ЗАО "Сигнал-КОМ"

Утвержден

ШКНР.00036-01 34 01-ЛУ

NOTARY-PRO

Удостоверяющий центр

Версия 2.7

Руководство администратора

ШКНР.00036-01 34 01

Москва

2015

Содержание

1. Общие сведения........................................................................................010

1.1. Назначение программы

1.2. Алгоритмы

1.3. Схема работы Администратора УЦ

1.4. Сертификат

1.5. Уникальное имя

1.6. Расширения сертификатов

1.7. Запрос сертификата

1.8. Список отозванных сертификатов

2. Установка и настройка............................................................................015

2.1. Системные требования

2.2. База данных

2.2.1. Microsoft SQL Server

2.2.2. Oracle

2.3. Электронный ключ

2.4. Установка программы

2.5. Удаление программы

2.6. Загрузка программы на выполнение

2.7. Генератор случайных чисел

2.8. Администратор УЦ

2.9. Ключи УЦ. Защита ключей УЦ

2.9.1. Ключевой контейнер

2.9.2. Главный ключ УЦ. Механизм паролевой защиты

2.9.3. Схема разделения секрета

3. Структура программы............................................................................022

3.1. Главное окно

3.1.1. Главное меню

3.1.1.1. Раздел «Формирование документов»

3.1.1.2. Раздел «Просмотр документов»

3.1.1.3. Раздел «Администрирование»

3.1.1.4. Раздел «Вид»

3.1.1.5. Раздел «Справка»

3.1.1.6. Раздел «Запись»

3.1.1.7. Раздел «Окна»

3.1.2. Главная панель

3.1.3. Кнопочная панель

3.1.4. Информационная панель

3.2. Папки документов

3.2.1. Папка «Операторы РЦ»

3.2.2. Абонентские папки

4.3.4.1. Страница «Параметры»

4.3.4.2. Страница «Сертификаты»

4.3.4.3. Страница «Запросы»

4.3.4.4. Страница «Текст»

4.3.4.5. Страница «Заметки»

4.3.5. Формирование сертификата УЦ

4.3.5.1. Страница «Шаблоны»

4.3.5.2. Страница «Параметры сертификата»

4.3.5.3. Страница «Уникальное имя»

4.3.5.4. Страница «Расширения»

4.3.5.5. Страница «Абонент»

4.3.5.6. Страница «Заметки»

4.3.6. Экспорт ключа УЦ

4.3.7. Отзыв ключа УЦ

4.3.8. Восстановление ключа УЦ

4.3.9. Удаление ключа УЦ

4.4. Абоненты

4.4.1. Регистрация абонента

4.4.2. Окно свойств абонента

4.4.2.1. Страница «Параметры»

4.4.2.2. Страница «Список имен»

4.4.2.3. Страница «Сертификаты»

4.4.2.4. Страница «Запросы»

4.4.2.5. Страница «Специальные атрибуты»

4.4.2.6. Страница «Заметки»

4.4.2.7. Страница «Документы»

4.4.3. Удаление записи об абоненте

4.5. Запросы на сертификацию

4.5.1. Регистрация запроса

4.5.2. Окно свойств запроса

4.5.2.1. Страница «Параметры»

4.5.2.2. Страница «Запрашиваемое имя»

4.5.2.3. Страница «Абонент»

4.5.2.4. Страница «Текст»

4.5.2.5. Страница «Заметки»

4.5.2.6. Страница «Документы»

4.5.3. Создание связи «запрос-абонент»

4.5.4. Сертификация запроса

4.5.4.1. Страница «Шаблоны»

4.5.4.2. Страница «Параметры сертификата»

4.5.4.3. Страница «Уникальное имя»

4.5.4.4. Страница «Расширения»

4.5.4.5. Страница «Абонент»

4.5.4.6. Страница «Заметки»

4.5.5. Отказ в сертификации запроса

4.5.6. Экспорт запроса

5. Настройка расширений сертификатов............................................................110

5.1. Настройка списка расширений

5.2. Настройка расширения Basic Constraints (Основные ограничения)

5.3. Настройка расширения Subject Key Identifier (Идентификатор ключа владельца)

5.4. Настройка расширения Authority Key Identifier (Идентификатор ключа УЦ)

5.5. Настройка расширения Key Usage (Назначение ключа)

5.6. Настройка расширения Extended Key Usage (Расширенное использование ключа)

5.7. Настройка расширения Subject Alternative Name (Альтернативное имя владельца)

5.8. Настройка расширения Issuer Alternative Name (Альтернативное имя издателя)

5.9. Настройка расширения Certificate Policies (Сертификационные политики)

5.10. Настройка расширения CRL Distribution Points (Адрес списка отозванных сертификатов)

5.11. Настройка расширений Netscape

6.Взаимодействие с Операторами Регистрационных центров ...............120

6.1.Регистрация имени Оператора

6.2.Назначение Оператору РЦ прав доступа к папкам документов

6.3.Установка свойств Оператора РЦ

6.4.Ограничение количества сертификатов, выпускаемых Операторами РЦ

6.5.Удаление записи об Операторе РЦ

6.6.Группы Операторов РЦ

6.6.1.Формирование группы

6.6.2.Редактирование свойств группы

6.6.3.Удаление группы

7.Взаимодействие с внешними УЦ..............................................................125

7.1.Иерархические отношения

7.1.1.Формирование запроса на сертификацию ключа УЦ

7.1.2.Импорт сертификата УЦ

7.2.Кросс-сертификация

7.2.1.Формирование и экспорт запроса на кросс-сертификат

7.2.2.Импорт запроса и выпуск кросс-сертификата

Приложение 1. Изготовление квалифицированного сертификата.................132

1.Шаблоны администрирования для квалифицированных сертификатов

2.Обработка запроса и выпуск квалифицированного сертификата в ручном режиме

3.Импорт запроса на сертификацию

1. ОБЩИЕ СВЕДЕНИЯ

1.1. Назначение программы

Удостоверяющий центр (УЦ) «Notary-PRO» предназначен для администрирования систем распределения криптографических ключей в соответствии с Рекомендациями ITU-T X.509 [18] и RFC 5280 [25], а также RFC 4491 [24]. С помощью УЦ «Notary-PRO» возможно построение как централизованной, так и распределенной систем администрирования.

УЦ «Notary-PRO» является центральным компонентом программно-аппаратного комплекса (ПАК) УЦ «Notary-PRO» версии 2.7 [5], имеющего сертификат ФСБ России, устанавливающий соответствие ПАК УЦ требованиям ФСБ России к средствам удостоверяющего центра, утвержденным приказом ФСБ России от 27.12.2011г. № 796, требованиям к информационной безопасности удостоверяющих центров, установленным для класса КС2, требованиям к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденным приказом ФСБ России от 27.12.2011г. № 795, и подтверждающий возможность его использования для реализации функций удостоверяющего центра в соответствии с Федеральным законом от 06.04.2011г. № 63-ФЗ «Об электронной подписи».

Настоящая версия УЦ «Notary-PRO» выполнена с использованием средства криптографической защиты информации (СКЗИ) «Крипто-КОМ 3.3» (вариант исполнения 23) [13] (далее – СКЗИ «Крипто-КОМ»), имеющего сертификат соответствия ФСБ России.

Удостоверяющий центр «Notary-PRO» обеспечивает выполнение следующих базовых функций, которые должны поддерживаться в соответствии с положениями Федерального закона от 06.04.2011г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон № 63ФЗ «Об ЭП»):

•генерацию ключей электронной подписи (ЭП) Удостоверяющего центра (далее – ключи УЦ);

•генерацию корневых (самоподписанных) сертификатов ключей проверки ЭП Удостоверяющего центра (далее – сертификаты УЦ);

•регистрацию пользователей УЦ (абонентов) – лиц (заявителей), обратившихся за получением сертификатов ключей проверки электронных подписей;

•прием, регистрацию и верификацию запросов на сертификацию ключей проверки ЭП пользователей;

•ручную и автоматическую обработку запросов на сертификацию;

•изготовление и выдачу сертификатов ключей проверки ЭП пользователей (далее – сертификаты);

•назначение сроков действия сертификатов;

•обеспечение уникальности регистрационной информации пользователя, включаемой в атрибуты сертификата;

•обеспечение уникальности серийных номеров изготавливаемых сертификатов;

и обслуживанию ключей проверки ЭП пользователей УЦ; выполняет регистрацию, формирование сертификатов и назначение полномочий для Операторов Регистрационных центров (РЦ); обеспечивает установку, конфигурацию, бесперебойную эксплуатацию и проведение профилактических работ программных и технических средств УЦ.

