- Created by Mikhail Yakovlev, last modified on Sep 05, 2022
В разделе приведено описание настроек шаблонов сертификатов всех поддерживаемых в Indeed CM удостоверяющих центров.
Настройки шаблонов сертификатов в Indeed Certificate Manager.
Параметр | Описание | MSCA | КП2.0 | Валидата (Online-/Offline-режим) | DSS |
---|---|---|---|---|---|
Имя | Имя шаблона сертификата. | ||||
Сервер | Имя сервера DSS. | ||||
УЦ | Имя удостоверяющего центра. | ||||
Шаблон сертификата УЦ | Загружается из выбранного удостоверяющего центра. | ||||
Префикс имени ключа | Если префикс не задан, то имя контейнера, содержащего ключевую пару, будет сформировано случайным образом. Если указан префикс, то он добавится перед именем контейнера. Значение префикса отображается в Indeed CM (имя контейнера в разделе СКЗИ) и в стороннем ПО для работы с контейнерами закрытого ключа (КриптоПро CSP, клиенты устройств и пр.). Имя контейнера с префиксом может не поддерживаться устройством. | ||||
Включить в имя субъекта | Укажите атрибуты для формирования имени субъекта (Subject) сертификата:
Для формирования имени субъекта (Subject) и альтернативного имени субъекта (Subject Alternative Name) сертификата из списка атрибутов в свойствах шаблона Microsoft CA на вкладке Имя субъекта (Subject Name) укажите Предоставляется в запросе (Supply in the request). |
|
| ||
Включить в альтернативное имя субъекта | Укажите атрибуты для формирования альтернативного имени субъекта (Subject Alternative Name) сертификата:
Атрибут пользователя Active Directory, из которого вычитываются дополнительные e-mail адреса, указывается в разделе Microsoft CA Мастера настройки Indeed CM. |
|
| ||
Выпускать сертификат на указанного пользователя | Если опция включена, то в свойствах шаблона отобразится поле поиска пользователя в каталоге ЦР КриптоПро УЦ, на которого будут выпускаться сертификаты. Опция доступна при включении Разрешить выпуск сертификатов на имя общей учетной записи в разделе КриптоПро УЦ 2.0 Мастера настройки Indeed CM. |
| |||
Использовать аппаратную криптографию, если поддерживается | Если опция включена, то при выпуске сертификата ключевая пара будет создаваться с использованием криптографических алгоритмов, поддерживаемых устройством. Если устройство не поддерживает аппаратную криптографию, то будет использоваться КриптоПро CSP, установленный на рабочей станции, к которой подключено устройство. Изменить значение опции при редактировании шаблона нельзя. | ||||
Создать резервную | Если опция включена, то в этом случае при генерации ключевой пары на смарт-карте будет применена опция её архивации. Это значит, что ключевая пара будет сгенерирована на смарт-карте и ее копия (открытый и закрытый ключи) будут отправлены на сервер Indeed CM и затем в хранилище системы. Архивация ключевой пары возможна только один раз. Если опция выключена, то ключевая пара сразу генерируется на устройстве. | ||||
Записывать копию | Если опция включена, то копии сертификатов и закрытых ключей будут записаны на временное устройство при замене, как и в случае с постоянной заменой. Если опция отключена, то копии сертификатов и закрытых ключей не будут записаны на временное устройство при замене. | ||||
Использовать ключи повторно | Если опция включена, то при обновлении сертификатов, записанных на устройство, существующий ключ шифрования будет использован повторно. | ||||
Импортировать сертификат, если существует | Если опция включена, то система будет искать существующие сертификаты на устройстве (для указанного пользователя, УЦ и шаблона) и использовать их, не создавая новых ключей. Импорт сертификата невозможен, если устройство будет инициализировано перед выпуском. | ||||
Не удалять сертификат при обновлении/очистке устройства | Если опция включена, то при обновлении или очистке устройства истекающий/истекший сертификат не будет удален с устройства и отозван на УЦ. Для шаблона сертификата MSCA: Если включена опция Использовать ключи повторно, то при обновлении устройства истекающий/истекший сертификат будет удален с устройства. На устройство будет запрошен и записан новый сертификат со старым закрытым ключом. Истекающий/истекший сертификат будет удален, если устройство изъято с инициализацией. |
| |||
Отзывать сертификат при отзыве или выключении устройства | Если опция включена, то сертификаты пользователя будут отозваны при выключении или отзыве устройства. Если опция выключена, то при выключении или отзыве устройства сертификаты не будут отозваны. | ||||
