Работа с отозванными сертификатами в системе DIRECTUM | Статья | Сообщество Directum

Работа с отозванными сертификатами в системе DIRECTUM | Статья | Сообщество Directum Сертификаты

Что необходимо приобрести?

Нам потребуется следующее:

  1. Серверная лицензия DIRECTUM Jazz.
  2. Лицензия на право использования СКЗИ “КриптоПро CSP” версии 4.0 на одном рабочем месте.
  3. Лицензия на право использования СКЗИ “КриптоПро CSP” версии 4.0 на сервере, если требуется выдача сертификатов для подписания собственным УЦ. 
    На сервере, где установлен сервер NOMAD, требуется установка КриптоПРО CSP 4.0.

Выдержка из прайс-листа КриптоПРО, может быть неактуальна на момент прочтения статьи. Уточнять на сайте КриптоПРО.

Данный набор лицензий выгоден в том случае, когда пользователей, которые будут подписывать документы электронной подписью, больше десяти человек. В случае когда пользователей меньше, можно заказать выдачу сертификатов у любого поставщика ЭП в вашем регионе,
являющимся партнером компании КриптоПРО.

Directum solo для android

Огромный плюс наших мобильных решений в том, что используется одна точка входа в систему DIRECTUM через сервер NOMAD. Из-за этого мы можем не устанавливать сервер NOMAD снова, когда приобрели очередное мобильное решение, а использовать уже существующий сервер.

Directum solo для windows

Для использовании ЭП в мобильном решении можно использовать библиотеки Microsoft Capicom и КриптоПРО CSP. Если подписание документов вам необходимо в компании только для внутренних бизнес-процессов, то достаточно использовать Microsoft Capicom. Если же вы
собираетесь обмениваться документами с другими организациями в электронном виде, вам необходимо будет приобрести лицензии КриптоПРО.

Так как сценарий покупки и настройки КриптоПРО не отличается от обычной ситуации с подписанием на стационарном компьютере под
управлением ОС Windows, то описывать его не буду. Опишу вариант, когда используем ЭП только внутри компании с помощью Microsoft Capicom.

Безопасность

Настройка защищенного соединения описана в инструкции “DIRECTUM Solo для Windows 2.1. Инструкция по установке и удалению”. Где хранить закрытый ключ от вашего сертификата  – решать вам, можно в реестре на планшете, на внутренней памяти планшета, или на флеш-накопителе.

После установки клиентской части DIRECTUM Solo для Windows зарегистрируйте библиотеку для подписания документов электронной подписью:

  1. Разархивируйте файл SBWebEncryption.cab в папку %LOCALAPPDATA%NPO ComputerSharedComponents. Если папки Components не существует, создайте ее. Файл SBWebEncryption.cab входит в архив DIRECTUMSolo.zip.
  2. Зарегистрируйте полученный файл SBWebEncryption.ocx с помощью утилиты regsvr32. Подробнее см. в Microsoft Developer Network, статья Regsvr32.
  3. Зарегистрируйте библиотеку capicom.dll на сервере с установленной клиентской частью.

Этого будет достаточно для того, чтобы подписывать электронной подписью документы с мобильного приложения DIRECTUM Solo для Windows.

Надеюсь, данная статья поможет вам ответить на ваши вопросы, связанные с электронной подписью в мобильных решениях DIRECTUM.

Генерация пары сертификатов эп на автономном удостоверяющем центре windows server. | статья – directum club

Как узнать, что это Ваш случай?

Если в службах сертификации, например http://localhost/certsrv/ на сервере > Запрос сертификата > Расширенный запрос сертификата Вы видите это:

Работа с отозванными сертификатами в системе DIRECTUM | Статья | Сообщество Directum

Поздравляю! Это Ваш случай. Если пробовали сгенерировать в нем сертификаты ЭП, то понимаете, о чем речь.

Огромное количество материала в интернете рекомендуют переустанавливать УЦ на Enterprise. Служба поддержки ДИРЕКТУМ здесь тоже не помощник, т.к. не профиль. Если Вам вариант переустановки, как и нам, неприемлем, я думаю, что сэкономлю Вам массу времени на поиск того, как же с помощью него получить заветные сертификаты.

Про сертификаты:  ЛГШ-501 - Генератор шума от утечки по каналам ПЭМИН, 0,01-1800 МГц — Лаборатория ППШ. The Business Espionage Counteraction Laboratory

Что потребуется?

1. RequestConfig.inf

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=Иванов Иван Иванович"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.2

2. CreateReqFile.bat

CertReq -New -f  D:RequestConfig.inf D:Request.req 

3. Submit.bat

certreq -submit D:Request.req D:Certificat.cer

4. Accept.bat

certreq.exe -accept Certificat.cer

Как это использовать?