Общая схема работы Администратора УЦ выглядит следующим образом:

•Администратор УЦ генерирует ключ УЦ и формирует корневой сертификат УЦ;

•Администратор УЦ регистрирует абонентов (пользователей УЦ);

•пользователи формируют запросы на сертификацию и доставляют их Администратору УЦ заранее оговоренным способом;

•Администратор УЦ на основе запросов пользователей формирует сертификаты;

•Администратор УЦ периодически формирует списки отозванных сертификатов;

•сертификаты пользователей, сертификаты УЦ и списки отозванных сертификатов публикуются Администратором УЦ (рассылаются пользователям либо помещаются в общедоступный справочник).

1.4. Сертификат

Формат сертификатов, выпускаемых УЦ «Notary-PRO», соответствует Рекомендациям ITU-T X.509 [18], RFC 5280 [25], а также RFC 4491 [24].

Удостоверяющий центр формирует сертификат пользователя путем заверения электронной подписью УЦ следующего набора данных:

•серийный номер сертификата;

•идентификатор алгоритма подписи;

•уникальное имя Удостоверяющего центра;

•период годности сертификата;

•уникальное имя пользователя;

•информация о ключе проверки ЭП пользователя;

•расширения (дополнения) сертификата.

Каждый пользователь является владельцем одного или нескольких сертификатов, сформированных Удостоверяющим центром.

Пользователь может владеть сертификатами, полученными из разных Удостоверяющих центров.

1.5. Уникальное имя

Уникальное имя (Distinguished Name в терминологии X.509) представляет собой набор атрибутов, совокупность которых, будучи включенной в сертификат, однозначно идентифицирует пользователя-владельца сертификата.

В Удостоверяющем центре «Notary-PRO» для формирования уникальных имен используется следующий набор атрибутов:

1.6. Расширения сертификатов

Удостоверяющий центр «Notary-PRO» поддерживает следующие расширения (дополнения) сертификатов в соответствии с [2] и [18] (символом «*» помечены расширения, обязательные для включения в квалифицированные сертификаты, изготавливаемые аккредитованным УЦ; подробнее см. п. 3.1, Приложение 1):

•основные ограничения (Basic Constraints);

•идентификатор ключа владельца (Subject Key Identifier);

•идентификатор ключа УЦ (Authority Key Identifier);

•альтернативное имя владельца (Subject Alternative Name);

•альтернативное имя издателя (Issuer Alternative Name);

•назначение ключа (Key Usage);

•расширенное использование ключа (Extended Key Usage);

•сертификационные политики (Certificate Policies);

•адрес списка отозванных сертификатов (CRL Distribution Points);

•расширения Netscape в соответствии с [27];

•наименование средства ЭП владельца квалифицированного сертификата в соответствии с [2] (SubjectSignTool)*;

•средства ЭП и средства аккредитованного УЦ, использованные для создания квалифицированного сертификата, в соответствии с [2] (IssuerSignTool)*.

Если сертификат не включает расширений, то он соответствует Рекомендациям ITU-T X.509 v1 (1988 г.).

Любое расширение может быть помечено как критичное установкой флажка «Расширение критично» на соответствующей странице редактирования свойств расширения (см. п.5).

1.7. Запрос сертификата

Сертификаты формируются Удостоверяющим центром на основе ключей проверки ЭП пользователей. Ключи проверки ЭП доставляются Администратору УЦ в виде запросов сертификатов (или просто запросов).

Запрос сертификата формируется пользователем и представляет собой следующий набор информации:

•запрашиваемое имя;

•информацию о ключе проверки ЭП, включающую идентификатор алгоритма и собственно ключ проверки ЭП;

•расширения (необязательно).

Эта информация подписывается ключом ЭП пользователя. При этом запрос может быть:

•самоподписанным, т.е. подписанным ключом ЭП, парным ключу проверки ЭП, включенному в запрос;

•подписанным любым другим ключом ЭП пользователя (предпочтительно таким, парный ключ проверки ЭП которого был ранее сертифицирован данным Удостоверяющим центром).

персональный компьютер на базе процессора Pentium IV и выше с тактовой частотой 2 Ггц и выше с объемом оперативной памяти от 2 Гб, монитор - SVGA. На компьютере должна быть установлена операционная система MS Windows 2003/2008/7/2008 R2 из перечня, определенного в эксплуатационной документации на СКЗИ «Крипто-КОМ 3.3» (вариант исполнения 23). Минимальный объем свободного дискового пространства - 100 Mб.

При установке системы управления базами данных (СУБД) потребуется наличие дополнительного дискового пространства (см. документацию на СУБД).

2.2. База данных

Настоящая версия Удостоверяющего центра «Notary-PRO» допускает использование в качестве СУБД:

•Microsoft SQL Server 2005 и выше;

•Oracle 8/9/10/11.

Программное обеспечение СУБД должно быть установлено до установки Удостоверяющего центра «Notary-PRO» .

В случае, если ПО СУБД установлено на удаленном компьютере, необходимо обеспечить защиту от несанкционированного доступа к данным и каналу связи.

2.2.1. Microsoft SQL Server

В случае, если Microsoft SQL Server расположен на удаленном компьютере, необходима установка ПО клиента СУБД Microsoft SQL Server.

2.2.2. Oracle

В случае использования в качестве СУБД Oracle, необходимо выполнить следующую последовательность действий:

•средствами СУБД Oracle создать новую базу данных, например, Notary3m. При создании базы данных в качестве параметров Character Set и National Character Set необходимо указать значение CL8MSWIN1251;

•средствами СУБД Oracle для сформированной базы данных зарегистрировать пользователя с ролями AQ_USER_ROLE, CONNECT и RESOURCE и системными привилегиями ALTER TABLESPACE и UNLIMITED TABLESPACE.

В случае, если сервер Oracle расположен на удаленном компьютере, необходимо установить и настроить ПО клиента СУБД Oracle.

2.3. Электронный ключ

Исполняемый модуль программы «Notary-PRO» защищен от несанкционированного использования и копирования электронным ключом Hardlock.

•запрос ключевого носителя СКЗИ «Критпто-КОМ» (см. п. 2.9.1);

•запрос пароля для доступа к файлу Главного ключа (см. п. 2.9.2).

На компьютере может быть загружен только один экземпляр программы «Notary-PRO».

2.7. Генератор случайных чисел

Инициализация генератора случайных чисел (ГСЧ) производится при загрузке приложения «Notary-PRO».

Программа «Notary-PRO» может использовать аппаратные датчики случайных чисел (ДСЧ), входящие в состав следующих устройств, определенных в эксплуатационной документации на СКЗИ «Крипто-КОМ 3.3» :

•СЗИ «Соболь» (версия 3.0), ЗАО НИП «Информзащита»;

•СЗИ «Соболь» (версия 2.1), ЗАО НИП «Информзащита»;

•СЗИ НСД «Аккорд-АМДЗ» версия 3.2, ОКБ САПР;

•АПМДЗ «Криптон-ЗАМОК/К» (изделие М-526А), ООО «АНКАД»;

•АПМДЗ «Криптон-ЗАМОК/У» (изделие М-526Б), ООО «АНКАД».

Для использования перечисленных выше устройств необходимо установить программное обеспечение, поставляемое фирмой-разработчиком устройства.

