Avanpost PKI : Подключение УЦ ViPNet

Общая информация

Интеграционное решение Avanpost PKI с УЦ ViPNet является однокомпонентным и состоит из Коннектора к УЦ ViPNet:

  • Коннектор к УЦ ViPNet - программная библиотека, входящая в состав Avanpost PKI и реализующая программный интерфейс ICA Avanpost PKI. Отвечает за взаимодействие Avanpost PKI Server с SOAP веб-сервисами ViPNet CA Web Service УЦ ViPNet по протоколу HTTPS

Функции интеграционного решения

Основные функции

Интеграционное решение Avanpost PKI с УЦ ViPNet реализует выполнение следующих основных функций по запросу Avanpost PKI:

  • Выпуск сертификата;
  • Отзыв сертификата

Поддерживаемые версии УЦ ViPNet

Avanpost PKI поддерживает УЦ ViPNet версии 4.

Установка и настройка

Настройка окружения

  1. На сервере Avanpost PKI установите КриптоПро CSP или ViPNet CSP (рекомендуется устанавливать последнюю сертифицированную версию, совместимую с ОС и окружением, в которое устанавливается CSP);
  2. Активируйте КриптоПро CSP/ViPNet CSP введя серийный номер лицензии;
  3. Обеспечьте синхронизацию системных часов сервера Avanpost PKI и сервера ViPNet CA Web Service с точностью до 10 секунд;
  4. Обеспечьте полное доверие к сертификату веб-сервера ViPNet CA Web Service и всем сертификатам в его цепочке сертификации со стороны сервера Avanpost PKI;
  5. Обеспечьте доступ к точкам CDP и AIA, указанным в сертификате веб-сервера ViPNet CA Web Service и во всех сертификатах в его цепочке сертификации со стороны сервера Avanpost PKI

Данные действия необходимо выполнить для успешного построения двухстороннего TLS-канала между Avanpost PKI и ViPNet CA Web Service


Подготовка сертификатов и ключей для взаимодействия с УЦ ViPNet

Для взаимодействия клиента с веб-службой необходимы следующие сертификаты:

  • Сертификат проверки подлинности клиента веб-службы. Данный сертификат используется для аутентификации клиента при подключении к веб-службе и должен иметь расширение «Расширенное использование ключа» с назначением ключа «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)»;
  • Сертификат подписи CMS-запросов. Данный сертификат должен иметь расширение «Расширенное использование ключа» с назначением ключа «Агент запроса сертификата».
  • Внимание! Указанные назначения ключа должны быть добавлены при создании запросов
    на сертификаты

Также возможно использование единого сертификата для подписи CMS-запросов и проверки подлинности клиента веб-службы. В этом случае единый сертификат должен иметь оба назначения ключа: «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)» и «Агент запроса сертификата». Однако из соображений безопасности рекомендуется использование двух отдельных сертификатов.

Для проверки доступности УЦ ViPNet можно с использованием браузера перейти на страницу https://<URL-адрес веб-службы>/ca/mex и убедиться в доступности актуального описания веб-службы в виде WSDL-документа.

Установка коннектора к УЦ ViPNet

Библиотека коннектора к УЦ ViPNet идет в поставке дистрибутива Avanpost PKI (Avanpost.PKI.Server) и не требует дополнительных действий по установке.

Установка сертификатов и ключей технологического пользователя - ViPNet CSP

Процедура создания и установки технологических сертификатов и ключей с использованием ViPNet CSP приведена в документе "Руководство разработчика" ViPNet CA Web Service 4 компании "Инфотекс". (Документ доступен в конце статьи).