1. Размещаем все файлы в одной директории. Во втором и третьем правим пути до текущей директории.

2. В inf файле правим строку Subject на требуемое ФИО.
Этого достаточно для персонализации сертификатов. Если погуглить, можно в этой строке добавить, например, подразделение, город, …

3. Выполняем CreateReqFile.bat.
В текущей директории появится файл Request.req.

4. Выполняем Submit.bat.
Если появляется диалоговое окно, отвечаем ОК.
В текущей директории появится файл Certificat.cer (сертификат открытого ключа).

5. Выполняем Accept.bat.

6. Открываем утилиту Сертификаты.
а. Переходим в Сертификаты (локальный компьютер) > Личное > Реестр > Сертификаты.
б. Справа находим строку с указанным в inf файле ФИО. Открываем. Откроется окно “Сертификат”.
в. На закладке “Состав” нажимаем кнопку “Копировать в файл…”. Откроется “Мастер экспорт сертификатов”.
г.  Далее. Выбор “Да, экспортировать закрытый ключ”. Далее. Далее. Указываете пароль (любой, потребуется при установке сертификата на компьютере пользователя). Далее. Выбираете куда сохранить и имя файла. Далее. Готово.

Вуаля. У Вас оба сертификата для нового пользователя, и открытый, и закрытый. Дальше Вы уже знаете как их применить.

Можно ли подписывать документы с мобильных устройств?

Можно!На текущий момент возможность подписания доступна в следующих мобильных приложениях DIRECTUM:

  • DIRECTUM Jazz для Android
  • DIRECTUM Solo для Android
  • DIRECTUM Solo для Windows

Ввиду особенностей ОС Android  и мобильных приложений DIRECTUM, подписывать документы на ней сейчас возможно только с использованием криптопровайдера КриптоПРО. В будущих версиях планируется расширить возможности по поддержке разных криптопровайдеров.

Далее будут описаны шаги, по которым необходимо идти до заветной цели – подписывать документы на мобильных устройствах.

Представим, что мы работаем в организации где с системой DIRECTUM работают порядка 300-400 человек. Бизнес-процессы компании уже автоматизированы на 2/3 от общего количества, и для согласования и подписания важных документов используются типовые маршруты
системы DIRECTUM.

Настройка

Когда лицензии все куплены и система DIRECTUM активирована новым ключом, начинаем настройку серверной части.

  • Устанавливаем сервер NOMAD для DIRECTUM в соответствии с документом “Сервер NOMAD 1.9. Инструкция по установке и удалению”.
  • Для выдачи сертификатов пользователям разворачиваем Удостоверяющий центр КриптоПРО на сервере в соответствии с документом “КриптоПро УЦ Руководство по установке”.

Примечание: руководство по настройке УЦ и все консультации по разворачиванию УЦ КриптоПРО необходимо запрашивать у компании КриптоПРО.

Особенности настройки серверной части:

На сервере где установлен сервер NOMAD, необходим пакет КриптоПРО CSP 4.0. При этом документы на данном сервере фактически не будут подписываться, а значит лицензию на рабочее место сюда покупать не нужно, достаточно только установить ПО.

При создании контейнера закрытого ключа необходимо четко следовать следующим действиям:

  1. Запросите ключ у своего УЦ КриптоПРО.
  2. По мере прохождения шагов при запросе ключа вам будет предложено сохранить закрытый ключ в реестр или на носитель. Можно выбрать любой вариант, но более быстрый и безопасный способ – сохранить ключ на носитель. На носителе создастся папка с наименованием
    вида “le-9ea2b.000”, в которой будут 6 необходимых нам файлов. 
    Если вы выбрали вариант “сохранить в реестр”, то смотрите пункт 3.
  3. Откройте программу КриптоПРО CSP и перейдите на вкладку «Сервис».
  4. Нажмите на кнопку “Скопировать…”, в появившемся окне выберите имя ключевого контейнера через “Обзор” или “По сертификату” и нажмите на кнопку Далее.
  5. Введите пароль от контейнера. Приложение предложит сохранить ключ на внешний носитель и установить новый пароль на контейнер.
Про сертификаты:  Облучатель-рециркулятор "Armed" СН-211-115 (металлический корпус) купить в «Мед-Магазин.ру». Сертификаты, доставка, сеть магазинов.

Примечание: есть неочевидная особенность у ПО КриптоПРО и Microsoft Windows, которая заключается в том, что если сохраненный в реестре закрытый ключ экспортировать в формат PFX, дальнейшее использование его на мобильном устройстве будет невозможно. При
попытке добавить его на мобильном устройстве будут возникать ошибки.

Далее экспортируйте открытый ключ и установите его в систему DIRECTUM пользователю, который будет использовать DIRECTUM Jazz.