Инициализация генератора случайных чисел от одного из перечисленных выше аппаратных ДСЧ производится автоматически при загрузке приложения «Notary-PRO».

При отсутствии аппаратного ДСЧ программа использует программный.

Инициализация программного ГСЧ производится от вектора инициализации (вектора состояния ГСЧ), хранящегося в ключевом контейнере формата СКЗИ «Крипто-КОМ» (см. п. 2.9.1).

При создании ключевого контейнера инициализация ГСЧ выполняется от программно-клавиатурной компоненты или манипулятора мыши.

Тип используемого генератора случайных чисел отображается в информационной панели программы «Notary-PRO».

2.8. Администратор УЦ

Администратор Удостоверяющего центра (далее просто Администратор) - пользователь с особыми полномочиями. Он может генерировать ключи ЭП и формировать сертификаты ключей проверки ЭП Удостоверяющего центра, формировать сертификаты пользователей (абонентов), выпускать списки отозванных сертификатов, назначать права Операторам Регистрационных центров и др.

Запись об Администраторе создается при первой загрузке программы; этой записи по умолчанию присваивается регистрационный номер 1.

Эта запись не может быть удалена, однако, атрибуты записи могут быть отредактированы Администратором УЦ.

2.9.2. Главный ключ УЦ. Механизм паролевой защиты

Главный ключ УЦ (далее Главный ключ) используется в качестве дополнительной меры защиты ключей ЭП Удостоверяющего центра, хранящихся в ключевом контейнере формата СКЗИ «Крипто-КОМ 3.3» (см. п. 2.9.1). Главный ключ служит для шифрования ключей ЭП Удостоверяющего центра при их хранении в базе данных УЦ, а также для ограничения доступа к ряду привилегированных операций, выполняемых Администратором УЦ в процессе эксплуатации ПАК УЦ.

Главный ключ зашифрован на пароле, который запрашивается при загрузке программы (см. п. 2.6), смене пароля Главного ключа (см. п. 4.1.7), копировании ключевого носителя СКЗИ (см. п. 4.10.4), резервного копирования Главного ключа (см. п.4.10.5), переходе на схему «с разделением секрета» (см. п. 4.10.6).

Главный ключ формируется при первой загрузке программы и хранится в файле. При формировании Главного ключа Администратору необходимо задать каталог и имя файла для его хранения .

К паролю на Главный ключ предъявляются следующие требования:

•длина пароля должна составлять не менее 8 символов;

•в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

•плановая смена пароля должна проводиться не реже одного раза в 6 месяцев.

В УЦ «Notary-PRO» версии 2.7 реализовано средство контроля предельной даты использования пароля Главного ключа. Дата плановой смены пароля устанавливается в момент смены пароля на основании параметра «Периодичность смены пароля, дней» и отображается в поле «Дата плановой смены пароля» на странице «Главный ключ» окна свойств параметров по умолчанию (см. п. 4.1.7) .

После трёх попыток ввода неверного пароля к Главному ключу доступ к функциям УЦ по умолчанию блокируется на 60 сек. Интервал времени блокировки может быть изменен на странице «Главный ключ» окна свойств параметров по умолчанию, но должен составлять не менее 15 секунд. В случае действия блокировки, при входе в программу Администратор получит предупреждение (см. Рис. 1):

Рис. 1 Предупреждение о блокировке входа в программу

3. Структура программы

3.1. Главное окно

Главное окно программы (см. Рис. 2) содержит:

•главное меню (см. п. 3.1.1);

•главную панель (дерево с папками документов) (см. п. 3.1.2);

•кнопочную панель (см. п. 3.1.3);

•информационную панель (строку состояния) (см. п. 3.1.4);

•окна документов (папки документов) (см. п. 3.2); • панель управления.

Рис. 2 Главное окно

1- Главное меню, 2- Кнопочная панель, 3-Главная панель, 4- Информационная панель, 5- Окно документов, 6- Информационная панель окна документов, 7- Панель управления.

Окно документов содержит записи из таблиц, локальную информационную панель с данными об общем числе записей в окне документов, а также Панель управления, содержащую кнопки для работы с отображаемыми документами.

3.1.1. Главное меню

Главное меню программы содержит следующие разделы:

•«Формирование документов» (см.п. 3.1.1.1);

•«Просмотр документов» (см.п. 3.1.1.2);

-«Копирование ключевого носителя СКЗИ» - обеспечивает резервное копирование ключевого носителя СКЗИ «Крипто-КОМ» (см.п. 4.10.4);

-«Копирование Главного ключа» - обеспечивает резервное копирование главного ключа (см. п. 4.10.5).

-«Переход к схеме разделения секрета…» - обеспечивает переход к схеме разделения ключевого контейнера на несколько частей (см. 4.10.6).

•«Выход» - выход из программы.

3.1.1.2. Раздел «Просмотр документов»

Раздел «Просмотр документов» содержит следующие пункты:

•«Абоненты»:

-«Несертифицированные…» - выводит окно, содержащее список абонентов Удостоверяющего центра, не имеющих ни одного сертификата;

-«Сертифицированные…» - выводит окно, содержащее список абонентов Удостоверяющего центра, имеющих хотя бы один сертификат;

-«Все…» - выводит окно, содержащее список всех абонентов Удостоверяющего центра.

•«Запросы»:

-«Несертифицированные…» - выводит окно, содержащее список несертифицированных запросов;

-«Сертифицированные…» - выводит окно, содержащее список сертифицированных запросов;

-«Все…» - выводит окно, содержащее список всех запросов, зарегистрированных Удостоверяющим центром.

•«Сертификаты»:

-«Действительные…» - выводит окно, содержащее список всех действительных сертификатов;

-«Отозванные…» - выводит окно, содержащее список всех отозванных сертификатов;

-«Просроченные…» - выводит окно, содержащее список всех сертификатов, период действия которых уже истек;

-«Все…» - выводит окно, содержащее список всех сертификатов Удостоверяющего центра.

Примечание: пункты меню «Абоненты», «Запросы» и «Сертификаты» отображают содержимое соответствующих папок системной Общей папки документов (см. п. 3.2.2).

•«Списки отмены»:

-«Действующие…» - выводит окно, содержащее список всех действующих списков отмены, выпущенных Удостоверяющим центром;

-«Все…» - выводит окно, содержащее список всех списков отмены, выпущенных Удостоверяющим центром.

•«Панель управления» - определяет расположение в окне документов Панели управления активного окна; содержит следующие переключатели:

-«Сверху»;

-«Снизу»;

-«Слева»;

-«Справа».

•«Таблица» - предназначен для настройки внешнего вида активного окна документов; содержит следующие подпункты:

-«Вид» - определяет способ отображения документов в активном окне: а) «Значки»; б) «Маленькие значки»; в) «Список»; г) «Развернутый список».

-«Порядок столбцов» - предназначен для настройки порядка отображения полей окна документов (для развернутого списка).

3.1.1.5. Раздел «Справка»

Раздел «Справка» содержит следующие пункты:

•«Содержание» - служит для вызова справочной системы;

•«Указатель» - служит для вызова процедуры поиска справочного материала по ключевым словам;

•«О программе…» - выдает краткую справку о программе и лицензионном соглашении.

3.1.1.6. Раздел «Запись»

Раздел «Запись» содержит следующие пункты:

•«Подробно» - служит для вызова окна свойств документа, выделенного курсором;

•«Сохранить изменения» - сохраняет измененные параметры текущего документа в базе данных;

•«Найти» - вызывает диалог для задания параметров поиска записи в активном окне документов; поиск может осуществляться только по тому атрибуту, по которому в настоящий момент осуществляется сортировка записей активного окна;

•«Фильтр по дате» - вызывает диалог настройки дат, ограничивающих записи в папках «Абоненты», «Запросы», «Сертификаты»; при активном фильтре этот пункт меню помечен;

•«Печать» - вызывает диалог для загрузки текущего документа на печать; параметры печати документов задаются Администратором Удостоверяющего центра в окне «Параметры по умолчанию» (см. п. 4.1);

•«Печать по шаблону» - предназначен для печати текущего документа по заранее подготовленному шаблону (см.п. 4.10.6).