Установка сертификатов и ключей технологического пользователя - КриптоПро CSP

Установка из PFX-файла

  1. Подключитесь к серверу Avanpost PKI от имени учетной записи с правами локального администратора;
  2. Разместите PFX-файл с сертификатом и ключом технологического пользователя в любом удобном каталоге на сервере Avanpost PKI;
  3. Запустите оснастку "Certificates", установленную в рамках установки КриптоПро CSP и откройте ветку сертификатов локального компьютера (Certificates (Local Computer) - Personal - Registry - Certificates):
  4. Нажмите правой кнопкой мыши на вкладку Certificates, выберите меню All Tasks - Import... - будет запущен мастер импорта сертификатов ОС Windows:
  5. На следующем шаге выберите PFX-файл с сертификатом и ключом технологического пользователя, размещенный на сервере на шаге 2;
  6. На следующем шаге введите пароль от PFX-файла, отметьте чек-бокс "Include all extended properties.". Если планируете в дальнейшем иметь возможность осуществить резервное копирование или транспортировать сертификат и ключ технологического пользователя (например, на другой сервер), то отметьте чек-бокс "Mark this key as exportable. This will allow you to back up or transport your keys at a later time.":
  7. На следующем шаге мастер предложит разместить сертификат в определенное хранилище. Необходимо выбрать "Personal\Registry":
  8. На следующем шаге мастер отобразит информацию о выбранных настройках импорта, ознакомьтесь с данной информацией и нажмите "Finish":
  9. В процессе импорта КриптоПро CSP запросит сведения о носителе, в котором необходимо сохранить контейнер. Выберите "Реестр" и нажмите "ОК":
  10. На следующем шаге КриптоПро CSP запросит установку нового пароля на контейнер закрытого ключа. Введите пароль и его подтверждение и нажмите "ОК":
  11. На следующем шаге КриптоПро CSP запросит ввод установленного ранее пароля на контейнер закрытого ключа. Введите пароль, выберите опцию "Запомнить пароль" и нажмите "ОК":
  12. Мастер оповестит об успешном импорте сертификата и ключа, нажмите "ОК":

Если пароль на контейнер закрытого ключа сертификата технологического пользователя будет установлен, то его ввод может потребоваться после перезагрузки сервера Avanpost PKI. Служба Avanpost PKI Server запросит ввод пароля в случае обращения к закрытому ключу и его отсутствия в кэше.

Допускается не вводить пароль на шаге 10, в таком случае запросов на ввод пароля после перезагрузки сервера Avanpost PKI не будет, что упростит администрирование.

После успешной установки сертификата и ключа технологического пользователя он отобразится в окне оснастки "Certificates" (Certificates (Local Computer) - Personal - Registry - Certificates):

Установка сертификата и экспортируемого ключа с ключевого носителя

  1. Подключитесь к серверу Avanpost PKI от имени учетной записи с правами локального администратора;
  2. Подключите ключевой носитель, на котором размещен сертификат и закрытый ключ технологического пользователя к серверу Avanpost PKI;
  3. Запустите оснастку "КриптоПро CSP", от имени администратора и перейдите на вкладку "Сервис":
  4. Нажмите "Скопировать..." и выберите опцию "Введенное имя задает ключевой контейнер:" - "Компьютера":
  5. Нажмите "Обзор...", выберите ключевой контейнер, размещенный на подключенном ключевом носителе и нажмите "ОК":
  6. Нажмите "Далее", КриптоПро CSP запросит PIN-код пользователя от ключевого носителя, введите PIN-код и нажмите "ОК":
  7. На следующем шаге введите человекочитаемое наименование целевого контейнера и нажмите "Готово":
  8. В процессе импорта КриптоПро CSP запросит сведения о носителе, в котором необходимо сохранить контейнер. Выберите "Реестр" и нажмите "ОК":
  9. На следующем шаге КриптоПро CSP запросит установку нового пароля на контейнер закрытого ключа. Введите пароль и его подтверждение и нажмите "ОК":
  10. Мастер оповестит об успешном импорте сертификата и ключа, нажмите "ОК":
  11. Нажмите "Просмотреть сертификаты в контейнере..." и выберите опцию "Введенное имя задает ключевой контейнер:" - "Компьютера":
  12. Нажмите "Обзор...", выберите ключевой контейнер, созданный на шагах 6 - 10 и нажмите "ОК":
  13. Нажмите "Далее", КриптоПро CSP отобразит информацию о сертификате, находящемся в контейнере, нажмите "Установить":
  14. Если сертификат присутствует в хранилище сертификатов локального компьютера, то КриптоПро CSP сообщит об этом и предложит заменить его, нажмите "Yes", иначе перейдите к шагу 15:
  15. КриптоПро CSP сообщит об успешной установке, нажмите "ОК":
  16. Нажмите "Готово"

Если пароль на контейнер закрытого ключа сертификата технологического пользователя будет установлен, то его ввод может потребоваться после перезагрузки сервера Avanpost PKI. Служба Avanpost PKI Server запросит ввод пароля в случае обращения к закрытому ключу и его отсутствия в кэше.

Допускается не вводить пароль на шаге 9, в таком случае запросов на ввод пароля после перезагрузки сервера Avanpost PKI не будет, что упростит администрирование.

