6.4.Работа с серверными сертификатами
6.4.1.Ручная регистрация серверных сертификатов
Для регистрации сертификата сервера СЭД вручную выберите пункт меню «Администрирование – Криптозащита – Список абонентов ЭЦП». На экране появится диалоговое окно «Криптографические профили».
-
28. Окно «Криптографические профили»
В левой части окна «Криптографические профили» следует выбрать наименование криптопрофиля сервера СЭД и в правой части окна нажать на клавиатуре «Ins» или кнопку  на панели инструментов. Откроется окно «Настройки криптографического профиля» (см. рисунок 29).
-
29. Окно «Настройки криптографического профиля»
В поле «АРМ» из справочника выбирается АРМ сервера СЭД. Ниже наименования АРМ задаются режимы прав подписи документов, этот параметр должен выбираться, исходя из количества требуемых подписей под документами:
«Не может подписывать документы» – отсутствие прав подписи документов;
«Право подписи всех документов» – наличие прав подписи документов; при включении маркера в данное положение обязательно нужно указать в соседнем поле количество подписей (право единственной подписью; право первой подписью; право второй подписью);
«Расширенные права подписи» – установка расширенных прав подписи, которые необходимы для задания прав подписи в зависимости от параметров документа.
Значение в параметре «Использовать для шифрации/дешифрации, подписи/проверки подписи данных, передаваемых транспортной подсистемой)» определяет использование права подписи и шифрации транспортных пакетов.
Внимание! Для продолжения регистрации настроек криптопрофиля необходимо нажать кнопку «Применить». Это позволит сохранить уже введённые настройки и разрешит произвести дальнейшие действия по регистрации параметров криптопрофиля. Без данного действия добавление сертификатов в криптопрофиль и доступных пользователей системы будет невозможно.
Далее следует произвести регистрацию сертификата сервера СЭД. Для этого на закладке «Сертификаты» следует нажать на клавиатуре «Ins» или кнопку на панели кнопок. Откроется диалог «Сертификат абонента» (см. рисунок 30).
-
30. Окно «Сертификат абонента»
Примечание: Статусы сертификатов рассматриваются в рамках ППО «СЭД».
Для регистрации сертификата нажмите на кнопку «Мастер установки сертификата».
Откроется диалог запроса сертификата абонента, в котором следует указать путь к файлу сертификата абонента регистрируемой подписи.
31. Запрос файла сертификата подписи абонента
При нажатии кнопки «ОK» система запросит путь к файлу сертификата Удостоверяющего центра.
32. Запрос файла сертификата Центра Авторизации
Определив файл сертификата Удостоверяющего центра, кнопкой «ОК» следует завершить процедуру регистрации сертификата абонента подписи АРМ СЭД. В случае корректной установки сертификата выведется сообщение «Параметры нового ключа абонента подписи успешно установлены».
После того как будет произведена настройка криптопрофиля сервера СЭД, необходимо зарегистрировать сертификат абонента подписи. Это необходимо для того, чтобы подписи сервера СЭД идентифицировались (распознавались) на клиенте СЭД.
Регистрация сертификатов абонентов производится автоматически, то есть при регистрации сертификата абонента в системе он автоматически регистрируется у всех собственных сертификатов клиента СЭД. При этом серверные сертификаты подкладываются в каталог, указанный в настройке «Abonents certificates dir=» в параметрах для каждого собственного криптоабонента.
При этом остается доступной стандартная функция ручной регистрации сертификатов в необходимых для этого случаях.
Для ручной регистрации серверного сертификата в системе выберите пункт меню «Администрирование – Криптозащита – Список абонентов ЭЦП».
На экране появится диалоговое окно «Криптографические профили». В списке криптографических профилей выберите профиль клиента СЭД, для которого необходимо зарегистрировать ключи.
Перейдите в правую часть окна с названием данного АРМ и нажмите клавишу  . Откроется форма «Настройка криптографического профиля». На закладке «Сертификаты» необходимо выделить название ключа, активизировать контекстное меню по правой кнопке мыши и выбрать из него пункт «Зарегистрировать сертификат». Система запросит путь до каталога, в который были помещены сертификаты сервера СЭД. Необходимо выбрать нужный сертификат и кнопкой «ОК» закрыть диалог, а при запросе каталога «SAVE» оставить значение по умолчанию, либо прописать директорию, где будут храниться сохранённые сертификаты, после чего завершится процедура регистрации.
Примечание: Данный пункт следует выполнить ПОСЛЕ установки сертификатов сервера, иначе приходящие документы будут иметь статус «ЭЦП не верна+».
6.4.2.Удаленная регистрация серверных сертификатов с сервера
Удаленная регистрация сертификатов сервера используется для автоматической регистрации серверных сертификатов на клиенте СЭД.
Для этого на сервере СЭД формируется удаленный запрос на администрирование, содержащий криптопрофиль и открытые ключи сервера СЭД. Запрос на администрирование доставляется на клиент СЭД и после проверки подписи и реквизитов запускается в обработку.
