» и «ECA-Auth»). Шаблон «ECA-User» переименован в «User».
- Действия доступные над всеми видами шаблонов для операторов:
- просмотр полного списка доступных шаблонов или по результатам поиска;
- просмотр параметров шаблона в его карточке.
- Все шаблоны на экране раздела отображаются в виде таблицы с пагинацией.
[1] Подробное описание полей предустановленных шаблонов см. в Приложение 1. Описание полей по умолчанию предустановленных шаблонов сертификатов
Поиск шаблонов
Строка поиска (см. Рисунок 66) предназначена для поиска шаблонов в экранной таблице по содержимому колонки «Имя». Поиск запускается автоматически при вводе искомого значения в строку поиска, результат поиска будет отражён на экранной таблице.
Рисунок 66 – Поисковая строка в разделе «Шаблоны»
- Для сброса результатов поиска и возврату к полному перечню шаблонов в экранной таблице удалите содержимое строки поиска.
Сортировка шаблонов
- Средство сортировки списка шаблонов представлено элементом выбора направления сортировки в заголовках колонок экранной таблицы (см. Рисунок 65) – полями «Имя» (сортировка в алфавитном порядке), «Дата создания» (сортировка в порядке убывания/возрастания), «Тип субъекта» (упорядочивание по типу субъекта в алфавитном порядке), по виду шаблона (предустановленный, импортированный, клонированный), «Центр сертификации» (упорядочивание по названию центра сертификации в алфавитном порядке).
- Сортировка происходит только по одному значению при нажатии на соответствующий заголовок колонки таблицы.
- Активное поле таблицы, по которому выполнена сортировка, обозначено знаком с правой стороны от заголовка таблицы.
- Для сброса сортировки в колонке несколько раз нажмите на заголовке колонки, для которой применена сортировка.
Карточка шаблона
- Для просмотра карточки шаблона необходимо щёлкнуть левой кнопкой мыши на нужном шаблоне на главном экране вкладки «Шаблоны».
Рисунок 67 – Окно карточки шаблона
- В открывшемся окне оператору доступны:
- поле «Имя шаблона»;
- поле «Идентификатор», содержащее постоянный идентификатор шаблона;
- поле «Дата создания шаблона»;
- поле «Дата изменения шаблона»;
- информация о шаблоне, сформированная в виде вкладок «Свойства», «Расширения», «Компоненты имени субъекта».
Вкладка шаблона «Свойства»
На вкладке шаблона «Свойства» для просмотра доступны поля (см. Рисунок 68):
- общие:
- поле «Период действия сертификата». Формат значения в поле: 1d,1m,1y - час, день, месяц, год;
- чек-бокс «Публиковать сертификат в ресурсную систему».
- поле «Центр сертификации» - центр сертификации, в котором возможен выпуск сертификатов по данному шаблону;
- поле «Тип субъекта» - определяет тип субъекта, для которого предназначен данный шаблон (корневой Центр сертификации, подчинённый Центр сертификации, устройство, пользователь).
- шифрование:
- RSA;
- ECDSA;
- ГОСТ Р 34.10-2012.
Рисунок 68 – Вкладка «Свойства» шаблона сертификата
Вкладка шаблона «Расширения»
На вкладке шаблона «Расширения» для просмотра доступны (см. Рисунок 69):
- поле «Использование ключа»;
- поле «Расширенное использование ключа»;
- OID политики сертификата;
- чек-бокс «Считать это расширение критическим» для списка «Использование ключа»;
- чек-бокс «Считать это расширение критическим» для списка «Расширенное использование ключа».
- чек-бокс «Включить SID субъекта в сертификат». При включенной опции в поле сертификата субъекта с OID 1.3.6.1.4.1.311.25.2 будет записан его SID (при наличие данного атрибута у субъекта). SID может быть получен только для субъектов ресурсных систем MS AD, SambaDC, РЕД АДМ и Альт Домен.
Рисунок 69 – Вкладка «Расширения» шаблона сертификата
Вкладка шаблона «Компоненты имени сертификата»
На вкладке шаблона «Компоненты имени сертификата» для просмотра доступны (см. Рисунок 70):
- отличительное имя субъекта;
- альтернативное имя субъекта.
Рисунок 70 – Вкладка «Компоненты имени сертификата» шаблона сертификата






































































