Портал документации Рутокен

Page tree

Получение сертификата

  1. На рабочей станции, где установлен сервер Rutoken KeyBox, выполните вход в личный кабинет пользователя КриптоПро УЦ по логину и временному паролю сервисной учетной записи.
  2. Создайте запрос на сертификат:
    1. Откройте вкладку Сертификаты.
    2. В верхней панели меню выберите Создать. Откроется окно запроса на сертификат.
    3. Выберите шаблон сертификата Rutoken KeyBox Service User.
    4. Выберите криптопровайдер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider. Также поддерживаются криптопровайдеры RSA.
    5. Нажмите Создать.
  3. Дождитесь, когда Оператор Центра Регистрации одобрит запрос.
  4. В личном кабинете пользователя КриптоПро перейдите в раздел ЗапросыИзготовление. После выпуска сертификата статус запроса изменится на Завершен. Изготовленный сертификат отобразится на вкладке СертификатыДействительные.
  5. Сохраните сертификат – выделите его и в правой части строки нажмите Скачать.

Для инсталляций с несколькими серверами Rutoken KeyBox

Если в инфраструктуре развернуто несколько серверов Rutoken KeyBox, то сертификат сервисной учетной записи необходимо выпустить с экспортируемым закрытым ключом. Перенесите этот сертификат и его контейнер закрытого ключа на каждый сервер Rutoken KeyBox.

Установка сертификата в личное хранилище компьютера

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат.


Чтобы установить сертификат в личное хранилище компьютера:

  1. Откройте приложение КриптоПро CSP.
  2. Перейдите на вкладку Сервис.
  3. В разделе Личный сертификат нажмите Установить личный сертификат.... Откроется Мастер установки личного сертификата.

  4. Укажите путь к файлу сертификата. Выберите сертификат агента подачи заявок. Нажмите Далее

    Не устанавливайте пароль на контейнер закрытого ключа сертификата агента подачи заявок при установке сертификата.

  5. Включите опцию Найти контейнер автоматически. В качестве хранилища контейнера определится Реестр.
  6. В блоке Введенное имя задает ключевой контейнер выберите Компьютера и нажмите Далее.
  7. Завершите установку сертификата.

Выдайте Rutoken KeyBox права на чтение закрытого ключа сертификата сервисной учетной записи:

  1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер Rutoken KeyBox.
  2. Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
  3. Нажмите Добавить (Add).
  4. в меню Размещение (Location) укажите сервер.
  5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
  6. Выставите права Полный доступ (Full Control) и Чтение (Read).
  7. Нажмите Применить (Apply).
  8. В хранилище Локального компьютера (Local computer), на котором установлен сервер Rutoken KeyBox, установите сертификат корневого центра сертификации КриптоПро УЦ 2.0 в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities).
  9. В хранилище Локального компьютера (Local Computer), на котором установлен сервер Rutoken KeyBox, установите список отозванных сертификатов (CRL) центра сертификации КриптоПро УЦ 2.0 в Промежуточные Центры Сертификации (Intermediate Certification Authorities).
  1. Выполните вход в систему с учетной записью, от имени которой будет запускаться Rutoken KeyBox. По умолчанию это пользователь www-data.

    1. Проверьте наличие пользователя www-data:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует
      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

    2. Если пользователя www-data не существует, создайте его:

      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data

    3. Выполните вход от имени пользователя www-data:

      sudo su -s /bin/sh www-data

  2. Установите сертификат в формате PFX с помощью утилиты certmgr.exe:

    /opt/cprocsp/bin/amd64/certmgr -install -pfx -file <путь к файлу PFX> -pin <пароль от файла PFX>

  3. Поместите корневой сертификат в локальное хранилище корневых сертификатов пользователя:

    /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>

  4. Добавьте корневой сертификат в список доверенных корневых сертификатов:

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/

    2. Обновите хранилище доверенных корневых сертификатов:

      sudo update-ca-trust extract
       

    3. Перезапустите систему:

      sudo reboot

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /usr/local/share/ca-certificates/

    2. Перенастройте список доверенных корневых сертификатов:

      sudo dpkg-reconfigure ca-certificates
       

    3. Перезапустите систему:

      sudo reboot
  • No labels