•«Выделить все» - позволяет выделить все записи в открытом на данный момент окне.

•«Роли» - перечень папок, содержащих записи о пользователях, которым Администратор УЦ частично делегировал свои полномочия, доверив выполнение некоторых функций администрирования; каждой папке данной категории соответствует определенный набор административных функций, определяющих роль, назначенную группе пользователей, объединяемых данной папкой; в текущей версии поддерживается только одна ролевая функция:

- «Операторы РЦ» - данная папка содержит записи об Операторах Регистрационных центров (см. п. 6.1).

•«Абонентские папки» - перечень папок, каждая из которых (кроме системной папки «Кросс-сертификация» включает фиксированный набор документов УЦ:

-«Абоненты» (см.п. 3.2.4);

-«Запросы» (см.п. 3.2.5);

-«Сертификаты (см.п. 3.2.6).

При первом запуске программы в перечне абонентских папок содержатся только три системные папки:

-«Общая папка» - в ней отображаются все документы Удостоверяющего центра;

-«Администратор УЦ» - в ней отображаются только документы Администратора Удостоверяющего центра;

-«Кросс-сертификация» - включает фиксированный набор документов, относящихся к процедуре кросс-сертификации (см.п. 7.2):

-«Субъекты кросс-сертификации»;

-«Запросы для кросс-сертификации»;

-«Кросс-сертификаты»; в дальнейшем набор абонентских папок может быть расширен Администратором УЦ (см.п. 3.2.2).

•«Группы» - папка, в которой содержится информация об установленных квотах выпуска сертификатов для различных групп Операторов Регистрационных центров (см.п. 3.3).

•«Списки отозванных сертификатов» - папка содержит перечень всех списков отозванных сертификатов (см. п. 3.4), выпущенных Удостоверяющим центром, а также папку:

- «Действующие» - содержит только списки отозванных сертификатов, период действия которых еще не истек.

•«Ключи УЦ» - папка содержит список ключей Удостоверяющего центра (см. п. 3.5), а также папку:

- «Параметры ключей» (см. п. 3.5.1) - содержит список параметров ключей УЦ; папка «Параметры ключей» содержит следующие папки:

-«Параметры ГОСТ Р 34.10-2001 (SC)» - содержит параметры для ключей ГОСТ Р 34.10-2001, приведенные в п.2.7.2 [33] (NIST secp256r1);

-«Параметры ГОСТ Р 34.10-2001» - содержит параметры для ключей ГОСТ Р 34.10-2001, приведенные в RFC 4357 [23];

•маркер «ДСЧ» с указанием типа используемого в настоящий момент датчика случайных чисел (см. п. 2.7);

•маркер «PSE» с информацией об используемом ключевом носителе СКЗИ «Крипто-КОМ» (см.п. 2.9.1).

Отображение строки состояния может быть отключено из Главного меню (см. п. 3.1.1.4).

3.2. Папки документов

3.2.1. Папка «Операторы РЦ»

В папке «Операторы РЦ» (см. Рис. 4) отображается список уникальных имен Операторов Регистрационных центров.

Панель управления окна «Операторы РЦ» содержит следующий набор кнопок:

•«Подробно…» - вызывает окно с отображением атрибутов Оператора РЦ (см. п.6.2);

•«Новый…» - вызывает окно для регистрации имени Оператора Регистрационного центра (см. п. 6.1);

•«Удалить…» - используется для удаления записи об Операторе РЦ (см. п. 6.5);

•«Доступ к папкам…» - используется для назначения Оператору РЦ прав доступа к документам (см. п. 6.2).

Рис. 4 Папка документов «Операторы РЦ»

Каждая папка, входящая в перечень «Абонентские папки» включает обязательный стандартный набор папок документов:

•«Абоненты» (см.п. 3.2.4);

•«Запросы» (см.п. 3.2.5);

•«Сертификаты» (см.п. 3.2.6).

В Общей папке отображаются все записи соответствующего типа.

Для каждого типа документов Администратор может создавать собственные наборы данных – выборки (см.п. 4.9).

3.2.3. Окно свойств абонентской папки

Вызывается по кнопке «Подробно…» Панели управления; представляет собой многостраничный диалог.

3.2.3.1. Страница «Параметры»

Страница «Параметры» (см. Рис. 6) содержит следующие атрибуты абонентской папки:

Рис. 6 Страница «Параметры» окна свойств папки документов

Рис. 7 Страница «Шаблон имени» окна свойств папки документов

3.2.3.3. Страница «Заметки»

Страница «Заметки» содержит комментарии Администратора.

3.2.4. Папка «Абоненты»

В папке «Абоненты» (см. Рис. 8), входящей в стандартный набор документов любой абонентской папки, отображается список абонентов данной папки (для «Общей папки» список всех абонентов Удостоверяющего центра) .

Панель управления окна «Абоненты» содержит следующий набор кнопок:

•«Подробно…» - открывает окно свойств записи, выделенной курсором (см. п. 4.4.2);

•«Новый…» - вызывает окно регистрации нового абонента (см. п. 4.4.1);

•«Удалить…» - удаляет из базы данных запись об абоненте (см. п. 4.4.3);

•«Экспорт…» - экспортирует все действительные сертификаты абонента, все сертификаты УЦ, необходимые для проверки сертификатов абонента, и все действующие списки отмены (см. п. 4.6.4).

Папка «Абоненты» содержит следующие стандартные разделы:

•«Несертифицированные» - содержит список записей об абонентах, не имеющих ни одного сертификата;

•«Сертифицированные» - содержит список записей об абонентах, имеющих хотя бы один сертификат.

•«Печатать…» - вызывает окно диалога для загрузки на печать текста запроса, выделенного курсором.

Папка «Запросы» содержит следующий обязательный стандартный набор папок:

•«Несертифицированные» - содержит список запросов, для которых еще не выпущен сертификат;

•«Сертифицированные» - содержит список запросов, для которых уже создан сертификат.

3.2.6. Папка «Сертификаты»

В папке «Сертификаты» (см. Рис. 10), входящей в стандартный набор документов любой абонентской папки, отображается список сертификатов, сформированных для абонентов данной папки (для «Общей папки» - список всех сертификатов).

Рис. 10 Папка документов «Сертификаты»

Панель управления окна папки «Сертификаты» содержит следующий набор кнопок:

•«Подробно…» - отображает окно свойств сертификата, выделенного курсором (см. п. 4.6.2);

•«Импорт…» - вызывает окно диалога для выбора имени файла сертификата (см. п. 7.1.2);

•«Экспорт…» - вызывает окно диалога для задания имени файла, в который будет экспортирован сертификат (см. п. 4.6.3); допускается экспорт сразу нескольких сертификатов, помеченных курсором;

•«Отозвать…» - вызывает процедуру отзыва сертификата (см. п. 4.6.5);

•«Восстановить…» - вызывает процедуру восстановления действительного статуса отозванного ранее сертификата (см. п. 4.6.6);

•«Удалить…» - удаляет из базы данных сертификат, выделенный курсором (см. п. 4.6.7);

3.4. Папка «Списки отозванных сертификатов»

В данной папке отображаются списки отозванных сертификатов, сформированные Удостоверяющим центром (см. Рис. 12).

Рис. 12 Папка документов «Списки отозванных сертификатов»

Панель управления окна папки «Списки отозванных сертификатов» содержит следующий набор кнопок:

•«Подробно…» - открывает окно свойств списка отозванных сертификатов, выделенного курсором (см.п. 4.7.2);

•«Новый…» - вызывает процедуру формирования нового списка отозванных сертификатов (см.п. 4.7.1);

•«Экспорт…» - вызывает окно диалога для задания имени файла, в который будет экспортирован список отозванных сертификатов (см.п. 4.7.3);

•«Удалить…» - удаляет из базы данных список отозванных сертификатов, выделенный курсором (см.п. 4.7.4);

•«Печатать…» - вызывает окно диалога для загрузки на печать списка отозванных сертификатов, выделенного курсором.

