Портал документации Рутокен

Page tree

Добавьте информацию об удостоверяющем центре (УЦ) Microsoft CA и настройте шаблоны сертификатов, которые будут выпускаться в этом УЦ.

Предварительные настройки

Чтобы разрешить доступ к разделу Microsoft:

  1. Запустите Мастер настройки.
  2. Перейдите в раздел Microsoft CA.
  3. Включите опцию Включить интеграцию с Microsoft CA Enterprise.

Добавление УЦ

Выберите инструкцию в зависимости от ОС, где установлен сервер Rutoken KeyBox.


  1. Нажмите Добавить УЦ.
  2. В поле Адрес задайте адрес УЦ, если он не определился автоматически.
  3. Укажите логин в формате DOMAIN\Username и пароль сервисной учетной записи, обладающей сертификатом Агент регистрации (Enrollment Agent).
  4. Нажмите Добавить.

Наличие пользователя с сертификатом Агент регистрации (Enrollment Agent) является обязательным условием для работы Rutoken KeyBox с УЦ. От имени этого пользователя будут отправляться запросы в указанный УЦ на выдачу сертификатов пользователям Rutoken KeyBox. Учетные данные этого пользователя можно изменить после добавления УЦ в Rutoken KeyBox.

Чтобы изменить учетные данные пользователя с сертификатом Агент регистрации (Enrollment Agent), выберите нужный УЦ и нажмите  справа от имени пользователя.

Добавление УЦ, расположенного за пределами домена пользователей Rutoken KeyBox

  1. Нажмите Добавить УЦ.

  2. В поле Адрес укажите URL-адрес приложения Rutoken KeyBox MSCA Proxy. Если Rutoken KeyBox развернут в лесу доменов, использовать Rutoken KeyBox MSCA Proxy необязательно. В этом случае в поле Адрес укажите имя УЦ.

  3. Укажите логин в формате DOMAIN\Username и пароль учетной записи пользователя, обладающего сертификатом Агент регистрации (Enrollment Agent) на УЦ, расположенном вне домена с каталогом пользователей Rutoken KeyBox.

  4. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.

  5. В поле Путь (LDAP) укажите путь к каталогу пользователей Rutoken KeyBox внешнего домена. 

    Rutoken KeyBox развернут в домене demo.local. Сертификаты пользователям этого домена выпускаются в УЦ, развернутом в этом домене. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Rutoken KeyBox есть еще одна доменная учетная запись, и на имя которой добавляемый УЦ будет выпускать сертификаты.

    Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных в УЦ, расположенных в независимых доменах.

    Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

    Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене demo.local должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

  6. В поле Имя пользователя укажите учетную запись в формате DOMAIN\Username, обладающую правами на чтение всех свойств пользователей во внешнем домене. Для этого можно использовать учетную запись, указанную в п.3.

    Чтобы настроить разрешение на чтение только необходимого набора свойств, перейдите в список Разрешений (Permissions) указанной учетной записи Active Directory и выберите нужные свойства.

  7. В поле Атрибут сопоставления каталогов укажите атрибут, по которому Rutoken KeyBox определяет уникальность пользователя, для которого созданы учетные записи в каждом домене. Можно выбрать один из атрибутов – Общее имя, E-mail или Логин (sAMAccountName).

  1. Нажмите Добавить УЦ.
  2. В поле Адрес укажите URL-адрес приложения Rutoken KeyBox MSCA Proxy.
  3. В поле Клиентский сертификат выберите сертификат клиентской аутентификации для подключения к Rutoken KeyBox MSCA Proxy.

  4. Нажмите Добавить.

    Сертификат клиентской аутентификации необходим для работы Rutoken KeyBox с Microsoft CA для инсталляций на ОС Linux.

Добавление УЦ, расположенного за пределами домена пользователей Rutoken KeyBox

  1. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.

  2. В поле Путь (LDAP) укажите путь к каталогу пользователей Rutoken KeyBox внешнего домена.