После успешной установки сертификата и ключа технологического пользователя он отобразится в окне оснастки "Certificates" (Certificates (Local Computer) - Personal - Registry - Certificates):

Настройка доступа к закрытому ключу технологического пользователя

  1. В оснастке "Certificates" (Certificates (Local Computer) - Personal - Registry - Certificates) выберите установленный сертификат технологического пользователя и нажмите на него правой кнопкой мыши;
  2. Выберите меню All Tasks - Manage Private Keys..., откроется настройка прав доступа к закрытому ключу;
  3. Добавьте учетную запись, от имени которой запущена служба Avanpost PKI Server и предоставьте ей полные права:
  4. Нажмите "Apply" для сохранения настройки и "ОК" для завершения

В примере выше служба Avanpost PKI Server запущена от имени Local System, в таком случае необходимо в настройку доступа добавить учетную запись компьютера - сервера Avanpost PKI. В примере выше имя сервера - MAIN.

Установка сертификата и не экспортируемого ключа с ключевого носителя

  1. Подключитесь к серверу Avanpost PKI от имени учетной записи с правами локального администратора;

  2. Подключите ключевой носитель, на котором размещен сертификат и закрытый ключ технологического пользователя к серверу Avanpost PKI;

    Важно!

    В данном случае ключевой носитель должен быть подключен к серверу непосредственно физически (не проброшен через RDP-сеанс), иначе ключевой носитель не будет доступен в сеансе компьютера, а будет доступен только в сеансе пользователя.

  3. Запустите оснастку "КриптоПро CSP", от имени администратора и перейдите на вкладку "Сервис":
  4. Нажмите "Просмотреть сертификаты в контейнере..." и выберите опцию "Введенное имя задает ключевой контейнер:" - "Компьютера":
  5. Нажмите "Обзор...", выберите ключевой контейнер, размещенный на подключенном ключевом носителе и нажмите "ОК":
  6. Нажмите "Далее", КриптоПро CSP отобразит информацию о сертификате, находящемся в контейнере, нажмите "Установить":
  7. Если сертификат присутствует в хранилище сертификатов локального компьютера, то КриптоПро CSP сообщит об этом и предложит заменить его, нажмите "Yes", иначе перейдите к шагу 15:
  8. КриптоПро CSP сообщит об успешной установке, нажмите "ОК":
  9. Нажмите "Готово"

После успешной установки сертификата и ключа технологического пользователя он отобразится в окне оснастки "Certificates" (Certificates (Local Computer) - Personal - Registry - Certificates):

Служба Avanpost PKI Server запросит ввод PIN-кода от ключевого носителя при первом обращении к закрытому ключу и его отсутствия в кэше. Введите PIN-код с отметьте "Запомнить". PIN-код будет запрашиваться каждый раз после перезагрузки ОС и его отсутствия в кэше.


Настройка Удостоверяющего центра в Avanpost PKI

Настройка экземпляра УЦ

Для настройки Удостоверяющего центра ViPNet в Avanpost PKI аутентифицируйтесь в веб-приложении Avanpost PKI Web от имени администратора и перейдите в раздел Настройки - Настройки УЦ:

  1. Добавьте новый УЦ нажав "Добавить новый УЦ...";
  2. Введите имя нового УЦ (например, "УЦ ViPNet АО "Аванпост");
  3. Выберите Тип УЦ - "УЦ ViPNet";
  4. Заполните параметры конфигурации коннектора к УЦ ViPNet:
    1. Серийный номер сертификата аутентификации - серийный номер сертификата проверки подлинности клиента веб-службы;

    2. Серийный номер сертификата подписи - серийный номер сертификата подписи CMS-запросов;

      Обратите внимание - при копировании серийного номера сертификата из карточки сертификата в начале и в конце строки могут присутствовать не читаемые символы. Их необходимо удалить

    3. Адрес веб-службы VipNet CA Web Service - адрес SOAP веб-сервиса VipNet CA Web Service;

  5. Сохраните настройку УЦ

Пример настройки КриптоПро УЦ 2.0 приведен ниже:

Дополнительные особенности и настройки ViPNet

В случае использования в работе ViPNet CSP и размещения технологических сертификатов и ключей в хранилище операционной системы рекомендуется дополнительно ознакомиться с комплектом пользовательской документации к ViPNet CSP и изучить особенности, связанные с размещением технологических сертификатов и ключей в хранилище операционной системы.

Обсуждение