Папка «Списки отозванных сертификатов» содержит следующий обязательный стандартный набор папок:

•«Действующие» - включает перечень списков отозванных сертификатов, период действия которых еще не истек.

3.5. Папка «Ключи УЦ»

В данной папке отображается список ключей Удостоверяющего центра (см. Рис. 13).

Панель управления окна папки «Ключи УЦ» содержит следующий набор кнопок:

•«Подробно…» - открывает окно свойств ключа УЦ, выделенного курсором (см. п.

4.3.4);

Рис. 14 Папка документов «Параметры ключей»

Панель управления окна папки «Параметры ключей» содержит следующий набор кнопок:

•«Подробно…» - открывает страницы свойств параметров ключей, выделенных курсором (см. п.4.3.2);

•«Создать ключ» - вызывает процедуру создания ключа на основе параметров, выделенных курсором (см. п. 4.3.3);

•«Экспорт…» - вызывает окно диалога для задания имени файла, в который будут экспортированы параметры ключей;

•«Печатать…» - вызывает окно диалога для загрузки на печать параметров ключей, выделенных курсором; данная опция недоступна для параметров ключей ГОСТ Р 34.10-2001, приведенных в RFC 4357 [23], и параметров ключей ГОСТ Р 34.10-2012 [7].

Папка «Параметры ключей» содержит следующие стандартные разделы:

•«Параметры ГОСТ Р 34.10-2001 (SC)» - содержит параметры для ключей ГОСТ Р 34.10-2001, приведенные в п.2.7.2 [33] (NIST secp256r1);

•«Параметры ГОСТ Р 34.10-2001» - содержит параметры для ключей ГОСТ Р 34.102001, приведенные в RFC 4357 [23];

•«ГОСТ Р 34.10-2012» - содержит список зарегистрированных параметров ключей ГОСТ Р 34.10-2012 [7].

3.6. Папка «Шаблоны администрирования»

В данной папке отображается список шаблонов администрирования (см. Рис. 15).

Рис. 16 Папка документов «Транзакции»

4. Действия Администратора

4.1. Установка параметров программы

Окно настроек параметров по умолчанию вызывается из Главного меню, пункт «Администрирование/Установка параметров по умолчанию» и представляет собой многостраничный диалог.

4.1.1. Страница «Отображение данных»

Страница «Отображение данных» (см. Рис. 17) служит для настройки общих параметров отображения окон документов, а также настройки формата даты и времени. Здесь же настраиваются параметры фильтрации документов по дате регистрации.

Для поддерживаемых Удостоверяющим центром алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 Администратором может быть назначен рабочий сертификат. С помощью рабочих сертификатов УЦ формируются сертификаты абонентов, если только в шаблоне администрирования не указан другой сертификат для подписи (cм. п. 4.2.2.1).

Одному из рабочих сертификатов УЦ должен быть присвоен статус «Дежурный». Дежурный сертификат используется по умолчанию для формирования сертификатов абонентов в случае, если для соответствующего алгоритма не определен рабочий сертификат, либо в шаблоне администрирования не указан другой сертификат УЦ.

Смена дежурного и рабочих сертификатов может быть произведена в любой момент времени и фиксируется в журнале событий.

Кроме того, на этой странице можно установить интервал предупреждения об истечении периода действия сертификатов УЦ, а также установить срок хранения сертификатов в базе данных УЦ.

Рис. 18 Страница «Сертификаты» окна свойств параметров по умолчанию

Если в ходе регистрации запроса произошла ошибка, то в качестве текста уведомления будет использовано содержимое файла BodyErrorAddReqMail.txt, а в качестве темы - содержимое файла SubjectErrorAddReqMail.txt.

Перечисленные файлы должны быть расположены в рабочем каталоге Удостоверяющего центра «Notary-PRO».

Удостоверяющий центр поддерживает возможность автоматической отправки абонентам сформированных сертификатов.

Автоматическая отправка сформированного сертификата абонента будет осуществляться только в том случае, если в уникальном имени заполнено поле «Электронная почта».

Вместе с сертификатом абонента отправляется также соответствующая цепочка сертификатов УЦ и все необходимые списки отозванных сертификатов.

Если сертификация запроса прошла успешно, в качестве текста отправляемого сообщения будет использовано содержимое файла BodyCertificationMail.txt, а в качестве темы - содержимое файла SubjectCertificationMail.txt

Если в ходе сертификации запроса произошла ошибка, то в качестве текста уведомления будет использовано содержимое файла BodyErrorCreateCertReqMail.txt, а в качестве темы - содержимое файла SubjectErrorCreateCertReqMail.txt.

Перечисленные файлы должны быть расположены в рабочем каталоге Удостоверяющего центра «Notary-PRO».

4.1.4. Страница «Списки отозванных сертификатов»

Страница «Списки отозванных сертификатов» (см. Рис. 20) служит для:

•установки периода действия списков отозванных сертификатов, используемого по умолчанию;

•задания параметров по организации планового формирования списков отозванных сертификатов в автоматическом режиме.

Рис. 21 Страница «Криптография» окна свойств параметров по умолчанию

4.1.6. Страница «Трассировочный журнал»

Страница «Трассировочный журнал» (см. Рис. 22) служит для установки настроек журнала событий Удостоверяющего центра.

Рис. 22 Страница «Трассировочный журнал» окна свойств параметров по умолчанию

Рис. 24 Страница «Печать» окна свойств параметров по умолчанию

4.1.9. Страница «Источники данных»

Страница «Источники данных» (см. Рис. 25) предназначена для установки таймаута выполнения запросов к базе данных УЦ.

Рис. 25 Страница «Источники данных» окна свойств параметров по умолчанию

Рис. 26 Страница «Тип сертификата» окна свойств параметров по умолчанию

4.2. Шаблоны администрирования

Шаблоны администрирования используются для хранения значений параметров сертификации.

Шаблоны администрирования подразделяются на две категории:

•шаблоны для абонентов (используются при сертификации запросов);

•шаблоны администратора УЦ (используются при сертификации ключей УЦ).

Шаблон администрирования может быть назначен для папки либо индивидуально для абонента.

4.2.1. Создание шаблона администрирования

Для создания нового шаблона администрирования необходимо:

•находясь в папке «Шаблоны администрирования», на Панели управления окна данной папки нажать кнопку «Создать…»;

•в окне диалога ввести имя нового шаблона;

•параметры нового шаблона наследуются из шаблона, который в момент нажатия кнопки «Создать…» был активным;

4.2.2.2. Страница «Расширения»

Страница «Расширения» (см. Рис. 28) содержит список расширений, включаемых по умолчанию в сертификат, создаваемый по данному шаблону.

По кнопке «Добавить» можно добавить расширения, по кнопке «Удалить» - удалить.

Выделив курсором конкретное расширение и нажав кнопку «Подробно…», можно отредактировать свойства расширения.

Рис. 28 Страница «Расширения» окна свойств шаблона администрирования Действия Администратора по настройке расширений подробно описаны в п.5.

4.2.2.3. Страница «Экспорт документов»

Страница «Экспорт документов» (см. Рис. 29) содержит следующие атрибуты:

•«Формат экспорта запросов» - может быть следующим:

-PEM (текстовый);  DER (бинарный).

При выборе формата PEM можно установить флаг включения текстового заголовка.

•«Формат экспорта сертификатов» - может быть следующим:

-PEM (текстовый);

-DER (бинарный);

-PFX (PKCS #12, в соответствии с [26]);

- P7B (PKCS #7, в соответствии с [20]).

4.2.3. Требуемый порядок следования атрибутов задается специализированными мастер-шаблонами, которые не подлежат удалению. Удаление шаблона администрирования

Для удаления шаблона администрирования необходимо, находясь в папке «Шаблоны администрирования», выделить нужный шаблон курсором и на Панели управления окна данной папки нажать кнопку «Удалить…».