Примечание: Для того чтобы на клиенте СЭД прошла проверка подписи удаленного запроса на администрирование необходимо иметь хотя бы один зарегистрированный технологический ключ сервера СЭД, входящий в базовую поставку сборки ППО СЭД. Если проверка подписи все же не пройдена, то следует зарегистрировать ключи сервера СЭД вручную.
В результате в списке «Список абонентов ЭЦП» появится новый криптопрофиль абонента – сервер СЭД.
Для работы с полученным запросом следует выбрать пункт меню «Системные – Удаленные запросы на администрирование». На экране появится форма «Удаленные запросы на администрирование».
33. Удаленные запросы на администрирование
Пользователь, принимающий запрос на администрирование, производит проверку подписи сервера. Полученный запрос обрабатывается командой контекстного меню «Запустить в обработку». При этом открывается окно обработки удаленного запроса на регистрацию криптопрофиля сервера СЭД.
34. Обработка удаленного запроса на регистрацию серверного сертификата
В данном окне пользователь клиента СЭД выполняет обработку запроса:
«Исполнить». Пользователь клиента СЭД проверяет содержащийся в запросе сертификат и запускает регистрацию серверного криптопрофиля.
«Отказать». В случае если запрос на администрирование не прошел проверку, его следует отказать с указанием причины отказа, по которой криптопрофиль не был принят пользователем.
«Отложить». Переход на статус «*Отложен» производится в ручном режиме администратором. Статус «*Отложен» присваивается также, если была запущена команда «Запустить в обработку», но в окне «Регистрация серверного сертификата» была нажата кнопка «Закрыть».
При нажатии на кнопку «Просмотр сертификата» открывается окно просмотра данных о сертификате сервера.
После успешной обработки запрос на администрирование принимает статус «*Исполнен+». Регистрация криптопрофиля и сертификатов происходит в автоматическом режиме.
6.4.3.Ручная регистрация серверных сертификатов при смене ключей ЭЦП
При ручной регистрации нового серверного сертификата по окончании срока действия сертификатов сервера следует сделать старый сертификат сервера не активным, и зарегистрировать новый сертификат сервера.
Для этого следует выбрать пункт меню «Администрирование – Криптозащита – Список абонентов ЭЦП». В окне «Криптографические профили» выбрать название серверного криптопрофиля и в правой части окна нажать кнопку . Откроется окно «Настройки криптографического профиля».
35. Окно «Настройки криптографического профиля»
На закладке «Сертификаты» следует выделить курсором старый сертификат сервера и нажать кнопку . В открывшемся окне «Сертификат абонента» следует выбрать статус сертификата – «Не активный» и сохранить изменения нажатием кнопки «ОК».
36. Окно «Сертификат абонента»
Примечание: Статусы сертификатов рассматриваются в рамках ППО «СЭД».
Далее следует выполнить стандартную процедуру ручной регистрации серверного сертификата, как указано в пункте 6.4.1 Ручная регистрация серверных сертификатов.
6.4.4.Удаленная регистрация серверных сертификатов при смене ключей ЭЦП
При окончании срока действия сертификатов сервера СЭД используется также механизм удаленной смены ключей ЭЦП абонента «сервер СЭД». Данный механизм обеспечивает передачу запроса на удаленное администрирование с сервера СЭД и последующую обработку полученного запроса на клиенте.
Запрос на администрирование доставляется на клиент СЭД и после проверки подписи и реквизитов запускается в обработку.
Для работы с полученным запросом следует выбрать пункт меню «Системные – Удаленные запросы на администрирование». На экране появится форма «Удаленные запросы на администрирование».
37. Удаленные запросы на администрирование
Пользователь, принимающий запрос на администрирование, производит проверку подписи сервера. Полученный запрос обрабатывается командой контекстного меню «Запустить в обработку». При этом открывается окно обработки удаленного запроса на регистрацию серверного сертификата.
38. Обработка удаленного запроса на регистрацию серверного сертификата
В данном окне пользователь клиента СЭД выполняет обработку запроса:
«Исполнить». Пользователь клиента СЭД проверяет содержащийся в запросе сертификат и запускает регистрацию серверного криптопрофиля.
«Отказать». В случае если запрос на администрирование не прошел проверку, его следует отказать с указанием причины отказа, по которой криптопрофиль не был принят пользователем.
«Отложить». Переход на статус «*Отложен» производится в ручном режиме администратором. Статус «*Отложен» присваивается также, если была запущена команда «Запустить в обработку», но в окне «Регистрация серверного сертификата» была нажата кнопка «Закрыть».
При нажатии на кнопку «Просмотр сертификата» открывается окно просмотра данных о присланных сертификатах сервера.
Примечание: Запрос на администрирование, как правило, содержит два серверных сертификата, относящихся к криптопрофилю сервера СЭД. Старый сертификат сервера СЭД необходим для проверки подписи документа на клиенте. Новый сертификат сервера СЭД предназначен для смены ключей ЭЦП абонента «сервер СЭД».
