Запросы на создание (переиздание) сертификата

Пользователю предоставляется два способа создания сертификата - это через запрос PKCS#10 с локальной генерацией ключей и CMC/CRMF запрос с генерацией ключей средствами УЦ. Для режима создания сертификата доступны вспомогательные функции:

При создании запроса на АП Администратора можно заранее составить именованный шаблон, содержащий предзаполненные поля цепочки форм мастера запроса. В этом случае, можно указать имя шаблона в специальном поле. Следует заметить, что в режиме переиздания – указание шаблона является недоступным.

Замечание: Для локальной генерации ключей на рабочем месте пользователя в режиме создания нового сертификата следует использовать запрос PKCS#10 с последующим экспортом запроса на допустимый регламентом УЦ транспортный носитель, который в последствии будет доставлен в службу Администраторов взаимодействия с пользователями для формирования сертификата.

Внимание: Если возникла необходимость стереть запрос PKCS#10, на который получен ответ с заверенным сертификатом, то в предложенном вопросе - уничтожить закрытый ключ вместе с запросом - указать "НЕТ". В противном случае будет уничтожен закрытый ключ, а сам сертификат автоматически переместится в базу "Другие пользователи" со всеми вытекающими последствиями.

Замечание: Выбор режима управляющего локальной генерацией ключей доступен только если заполнены поля формы «Настройки», Как показано на рисунке.

Следующей формой в цепочке при создании сертификата, явлеяется форма с детализацией указания:

  1. Доступного криптографического токена, в котором будет производиться генерация ключей. Данная информация будет являться доступной только если на предыдущей форме указан режим локальной генерации ключей.
  2. Требуемый алгоритм. При использовании локального токена – перечень поддерживаемых выбранным токеном алгоритмов. При режиме генерации ключевого материала средствами УЦ – перечень всех доступных алгоритмов.
  3. Параметры для выбранного алгоритма, если выбранный алгоритм допускает выбор параметров.

Для создания ключевого материала средствами УЦ, флаг запрета экспорта будет недоступен для редактирования, в других случаех пользователю предоставляется самостоятельно управлять данной настройкой.

При создании сертификата также, необходимо указать для каких задач будет использован создаваемый сертификат или определить «в ручную» («Произвольный выбор флагов использования») области и порядок применения сертификата, для которых его использование будет считаться действительным.

Назначение сертификата может быть выбрано из фиксированного списка в левой части формы. В специальном окне в правой части формы выводится пояснения для выбираемого назначения сертификата.

Мастер запросов также позволяет создавать сертификаты и с произвольным указанием флагов использования (некоторые позиции могут быть недоступны, что объясняется невозможностью создания сертификата данного назначения для выбранного типа запроса или отсутствием поддержки в конкретной версии программного обеспечения АП). При выборе данной функции становится доступна информация управления как показано на рисунке.

Далее пользователю предлагается заполнить информационную часть сертификата. Средствами данных форм указывается информация (общая и дополнительная) о владельце цифрового сертификата.

Здесь следует остановиться на следующих моментах:

Ввод дополнительной информации о субъекте по интерфейсу аналогичен работе с информацией о политики использования сертификата.

Следует заметить, что форма позволяет ввести любую произвольную текстовую информацию. Данная возможность позволяет очень гибко приспособить информацию в сертификате к особенностям той или иной ИОК системы. Возможность ввода, а технические средства обязаны ее обеспечить, произвольной (не формализованной) информации, достоверность которой может быть подтверждена документально в службах УЦ, однозначно определена в [ФЗ «Об ЭЦП»].

Ввод информация о ящике электронной почты. Рекомендуется указывать информацию о ящике электронной почты в составе расширений.

Однако, в международных рекомендациях также допустим ввод адреса и в области основной информации о субъекте, если адрес является неотъемлемой частью описания субъекта на ровне с его фамилией и это определяется только требованиями конкретной ИОК системы для которой выпускается сертификат. В этом случае, при указании данного флага на основной форме сверху появится соответствующая запись, которую при необходимости можно сбросить. Замечание: сброс данного указания не удаляет информацию о почтовом ящике из расширения сертификата, и соответственно, удаление расширения с указанием почтового ящика не удаляет указание из состава имени, если ранее был указан флаг публикации в составе имени сертификата.