Нельзя удалить системный мастер-шаблон и шаблон, на который имеется ссылка в свойствах зарегистрированного абонента или абонентской папки.

4.3. Ключи УЦ

4.3.1. Параметры ключей

Для алгоритма ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 ключи УЦ генерируются на основе долговременных параметров ключей, которые регистрируются в базе данных УЦ. Для каждого из указанных алгоритмов имеется хотя бы по одному набору параметров, используемых по умолчанию.

Параметры алгоритмов ГОСТ Р 34.10-2001[23] и ГОСТ Р 34.10-2012 [7] сведены в отдельные группы (см. п. 3.5.1) .

4.3.2. Окно свойств параметров ключей

Вызывается по кнопке «Подробно…» Панели управления; представляет собой многостраничный диалог.

4.3.2.1. Страница «Главная»

Страница «Главная» (см. Рис. 30) содержит следующие атрибуты параметров ключа:

•«Ид. объекта» - стандартный идентификатор объекта для параметра (OID);

•«Алгоритм» - алгоритм параметров ключа;

•«Длина в битах» - длина параметров ключа;

•«Дата регистрации» - дата регистрации параметров ключа.

Рис. 30 Страница «Главная» окна свойств параметров ключа УЦ

4.3.2.4. Страница «Заметки»

Страница «Заметки» содержит комментарии Администратора.

4.3.3. Генерация ключа УЦ

Для генерации новой пары ключей УЦ необходимо в Главном меню программы выбрать пункт «Формирование документов/Ключи УЦ/Генерация нового ключа» или, находясь в папке «Ключи УЦ», на Панели управления окна данной папки нажать кнопку «Новый» (при этом для алгоритма ГОСТ Р 34.10-2001 будут использованы параметры по умолчанию).

В появившемся окне выбора параметров ключей (см. Рис. 33) Администратор должен выполнить следующие действия:

•выбрать один из поддерживаемых программой двухключевых алгоритмов из выпадающего списка «Алгоритм ключа»:

-ГОСТ Р 34.10-2001 (SC) ;

-ГОСТ Р 34.10-2001;

-ГОСТ Р 34.10-2012

•выбрать параметры ключей из выпадающего списка; выбор производится из списка зарегистрированных параметров (см. п. 4.3.1);

•нажать кнопку «Создать ключ»;

Рис. 33 Диалог выбора параметров новой пары ключей

•дождаться конца процесса генерации (см. Рис. 34); процедура генерации ключа может занять от нескольких секунд до нескольких минут, в зависимости от выбранного алгоритма, длины ключа и быстродействия компьютера; процесс генерации может быть прерван в любой момент нажатием кнопки «Отмена».

Рис. 34 Диалог генерации ключей

4.3.4.2. Страница «Сертификаты»

Страница «Сертификаты» (см. Рис. 36) содержит список сертификатов УЦ, соответствующих данному ключу УЦ.

Рис. 36 Страница «Сертификаты» окна свойств ключа УЦ

При нажатии кнопки «Подробно…» на экран выводится окно свойств выделенного сертификата УЦ (окно свойств ключа остается активным).

При нажатии кнопки «Перейти» выводится окно свойств выделенного сертификата УЦ (окно свойств сертификата становится активным, окно свойств ключа закрывается).

При нажатии кнопки «Отдельное окно» создается новая выборка (см. п. 4.9), содержащая записи, отображаемые в настоящем окне.

4.3.4.3. Страница «Запросы»

Страница «Запросы» (см. Рис. 37) содержит список запросов на сертификацию, сформированных для данного ключа УЦ.

Рис. 37 Страница «Запросы» окна свойств ключа УЦ

4.3.5.4. Страница «Расширения»

На странице «Расширения» (см. Рис. 42) Администратору предоставляется возможность настроить параметры расширений сертификата.

Действия Администратора по настройке расширений подробно описаны в п. 5.

Рис. 42 Страница «Расширения» окна свойств параметров

сертификации ключа УЦ

4.3.5.5. Страница «Абонент»

Страница «Абонент» (см. Рис. 43) содержит данные об Администраторе.

Рис. 43 Страница «Абонент» окна свойств параметров

сертификации ключа УЦ

4.4. Абоненты

4.4.1. Регистрация абонента

Для регистрации нового абонента необходимо:

•в Главном меню программы выбрать пункт «Формирование документов/Регистрация нового абонента»;

•или в абонентских папках Главной панели выбрать папку «Абоненты» и на Панели управления окна данной папки нажать кнопку «Новый» (см. п. 3.2.2).

В появившемся окне регистрации нового абонента (см. Рис. 44) нужно заполнить необходимые поля и нажать кнопку «Сохранить».

Рис. 44 Окно регистрации нового абонента

Единственным обязательным для заполнения полем является поле «Идентификатор»; идентификатор должен быть уникальным.

Остальные поля составляют группу атрибутов, образующих в совокупности имя абонента, уникальное в контексте данного УЦ. Эти атрибуты включаются по умолчанию в сертификаты абонента.

Идентификатор, уникальное имя и другие атрибуты абонента могут быть в дальнейшем изменены Администратором.

4.4.2.1. Страница «Параметры»

Страница «Параметры» (см. Рис. 46) содержит следующие атрибуты абонента:

Рис. 46 Страница «Параметры» окна свойств абонента

•«Идентификатор» - уникальный идентификатор абонента в базе данных Удостоверяющего центра;

•Атрибуты абонента (уникальный набор);

•«Дата регистрации» - дата создания записи.

4.4.2.2. Страница «Список имен»

Страница «Список имен» (см. Рис. 47) содержит список уникальных имен абонента, включенных в сформированные Удостоверяющим центром сертификаты абонента.

Рис. 47 Страница «Список имен» окна свойств абонента

4.4.2.4. Страница «Запросы»

Страница «Запросы» (см. Рис. 50) содержит список запросов данного абонента.

При нажатии кнопки «Подробно…» на экран выводится окно свойств выделенного запроса (окно свойств абонента остается активным).

При нажатии кнопки «Перейти…» выводится окно свойств выделенного запроса (окно свойств запроса становится активным, окно свойств абонента закрывается).

При нажатии кнопки «Отдельное окно» создается новая выборка (см. п. 4.9), содержащая запросы данного абонента.

Рис. 50 Страница «Запросы» окна свойств абонента

4.4.2.5. Страница «Специальные атрибуты»

Страница «Специальные атрибуты» (см. Рис. 51) содержит следующую информацию:

•«Почтовый адрес» - почтовый адрес абонента;

•«Телефоны» - контактные телефоны абонента;

•«Факс» - номер факса абонента;

•кнопки доступа к аварийному паролю абонента:

-кнопка «Проверить» - Администратор может проверить текущий аварийный пароль абонента (например, при передаче пароля абонентом по телефону);

-кнопка «Сменить» - Администратор может сменить текущий аварийный пароль данного абонента;

•«Альтернативное имя» - установив флаг использования альтернативного имени абонента, Администратор может задать атрибуты дополнительного имени по кнопке «Редактировать»; дополнительное имя включается в сертификаты данного абонента в виде расширения Subject Alternative Name (см. п. 5.7); если флаг использования альтернативного имени абонента был установлен, но ни один атрибут дополнительного имени задан не был, то при закрытии окна свойств абонента данный флаг будет сброшен;

4.4.2.7. Страница «Документы»

Страница «Документы» (см. Рис. 52) окна свойств абонента содержит список файловдокументов произвольного формата, хранящихся в базе данных УЦ и имеющих отношение к данному абоненту, в частности, электронная или отсканированная бумажная копия договора о присоединении абонента к регламенту УЦ.

При нажатии кнопки «Добавить…» выводится окно выбора файла, который необходимо сохранить в базе данных УЦ и ассоциировать с данным абонентом.

При нажатии кнопки «Открыть» для просмотра и редактирования будет открыт файл, выделенный курсором из приведенного списка. Приложение, с помощью которого будет открыт файл, выбирается автоматически в соответствии с настройками операционной системы.