Устанавливать сертификат в локальное хранилище | Если опция включена, то при выпуске (обновлении) устройства через Self Service записанные на него сертификаты добавятся в локальное хранилище пользователя на рабочей станции. | ||||
Публиковать сертификат в каталоге пользователей | Если опция включена, то выпущенный сертификат опубликуется в профиле пользователя в Active Directory на вкладке Опубликованные сертификаты (Published Certificates). Сертификат удалится из профиля при включении опции Удалять опубликованный сертификат при отзыве устройства. Необходимо наличие прав на Запись: userCertificate (Write userCertificate) для сервисной учетной записи для работы с каталогом пользователей Active Directory. | ||||
Публиковать сертификат в ЕСИА | Если опция включена, то выпущенный квалифицированный сертификат будет зарегистрирован в Единой системе идентификации и аутентификации (ЕСИА). Опция доступна при включении Интеграция со СМЭВ в разделе Общие функции Мастера настройки Indeed CM. | ||||
Публиковать сертификат в файловое хранилище | Если опция включена, то выпущенный сертификат будет помещен в сетевое хранилище (папку). При отзыве устройства сертификаты из хранилища не удаляются. Опция доступна при включении Публикация сертификатов в файловое хранилище в разделе Общие функции Мастера настройки Indeed CM. | ||||
Публиковать сертификат в ЦФТ | Если опция включена, то выпущенный сертификат будет помещен в базу приложений ЦФТ. При отзыве устройства сертификаты из базы приложений ЦФТ не удаляются. Опция доступна при включении Публиковать сертификаты пользователей КриптоПро УЦ 2.0 в базе приложений ЦФТ в разделе КриптоПро УЦ 2.0 Мастера настройки Indeed CM. | ||||
Публиковать список отозванных сертификатов | Если опция включена, то при выключении, включении и отзыве устройств будет выполняться внеочередная публикация списка отозванных сертификатов (CRL). | ||||
Использовать комментарий устройства в качестве комментария пользователя к запросу на сертификат | Если опция включена, то в поле "Заметки пользователя" запроса сертификата будет добавлен текст комментария устройства. |
|
|
| |
Автоматически одобрять запрос на сертификат | Если опция включена, то запросы на сертификат будут автоматически одобрены. Если опция выключена, то для завершения выпуска потребуется дождаться одобрения запроса на УЦ или отменить выпуск, если запрос будет отклонен. | ||||
Автоматически одобрять подписанный запрос на обновление сертификата | Если опция включена, то запрос на обновление сертификата будет одобрен автоматически. Если опция выключена, то для обновления сертификата потребуется дождаться одобрения запроса на УЦ. | ||||
Отслеживаемые атрибуты пользователя | Укажите атрибуты пользователя при изменении которых необходимо обновление сертификата:
Изменение E-mail приводит к обновлению сертификата в случае, если этот атрибут включен в свойствах шаблона сертификата в Microsoft CA на вкладке Имя субъекта (Subject Name) опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name). Дополнительный список отслеживаемых атрибутов пользователей задается в разделе Обновляемые атрибуты Мастера настройки Indeed CM. |
|
|
| |
Шаблон печати запроса на сертификат | Если параметр: Не задано, то используется стандартный шаблон печати запроса на сертификат. Если в систему добавлены Шаблоны печати запроса сертификата, то выберите шаблон из выпадающего меню. | ||||
Шаблон печати сертификата | Если параметр: Не задано, то используется стандартный шаблон печати сертификата. Если в систему добавлены Шаблоны печати сертификата, то выберите шаблон из выпадающего меню. | ||||
Шаблон печати запроса на отзыв сертификата | Если параметр: Не задано, то используется стандартный шаблон печати запроса на отзыв сертификата. Если в систему добавлены Шаблоны печати запроса на отзыв сертификата, то выберите шаблон из выпадающего меню. | ||||
Использовать по умолчанию | Если опция включена, то сертификат отмечается как используемый по умолчанию для входа в операционную систему Windows XP. | ||||
Период обновления (дней) | Период времени, в течение которого сертификат и закрытый ключ можно обновить. Значение по умолчанию – 30 дней. | ||||
Необязательный сертификат | Если опция включена, то при выпуске устройства появится возможность выбора сертификатов для записи из числа отмеченных, как необязательные. Если опция выключена, то сертификат считается обязательным для записи на устройство. |
- No labels