В результате в форме «Настройки криптографического профиля» для серверного профиля появится новый сертификат абонента СЭД. На данном этапе оба сертификата сервера СЭД будут находиться в статусе «Активный».
После успешной обработки запрос на администрирование принимает статус «*Исполнен+». Регистрация криптопрофиля и сертификатов происходит в автоматическом режиме.
6.4.5.Удаление серверных сертификатов
Внимание! Удалять клиентские и серверные сертификаты нельзя, иначе документы, которые подписаны закрытым ключом, соответствующим данному сертификату, будет невозможно проверить. Удаление сертификатов производится согласно регламентам уполномоченного удостоверяющего центра.
6.4.6.Работа со списком отозванных сертификатов
Система СЭД поддерживает работу со списками отозванных сертификатов абонентов. Это означает, что сертификаты абонентов, утративших право подписи, проходят проверку на актуальность. Например, списки отозванных сертификатов используются в случае увольнения сотрудника, обладавшего правом подписи электронных документов в системе. Список отозванных сертификатов проверяется:
В момент проверки подписи под поступившим на АРМ СЭД документом.
В момент подписи документа на собственном АРМ.
При этом проверка осуществляется для серверных владельцев криптопрофилей, под которым совершаются криптографические операции на собственном АРМ. Проверка отозванных сертификатов производится по настройке (см. пункт 6.4.6.2).
6.4.6.1.Настройка использования списка отозванных сертификатов
Файл со списком отозванных сертификатов имеет расширение «CRL» и в таком виде распознается и обрабатывается системой СЭД.
Для того чтобы система распознавала отозванные сертификаты абонентов, необходимо выполнить следующие действия:
Выбрать пункт меню «Администрирование – Список абонентов ЭЦП». Откроется форма «Криптографические профили».
Выбрать в списке наименований нужное наименование криптопрофиля, необходимого серверного пользователя, после чего нажать кнопку на панели инструментов. Откроется форма «Настройки криптографического профиля».
На закладке «Сертификаты» следует выбрать курсором запись об идентификаторе и нажать кнопку . Откроется форма «Сертификат абонента».
-
39. Форма «Сертификат абонента»
На рисунке 39 курсором выделена запись о директории размещения CRL файлов, содержащих списки отозванных сертификатов. Все отозванные сертификаты хранятся в общем хранилище в каталоге %BSSRoot%\SUBSYS\Keys\CryptApi\COMMON\CRL.
Примечание: <%BSS Root%> - директория установки СЭД, например С:\sed.
Найти директорию %BSSRoot%\SUBSYS\Keys\CryptApi\COMMON\CRL и положить в нее файл списка отозванных сертификатов .CRL.
Примечание: Отозванные сертификаты .CRL поступают из УУЦ. В СЭД не предусмотрена возможность их автоматической репликации с сервера на клиент.
Перезапустить СЭД.
В результате система будет сверять совпадение подписей получаемых документов со списком отозванных сертификатов, и в случае совпадения такой документ не пройдет проверку ЭЦП. При этом система выдаст информационное сообщение.
6.4.6.2.Настройка проверки отозванных сертификатов
В случае если отозванный сертификат отсутствует в списке отозванных сертификатов файла CRL, либо файл списка отозванных сертификатов просрочен, система не найдет данный отозванный сертификат и будет подписывать документ такой подписью (проверять подпись) с выдачей положительных результатов проверки. Чтобы этого избежать, предусмотрены системные константы (пункт меню «Системные – Параметры – Системные константы»), используемые для настройки проверки файла CRL:
«Проверка наличия CRL файла при подписи (проверке подписи)» – константа отвечает за проверку наличия файла CRL в директории хранения списка отозванных сертификатов, указанной в шаге 4 пункта 6.4.6.1.
40. Константа проверки наличия файла CRL
По умолчанию данная настройка выключена (в положении «Нет»). Для того чтобы настройка была включена, в поле «Администраторское значение» должно стоять положение «Да».
Примечание: На АРМ клиента данные настройки не доступны для редактирования. Настройки системных констант файла CRL передаются на АРМ клиента СЭД при помощи репликаций с сервера СЭД.
При включенной настройке система будет сверять подпись документа со списком файла отозванных сертификатов. В случае если проверяемый сертификат будет значиться в списке, то:
проверка подписи входящего документа даст отрицательный результат, и документ перейдет в статус «ЭЦП не верна».
при попытке подписи таким сертификатом система выдаст информационное сообщение, и документ не будет подписан:
41. Информационное сообщение CRL
«Количество дней просрочки актуального CRL файла» – константа отвечает за настройку срока действия файла CRL в директории хранения списка отозванных сертификатов.
42. Константа актуальности файла CRL
По умолчанию значение данной настройки – 365 дней. По истечении данного срока файл CRL не будет проверяться системой как утративший актуальность, и входящие в него отозванные сертификаты будут использоваться в штатном режиме для подписи и проверки. Значение в поле «Администраторское значение» перекрывает значение поля «Системное значение».
|