При нажатии кнопки «Свойства…» выводится окно свойств выделенного файла.

При нажатии кнопки «Удалить» выделенный файл будет удален из базы данных УЦ.

Рис. 52 Страница «Документы» окна свойств абонента

4.4.3. Удаление записи об абоненте

Для удаления записи об абоненте необходимо:

•в Главной панели перейти в папку «Абоненты»;

•выделить курсором нужного абонента;

•в открывшемся окне «Импорт запросов из файловой системы» (см. Рис. 54) с параметрами импорта запроса заполнить необходимые поля:

Рис. 54 Окно параметров импорта запроса

-указать способ доставки запроса (запросов): персонально или иным способом;

-выбрать абонента, с которым должен быть ассоциирован импортируемый запрос (по кнопке «Подробно»);

-при наличии установленного признака «Доставлены персонально» указать, разрешается ли автоматическая регистрация нового абонента, если атрибуты запрашиваемого уникального имени в запросе не соответствуют атрибутам имени ни одного из зарегистрированных абонентов;

-определить действия над файлом запроса (или группой файлов) после регистрации: переместить в заданный каталог либо удалить;

-указать каталог, в который следует перемещать файлы запросов, при обработке которых произошла ошибка.

Если при импорте запроса не был указан абонент, которому принадлежит запрос, зарегистрированный запрос не может быть сертифицирован до тех пор, пока не будет выполнена процедура установления связи «запрос-абонент» (см. п. 4.5.3).

4.5.2. Окно свойств запроса

Вызывается по кнопке «Подробно…» Панели управления; представляет собой многостраничный диалог.

•«Тип запрашиваемого сертификата» - тип сертификата, переданный в УЦ вместе с запросом в качестве дополнительного признака, определяющего в совокупности с атрибутами запроса выбор профиля (шаблона) сертификации (см. п. 3.2.3.1); данное поле содержит пустое значение либо значение из списка зарегистрированных в УЦ типов сертификатов, например:

-Class 0

-Class 1

-Class 2

Примечание. Тип сертификата может передаваться в УЦ вместе с запросом в качестве дополнительного признака, определяющего в совокупности с атрибутами запроса выбор профиля (шаблона) сертификации. Назначение типов сертификатов и их интерпретация определяется действующей Сертификационной политикой Удостоверяющего центра и устанавливается Администратором УЦ путем редактирования файла crt_cls_lst.ini из каталога запуска программы.

•«Самоподписан» - флаг, сообщающий Администратору о том, что запрос был подписан ключом ЭП, парным ключу проверки ЭП, включенному в запрос;

•«Проверен сертификатом №» - номер сертификата абонента, которым был проверен запрос;

•«Алгоритм ключа проверки ЭП» - алгоритм ключа проверки ЭП, включенного в запрос;

•«Длина ключа» - длина ключа проверки ЭП, включенного в запрос;

•«Номер сертификата» - номер сертификата, сформированного на основе данного запроса;

•«Оператор №» - отображает идентификатор Оператора РЦ, который сертифицировал запрос; если значение отсутствует - запрос сертифицирован Администратором УЦ;

•«Свертка MD5» - значение хэш-функции запроса, вычисленное по алгоритму MD5;

•«Свертка SHA-1» - значение хэш-функции запроса, вычисленное по алгоритму SHA-1;

•«Свертка ГОСТ» - значение хэш-функции запроса, вычисленное по алгоритму ГОСТ Р 34.11-94 [10].

4.5.2.2. Страница «Запрашиваемое имя»

Страница «Запрашиваемое имя» (см. Рис. 56) содержит следующие атрибуты:

•«Идентификатор в запросе» - значение атрибута Unstructured Name (см. [20]);

•Атрибуты запрашиваемого имени (см. п. 1.5);

•«Пароль в запросе» - значение атрибута Challenge Password (см. [20]).

Рис. 57 Страница «Абонент» окна свойств запроса

4.5.2.4. Страница «Текст»

Страница «Текст» (см. Рис. 58) содержит текст запроса.

Рис. 58 Страница «Текст» окна свойств запрос

4.5.3. Создание связи «запрос-абонент»

Любой запрос может быть сертифицирован только после того, как установлена логическая связь «запрос-абонент» (после «привязки» запроса к абоненту).

Связь «запрос-абонент» может быть установлена следующим образом:

•находясь в окне «Запросы» («Запросы/Несертифицированные») абонентской папки, выделить курсором нужный запрос и, нажав кнопку «Подробно…», войти в окно с параметрами запроса;

•в окне с параметрами запроса перейти на страницу «Абонент» и воспользоваться одной из перечисленных ниже кнопок:

-при нажатии кнопки «Выбрать…» Администратору предоставляется возможность привязки запроса к одному из абонентов Удостоверяющего центра (см. Рис. 61);

-при нажатии кнопки «Поиск…» производится автоматический поиск абонента с атрибутами имени, идентичными атрибутам запрашиваемого имени;

-при нажатии кнопки «Создать…» регистрируется новый абонент с атрибутами запрашиваемого имени.

В процессе создания связи «запрос-абонент» программа пытается проверить запрос одним из действующих сертификатов абонента. В случае отрицательного результата выдается предупреждение о том, что запрос будет привязан без проверки.

Связь «запрос-абонент» может быть в дальнейшем (но не после сертификации) удалена нажатием кнопки «Очистить» (см. п.4.5.2.3).

Аналогичные действия по созданию связи «запрос-абонент» могут быть выполнены непосредственно в ходе сертификации запроса (см. п. 4.5.4).

Рис. 61 Окно выбора абонента в создании связи «запрос-абонент»

Для формирования сертификата достаточно нажать кнопку «Создать». Однако, перед этим Администратор может установить значения параметров сертификата, отличные от параметров шаблона.

4.5.4.2. Страница «Параметры сертификата»

На странице «Параметры сертификата» (см. Рис. 63) Администратору предоставляется возможность:

•установить период действия сертификата либо установить даты начала и окончания периода действия сертификата;

•изменить сертификат Удостоверяющего центра, используемый при формировании сертификата.

Рис. 63 Страница «Параметры сертификата» окна с параметрами сертификации запроса

4.5.4.3. Страница «Уникальное имя»

На странице «Уникальное имя» (см. Рис. 64) Администратор может установить атрибуты уникального имени абонента, которое будет включено в новый сертификат.

Переключатель «Имя из запроса» / «Как у абонента» служит для установки атрибутов уникального имени в значения из запроса и из регистрационной записи абонента соответственно. По умолчанию переключатель устанавливается в значение, заданное в шаблоне администрирования (см.п. 4.2.2.1).

4.5.4.5. Страница «Абонент»

Страница «Абонент» (см. Рис. 66) содержит данные об абоненте, которому принадлежит сертификат.

Рис. 66 Страница «Абонент» окна с параметрами сертификации запроса

4.5.4.6. Страница «Заметки»

Страница «Заметки» содержит комментарии Администратора УЦ.

4.5.5. Отказ в сертификации запроса

Если Администратора УЦ по каким-либо причинам отклоняет сертификацию запроса (например, при работе с запросами от Операторов РЦ, для которых не установлен режим автоматической сертификации), то он должен проделать следующие действия:

•в абонентских папках Главной панели выбрать папку «Запросы» (либо «Запросы/Несертифицированные»);

•выделить курсором нужный запрос и нажать кнопку «Отклонить…»;

•в появившемся окне (см. Рис. 67) указать причину, по которой данный запрос не был сертифицирован, и нажать кнопку «ОК».

Рис. 67 Окно ввода причины отклонения запроса

•«Алгоритм открытого ключа» - алгоритм ключа проверки ЭП абонента;

•«Длина ключа» - длина ключа проверки ЭП абонента;

•«Дата публикации» - дата экспорта сертификата (в виде файла и/или на LDAP);

•«Дата отмены» - даты отмены сертификата (если он был отменен).