Далее идём в мобильное приложение и продолжаем настройку в нём:

  1. Выполняем вход в приложение DIRECTUM Jazz и авторизуемся.
  2. Дожидаемся загрузки всех данных пользователя.
  3. Заходим в Настройки>> Сертификаты:
  4. В появившемся окне будут отображены наименования сертификатов пользователя в DIRECTUM. Жмём “Добавить ключ”.
  5. С помощью файлового менеджера ищем папку, в которой лежит наш контейнер закрытого ключа, и выбираем один из 6 файлов (неважно какой).
  6. Вводим пароль. Видим сообщение “Ключ добавлен”.

После всех вышеописанных действий мы сможем подписывать документы в DIRECTUM Jazz.

Проверка работоспособности crl

Итак, наступает ответственный момент, в котором нам необходимо проверить работает ли список отозванных сертификатов в нашем случае. Для этого после установки CRL зайдите в систему DIRECTUM и попытайтесь подписать какой-либо объект системы отозванным сертификатом.
Если все действия были проделаны верно, то мы получим сообщение следующего вида:

А теперь проверим данные в компоненте “Пользователи”, действительно ли ИД сертификата в сообщении равен тому, что указан в карточке пользователя:

Как видно из скриншота, информация совпадает, выполнять подписание указанным сертификатом мы больше не можем. Главное предназначение списка отзыва сертификатов выполняется.

Дополнительную информацию о процедуре формирования CRL, а также необходимых команд, вы можете найти на следующем ресурсе:

Теория. для чего нужен crl

Список отзывов сертификатов (Certificate revocation list) – представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL)
используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы
и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать
в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA
обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Про сертификаты:  Процесс оформления сертификата соответствия Таможенного Союза - EAС

Петя уволился (сам или нет..)1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.3.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL
(если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

Итак, что же нам прежде всего необходимо сделать, чтобы мы могли полноценно использовать CRL в практических целях организации? Во-первых, если ЦС не развернут в вашей организации, то желательно запрашивать раз в неделю (т.к. CRL
во внешних организациях, зачастую формируются именно раз в неделю), и проводить его установку на локальные машины в профиль пользователя.

Ситуация: ЦС был выдан сертификат. В DIRECTUM указанным сертификатом даже было подписано задание, задачи, документы. Выданным сертификатом завладело третье лицо, нам необходимо обеспечить, чтобы в рамках системы DIRECTUM, указанный
сертификат уже не мог использоваться.

В дальнейшем будем иметь дело со следующим сертификатом:

А вот и подписанное задание данным сертификатом.

Установка crl

Установка CRL проводится на каждом локальном профиле. При этом устанавливается указанный список, как обычный сертификат:

Далее знакомый интерфейс по установке сертификатов предложит нам установить сертификат. Особенностей в этом случае нет: выбираем “Автоматический выбор хранилища”. После установки списка отзывов, можно проверять работает ли он,
и можем ли мы подписать, что-либо после указанных операций.

Формирование crl

CRL формируется также на самом ЦС довольно нехитрыми действиями.

1. Зайдите в консоль ЦС. Выбираем раздел “Отозванные сертификаты. Вызовем контекстное меню и выберем пункт “Все задачи” -> “Публикация”.

Выберите тип публикуемого CRL: полный или разностный. Основное отличие это формирование полного списка или за выбранный при настройке период публикации. Если в вашей организации выдачей сертификатов не занимаются каждый день, и
список формируемых сертификатов не велик, то лучше выбрать тип “Полный”. После выполнения указанных действий, получаем список отозванных сертификатов.

Также сформировать список CRL можно и при помощи командной строки вызвав команду certutil -crl.

2. После публикации указанного списка, необходимо его сформировать в файл. Для этого зайдите в веб-форму ЦС. Выберите действие “Загрузка сертификата ЦС, цепочки сертификатов или CRL” -> “Загрузка сертификата ЦС, цепочки сертификатов
или CRL”. Сохраните указанный файл на компьютере.

После проделанных операций мы получаем список отзывов сертификата. Выглядит он следующим образом:

Замечаем, что в указанном списке уже есть наш сертификат, который мы отозвали. Операция формирования CRL завершена, перейдем к следующему пункту

Отзыв сертификата

Итак опишу действия необходимые для отзыва сертификата.

1. Заходим в консоль ЦС. Открываем раздел “Выданные сертификаты”.

2. Вызываем контекстное меню на необходимом нам сертификате, выбираем пункт “Все задачи” -> “Отзыв сертификата”.

3. Проверяем, что сертификат отозван. На рисунке будет также видно, что серийный номер совпадает с тем, что был изначально указан в задаче.

На этом операции по отзыву сертификата окончены. Сейчас переходим к следующему пункту

Оцените статью
Мой сертификат
Добавить комментарий