    Rutoken KeyBox развернут в домене demo.local. Сертификаты пользователям этого домена выпускаются в УЦ, развернутом в этом домене. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Rutoken KeyBox есть еще одна доменная учетная запись, и на имя которой добавляемый УЦ будет выпускать сертификаты.

    Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных в УЦ, расположенных в независимых доменах.

    Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

    Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене demo.local должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

  3. В поле Имя пользователя укажите учетную запись (в формате DOMAIN\Username), обладающую правами на чтение всех свойств пользователей во внешнем домене.

    Чтобы настроить разрешение на чтение только необходимого набора свойств, перейдите в список Разрешений (Permissions) указанной учетной записи Active Directory и выберите нужные свойства.

  4. В поле Атрибут сопоставления каталогов укажите атрибут (Общее имя, E-mail или Логин (sAMAccountName)), по которому Rutoken KeyBox будет определять уникальность пользователя, для которого созданы учетные записи в каждом домене.

Настройка шаблонов сертификатов

Перед началом работы с шаблонами сертификатов в Rutoken KeyBox убедитесь, что необходимые шаблоны настроены и добавлены в центр сертификации Microsoft CA. Как настроить и добавить шаблоны сертификатов в Microsoft CA.

Чтобы настроить шаблон сертификата:

  1. Перейдите в раздел Шаблоны.
  2. Нажмите Создать шаблон сертификата.
  3. Заполните параметры и нажмите Создать.
ПараметрОписание
ИмяИмя шаблона сертификата
УЦИмя удостоверяющего центра
Шаблон сертификата УЦЗагружается из удостоверяющего центра
Префикс имени ключаЕсли не указать префикс имени ключа, то имя контейнера, содержащего ключевую пару, формируется случайным образом.

Если вы указали префикс, то он добавится перед именем контейнера.

Значение префикса отображается в Rutoken KeyBox (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств). Устройства могут не поддерживать отображение имени контейнера с префиксом
Включить в имя субъекта

Укажите атрибуты для формирования имени субъекта (Subject) сертификата:

  • полное различающееся имя (значение по умолчанию);
  • общее имя;
  • имя;
  • фамилия;
  • инициалы;
  • e-mail;
  • должность;
  • подразделение;
  • организация;
  • адрес;
  • город;
  • область;
  • страна.

Чтобы сформировать имя субъекта (Subject) и альтернативное имя субъекта (Subject Alternative Name) сертификата из списка атрибутов в свойствах шаблона Microsoft CA на вкладке Имя субъекта (Subject Name) укажите Предоставляется в запросе (Supply in the request)

Включить в альтернативное имя субъекта

Укажите атрибуты для формирования альтернативного имени субъекта (Subject Alternative Name) сертификата:

  • e-mail;
  • дополнительные e-mail адреса;
  • UPN-имя пользователя.

Атрибут пользователя Active Directory, из которого вычитываются дополнительные e-mail адреса, указывается в Мастере настройки в разделе. Атрибут по умолчанию: proxyAddresses

Создавать резервную копию ключа

Если опция включена, то при генерации ключевой пары на смарт-карте применится опция ее архивации. Это значит, что ключевая пара сгенерируется на смарт-карте, и ее копия (открытый и закрытый ключи) будут отправлены на сервер Rutoken KeyBox и затем в хранилище системы. Архивация ключевой пары возможна только один раз.

Если опция выключена, то ключевая пара генерируется сразу на устройстве
Записывать копию ключа при временной замене устройства

Если опция включена, то копии сертификатов и закрытых ключей будут записаны на временное устройство при временной и постоянной замене.

Если опция выключена, то копии сертификатов и закрытых ключей не будут записаны на временное устройство при замене
Использовать ключи повторноЕсли опция включена, то при обновлении сертификатов, записанных на устройство, существующий ключ шифрования используется повторно
Импортировать сертификат, если существуетЕсли опция включена, то Rutoken KeyBox будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей. Сертификат невозможно импортировать, если устройство будет инициализировано перед выпуском
Не удалять сертификат при обновлении/очистке устройства

Если опция включена, то при обновлении или очистке устройства истекающий/истекший сертификат не удалится с устройства и отозван на УЦ. В процессе обновления запрашивается новый сертификат с новым закрытым ключом и записывается на устройство.