Примером ИОК системы, в которой адрес электронной почты является основной характеристикой субъекта, может выступать защищенный почтовый публичный сервис, в котором аутентификация, бюджет пользователя, включая и его экаунт определяется только адресом электронной почты. Во всех остальных случаях адрес электронной почты следует вводить в описании дополнительной информации о субъекте.

"Дополнительный идентификатор" - цифровое значение, которое получается в режиме ON-LINE от служб УЦ (привязана к настройке для выбранного издателя соответствующей службы УЦ – Настройки -> Управление X.509 сертификатами -> Профили издателей -> Адрес для разрешения конфликта имен). Данный идентификатор позволяет решить конфликт имен (проблема "однофамильцев") ([RFC 3039], 3.1.2), для случая совпадения имени сертификата для нового пользователя и уже присутствующего в Реестре, а именно, новая заявка является последующим сертификатом (что допускает [ФЗ «Об ЭЦП»] Ст. 4 п. 2) одного и того же пользователя или встретилась ситуация с несколькими однофамильцами. Решение этой проблемы продиктовано, во-первых, требованиями достоверности сетевого справочника имен, во-вторых, минимизацией возможности проведения мошеннических действий со стороны владельца сертификата, который "внешне может представиться" другим пользователем. Для случая с «однофамильцами» необходимо на основании первичного документа (паспорт нового образца) и требуемого различимого имени пользователя средствами АП получить / проверить серийный номер имени. Замечание: номер паспорта не передается в УЦ и не хранится в его базах, из совокупности - различимое имя пользователя и номера паспорта формируется свертка, которая впоследствии и участвует в проведении проверок и определении серийного номера имени владельца сертификата.

Если данное поле не было указано, то форма с предложением получить «Дополнительный идентификатор» появится автоматически, но оставляет возможность отказаться от получения идентификатора при дальнейшем движении по цепочке форм.

Следующая форма в цепочке позволяет указать политики использования сертификатов, метки разграничения доступа и специфические расширения для указания в сертификатах издателя.

Политики использования сертификатов указываются из списка допустимых к применению в конкретном домене. Информация об используемых в домене политиках доступна к пополнению и изменению и меню настроек «Управление Х.509 сертификатами – Политики применения».

Следующая форма цепочки позволяет указать период действительности сертификата и парольную фразу, защищающую контейнер с закрытым ключом пользователя. Данная форма доступна (и имеет смысл) только для режима генерации ключевого материала средствами УЦ. Период действительности сертификата для режима локальной генерации ключевого материала через запрос формата PKCS#10 определяется соответствующим указанием в конфигурационном файле УЦ.

Далее, администратору предоставляется возможность ввести дополнительную технологическую информацию, которая не будет включена в состав сертификата при его создании, но будет содержаться в CMC записи, входящей в "историю" данного сертификата. Основное назначение этой формы - ввод атрибутов документов подтверждающих персональную информацию о субъекте или привязки субъекта к формальным требованиям реальной ИОК системы, в которой планируется использовать сертификаты. А также утверждений, на основании которых происходит издание сертификата или изменение статуса сертификата.

Указанная форма не доступна для режима локальной генерации ключевого материала – запрос PKCS#10. В теле комментариев можно использовать предзаполненные шаблоны, например с указанием формализованной информации.

Предзаполненные шаблоны могут быть изготовлены Администратором самостоятельно или распространяться централизовано. Шаблоны – представляют тестовые файлы, где имя файла является именем шаблона, и располагаются файлы – шаблоны в специальной папке «Шаблоны документов», которая размещена в папке с настройками АП.

Далее следует визуализация запроса, его отправка службам УЦ или экспорт на отчуждаемый носитель, и получение ответа из УЦ.


© 2005 LLC Top Cross
All Rights Reserved
info@top-cross.ru