Page History

Для работы с Indeed Certificate Manager необходимо предварительно подготовить шаблоны сертификатов пользователей в Центре Регистрации Валидата УЦ в формате XML, которые будут использоваться для выпуска сертификатов конечным пользователям.

Ниже описан процесс настройки шаблона сертификата пользователя на примере шаблона Валидата УЦ, который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте.пользователя в Центре Регистрации Валидата УЦ:

1. Для создания шаблона сертификата выберите пункт меню Центр Регистрации - Создать новый шаблон сертификата из основного меню ПК АРМ Оператора или Администратора ЦР.
2. В появившемся диалоге задайте имя шаблона и окне укажите Наименование шаблона и нажмите Далее. 
   

3. Заполните атрибуты сертификата:
   Image Removed
   

   InfoУстановите

   сертификата для построения Имени Владельца сертификата, установите опцию Разрешить генерацию ключа шифрования,

    при подготовке шаблона в Валидата УЦ.
4. Выберите область применения ключа, которую вы планируете использовать и нажмите Далее.
5. Выберите регламент сертификата и нажмите Далее.
6. Выберите дополнения для сертификата и нажмите Далее.
7. Задайте альтернативное имя владельца сертификата. На данный момент мы поддерживаем два атрибута альтернативного имени:
   • email
   • Microsoft Имя участника-пользователя

Необходимо предварительно отредактировать шаблон в формате .xml, созданный в Валидата УЦ. Он должен быть в кодировке UTF-8 и содержать поддерживаемые атрибуты. 

1. если требуется и нажмите Далее:

   Note
   Поддерживаемые атрибуты для построения Х.500-имени пользователя

1. : Должность (T) ОГРН (OGRN) ОГРНИП (

1. ORGNIP) СНИЛС (SNILS) ИНН (INN) ИНН юридического лица (INNLE)

1. Фамилия (SN) Приобретенное имя (GN) Общее имя (CN) Организация (O) Название улицы, номер дома (street) Населенный пункт (L) Город, область (ST) Страна (С) Почтовый адрес RFC822 (Email)

1. Подразделение (OU)

Дополнительные атрибуты сведений о владельце сертификата:

• email
• Microsoft Имя участника-пользователя

Для того, чтобы можно было использовать шаблон УЦ Валидата, предварительно его необходимо подготовить. Это делается в два этапа: подготовка шаблона на Валидата ЦР и редактирование созданного шаблона.

Подготовка шаблона на Валидата ЦР. 

Перейдите на сервер Валидата ЦР и запустите мастер создания нового шаблона сертификата. Выберите атрибуты (значение можно указать любое, так как во втором пункте мы будем его удалять, нам нужно, чтобы в файле шаблона были необходимые поля), которые будут использоваться для выдачи сертификата через Indeed CM:

1. Использование опции Разрешить генерацию ключа шифрования позволяет создать ключ шифрования для сертификата. В случае если эта опция не выбрана, то пользователю, для которого создается сертификат, будет запрещено иметь ключ шифрования.

   Image Added

2. Выберите область применения ключа и нажмите Далее.
3. Выберите регламент для сертификата и нажмите Далее.
4. Выберите дополнения для сертификата и нажмите Далее.

5. Задайте альтернативное имя Владельца сертификата и нажмите Готово.

   Note
   Поддерживаемые атрибуты для построения альтернативного имени владельца сертификата: email Описание Microsoft Имя участника-пользователя (User Principal Name)

   Image Added

   • Для того, чтобы использовать созданный шаблон в Indeed CM, необходимо в текстовом редакторе очистить значения заполненных атрибутов и перекодировать его в UTF-8 при сохранении.
     

     Code Block
     language xml title Пример отредактированного шаблона:
     <?xml version="1.0" encoding="UTF-8" ?> <pkiUser> <templateName>Квалифицированный сертификат</templateName> <templateSubject> <INN></INN> <INNLE></INNLE> <OGRNIP></OGRNIP> <OGRN></OGRN> <SNILS></SNILS> <T></T> <SN></SN> <GN></GN> <Email></Email> <CN></CN> <OU></OU> <O></O> <street></street> <L></L> <ST></ST> <C></C> </templateSubject> <subjectAltName> <UPN></UPN> <emailAddress></emailAddress> <description>СЗ № $docNumber от $docDate</description> </subjectAltName> <ExtKeyUsage>1

6. Укажите атрибуты имени владельца сертификата:
• Должность (T)
• ОГРН (OGRN)
• ОГРНИП (OGRNIP)
• СНИЛС (SNILS)
• ИНН (INN)
• Фамилмя (SN)
• Приобретенное имя (GN)
• Общее имя (CN)
• Организация (O)
• Название улицы, номер дома (street)
• Населенный пункт (L)
• Город, область (ST)
• Почтовый адрес RFC822 (Email)
• Страна (C)
• Подразделение (OU)
• Установите опции Разрешить генерацию ключа шифрования.
7. Выберите область применения ключа:
Проверка подлинности TLS клиента (1

8. • .3.6.1.5.5.7.3.

2)Защита электронной почты (1

9. • 2</ExtKeyUsage> <ExtKeyUsage>1.3.6.1.5.5.7.3.

4)
10. Выберите регламент сертификата:
1

11. • 4</ExtKeyUsage> <Policy> <OID>1.2.643.100.113.

1. Класс средства ЭП КС1. Минкомсвязь России1

12. • 1</OID> <UserNotice>Класс средства ЭП КС1</UserNotice> <Org>Минкомсвязь России</Org> </Policy> <Policy> <OID>1.2.643.100.113.

2. Класс средства ЭП КС2. Минкомсвязь России
13. Заполните дополнительные сведения о владельце сертификата:
• email
• Microsoft Имя участника-пользователя

Редактирование созданного шаблона.

Теперь необходимо отредактировать созданный шаблон, чтобы использовать его в Indeed CM. Мы рекомендуем использовать Notepad ++. 

1. Выполните перекодировку документа в UTF-8 и укажите это значение в файле:
   Image Removed
   
2. Удалите значение ранее заполненных полей:
   Image Removed
   
3. Сохраните изменения.

   • 2</OID> <UserNotice>Класс средства ЭП КС2</UserNotice> <Org>Минкомсвязь России</Org> </Policy> <Extension> <OID>1.2.643.100.111</OID> <Type>ASN1_UTF8STRING</Type> <Value></Value> </Extension> <Encipherment>yes</Encipherment> <IdentificationKind>0</IdentificationKind> </pkiUser>