Если включена опция Использовать ключи повторно, то при обновлении устройства истекающий/истекший сертификат удаляется с устройства. На устройство будет запрошен и записан новый сертификат со старым закрытым ключом. Истекающий/истекший сертификат удаляется, если устройство изъято с инициализацией
Отзывать сертификат при отзыве или выключении устройства

Если опция включена, то сертификаты пользователя отзываются при выключении или отзыве устройства.

Если опция выключена, сертификаты не отзываются
Устанавливать сертификат в локальное хранилищеЕсли опция включена, то при выпуске и обновлении устройства через Сервис самообслуживания записанные на него сертификаты добавляются в локальное хранилище пользователя на рабочей станции
Публиковать сертификат в файловое хранилище

Если опция включена, то выпущенный сертификат помещается в сетевое хранилище. При отзыве устройства сертификаты из хранилища не удаляются.

Опция доступна, если в Мастере настройки в разделе Общие функции включена опция Публикация сертификатов в файловое хранилище
Публиковать список отозванных сертификатов

Если опция включена, то при выключении, включении и отзыве устройств список отозванных сертификатов (CRL) опубликуется вне очереди. Таким образом пользователь не сможет подписывать документы отозванным сертификатом.

Опция доступна, если сервисная учетная запись для работы с Microsoft CA имеет разрешение Управлять ЦС

Автоматически одобрять запрос на сертификат

Если опция включена, то запрос на сертификат одобряется автоматически.

Если опция выключена, то для завершения выпуска необходимо дождаться, когда УЦ одобрит запрос, или отменить выпуск, если запрос отклонен.
Автоматически одобрять подписанный запрос на обновление сертификатаЕсли опция включена, то запрос на обновление сертификата одобряется автоматически.
Если опция выключена, то для обновления сертификата необходимо дождаться, когда УЦ одобрит запрос.
Требовать подписанный документ сертификата перед продолжением выпуска/обновления устройстваЕсли опция включена, то сертификат записывается на устройство только после того, как пользователь предоставит на проверку администратору подписанную форму сертификата.
После одобрения запроса в УЦ форма сертификата будет доступна пользователю в Сервисе самообслуживания. Пользователь может скачать и подписать форму сертификата и предоставить ее на проверку
Отслеживаемые атрибуты пользователяУкажите атрибуты пользователя, при изменении которых требуется обновить сертификат: Общее имя, E-mail, UPN-имя пользователя.
Изменение е-mail приводит к обновлению сертификата, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name).
Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки
Шаблон печати запроса на сертификатЕсли параметр не задан, то используется стандартный шаблон печати запроса на сертификат.

Если в Rutoken KeyBox добавлены Шаблоны печати запроса сертификата, то выберите шаблон из выпадающего меню

Шаблон печати сертификатаЕсли параметр не задан, то используется стандартный шаблон печати сертификата.

Если в Rutoken KeyBox добавлены Шаблоны печати сертификата, то выберите шаблон из выпадающего меню

Шаблон печати запроса на отзыв сертификатаЕсли параметр не задан, то используется стандартный шаблон печати запроса на отзыв сертификата.

Если в Rutoken KeyBox добавлены Шаблоны печати запроса на отзыв сертификата, выберите шаблон из выпадающего меню

Использовать по умолчаниюЕсли опция включена, то сертификат отмечается как используемый по умолчанию для входа в операционную систему Windows XP
Необязательный сертификатЕсли опция включена, то при выпуске устройства появится возможность выбрать, какие сертификаты из списка необязательных, записать на устройство.
Если опция выключена, то сертификат считается обязательным для записи на устройство
  • No labels