Рис. 68 Страница «Параметры» окна свойств сертификата

4.6.2.2. Страница «Уникальное имя»

Страница «Уникальное имя» (см. Рис. 69) содержит следующие атрибуты сертификата:

•Атрибуты уникального имени (см. п. 1.5);

•«Абонент №» - регистрационный номер абонента, которому принадлежит сертификат;

•«Запрос №» - регистрационный номер запроса, на основании которого выпущен сертификат.

Рис. 69 Страница «Уникальное имя» окна свойств сертификата

Рис. 71 Страница «Сертификационный путь» окна свойств сертификата

4.6.2.5. Страница «Расширения»

Страница «Расширения» (см. Рис. 72) содержит список расширений, включенных в сертификат.

Рис. 72 Страница «Расширения» окна свойств сертификата

По кнопке «Подробно…» можно посмотреть настройки каждого из расширений.

Действия Администратора по настройке расширений подробно описаны в п.5.

4.6.2.8. Страница «Заметки»

Страница «Заметки» содержит комментарии Администратора.

4.6.2.9. Страница «Документы»

Страница «Документы» содержит список файлов, ассоциируемых с данным сертификатом и хранящихся в базе данных УЦ, в частности, отсканированные бумажные копии сертификатов, заверенные собственноручной подписью абонента и Администратора УЦ.

4.6.3. Экспорт сертификата

Любой сертификат может быть экспортирован из базы данных УЦ в файловую систему. Если сертификат был экспортирован хотя бы один раз, он не может быть удален из базы данных до тех пор, пока не истечет срок его хранения в базе данных. Срок хранения задается на странице «Сертификаты» окна «Параметры по умолчанию» (см. п. 4.1.2).

Для экспорта сертификата необходимо:

•в абонентских папках Главной панели выбрать папку «Сертификаты»;

•выделить курсором нужный сертификат;

•на панели управления окна данной папки нажать кнопку «Экспорт…»;

•при этом выдается запрос имени файла для сохранения сертификата.

Формат экспорта сертификатов задается на странице «Экспорт документов» окна свойств шаблона администрирования (см.п. 4.2.2.3).

4.6.4. Экспорт сертификатов абонента

Для экспорта всех сертификатов абонента необходимо:

•в абонентских папках выбрать папку «Абоненты»;

•выделить курсором нужного абонента;

•на Панели управления нажать кнопку «Экспорт…»;

•при этом выдается запрос имени каталога для сохранения данных.

Наряду с сертификатами абонента производится экспорт всех необходимых сертификатов УЦ, а также экспорт всех действующих на данный момент списков отмены.

4.6.5. Отзыв сертификата

Для отзыва сертификата необходимо:

•в абонентских папках Главной панели выбрать папку «Сертификаты» (либо «Действительные сертификаты»);

•выделить курсором нужный сертификат;

•на Панели управления окна папки нажать кнопку «Отозвать…»;

•в открывшемся окне (см. Рис. 75) указать курсором причину отзыва сертификата и нажать кнопку «Выбрать».

Перечень возможных причин отзыва сертификата в Удостоверяющем центре «NotaryPRO» приводится в следующей таблице:

После отмены сертификата должен быть выпущен новый список отозванных сертификатов (см. п. 4.7.1).

Если отзываемый сертификат является сертификатом УЦ, то при его отзыве могут быть отозваны также все сертификаты абонентов, изготовленные с использованием данного сертификата УЦ.

4.7.1. Формирование списка отозванных сертификатов

Формирование списка отозванных сертификатов может быть:

•плановым, производимым по истечении периода действующего списка;

•экстренным, при отмене сертификата (или нескольких сертификатов).

Для формирования списка отозванных сертификатов необходимо в Главном меню программы выбрать пункт «Формирование документов/Создание нового списка отмены» или, находясь в папке «Списки отозванных сертификатов», на Панели управления окна данной папки нажать кнопку «Новый».

В появившемся многостраничном окне Администратор получает возможность:

•установить период действия списка отмены (см. Рис. 76); период устанавливается в сутках; максимально возможная величина периода определяется числом целых суток и часов до истечения периода сертификата УЦ;

Рис. 76 Диалог формирования нового списка отозванных сертификатов

•пометить сертификат УЦ, которым должен быть подписан новый список отмены; при необходимости указать несколько сертификатов УЦ (см. Рис. 77); в этом случае при нажатии кнопки «Создать» будет сформировано несколько списков отмены, подписанных разными сертификатами УЦ;

•просмотреть список отзываемых сертификатов (см. Рис. 78); кнопка «Подробно» позволяет просмотреть информацию о каждом из отзываемых сертификатов.

Списки отозванных сертификатов должны своевременно публиковаться Администратором УЦ

4.7.2.1. Страница «Параметры»

Страница «Параметры» (см. Рис. 79) содержит следующие атрибуты списка отозванных сертификатов:

•«Период действия» - период действия списка в днях:

•«Начало периода» - дата начала периода действия списка отозванных сертификатов;

•«Конец периода» - дата окончания периода действия списка отозванных сертификатов;

•«Подписан ключом №» - регистрационный номер ключа УЦ, которым был подписан список отозванных сертификатов;

•«Сертификат СА» - регистрационный номер сертификата УЦ;

•«Алгоритм подписи» - алгоритм электронной подписи УЦ;

•«Свертка MD5» - значение хэш-функции MD5;

•«Свертка SHA-1» - значение хэш-функции SHA-1;

•«Свертка ГОСТ» - значение хэш-функции списка отозванных сертификатов, вычисленное по алгоритму ГОСТ Р 34.11-94 [10].

Рис. 79 Страница «Параметры» окна свойств списка

отозванных сертификатов

4.7.2.2. Страница «Сертификаты»

Страница «Сертификаты» (см. Рис. 80) содержит список сертификатов, вошедших в данный список отозванных сертификатов.

При нажатии кнопки «Подробно» на экран выводится окно свойств сертификата, выделенного курсором (текущее окно свойств остается активным).

При нажатии кнопки «Перейти…» выводится окно свойств сертификата, выделенного курсором (текущее окно свойств закрывается).

При нажатии кнопки «Отдельное окно» создается новая выборка (см. п. 4.9), содержащая записи, отображаемые в настоящем окне.

4.7.3. Экспорт списка отозванных сертификатов

Любой список отозванных сертификатов может быть экспортирован из базы данных УЦ в файловую систему. Для экспорта списка отозванных сертификатов необходимо:

•находясь в папке «Списки отозванных сертификатов», выделить курсором нужную запись;

•на Панели управления окна данной папки нажать кнопку «Экспорт…»; • при этом выдается запрос имени файла для сохранения списка отмены.

Если список отозванных сертификатов был экспортирован, он не может быть удален из базы данных до истечения периода его действия.

4.7.4. Удаление списка отозванных сертификатов

Для удаления списка отозванных сертификатов необходимо:

•находясь в папке «Списки отозванных сертификатов», выделить курсором нужную запись;

•на панели управления окна данной папки нажать кнопку «Удалить…».

Нельзя удалить опубликованный (т.е. когда-либо экспортированный) список отозванных сертификатов до истечения периода его действия.

4.8. Автоматическая обработка запросов

4.8.1. Автоматическая обработка запросов из файловой системы

В программе Удостоверяющего центра реализована возможность автоматической обработки запросов, импортируемых из файловой системы. Для настройки режима автоматической обработки Администратору УЦ необходимо:

•выбрать пункт Главного меню «Формирование документов/Запросы/ Автоматическая обработка/Из файловой системы»

•в окне диалога (см. Рис. 82) установить параметры обработки:

-указать каталог, из которого будут импортироваться запросы сертификатов;

-установить флаг регистрации новых абонентов, если при автоматической обработке запросов разрешается регистрировать новых абонентов с атрибутами имени, взятыми из запроса ;

-задать каталог, куда будет экспортирован файл нового сертификата, если при автоматической обработке запросов разрешается автоматическое формирование сертификатов (см. п. 3.2.3.1);

-при необходимости установить флаг экспорта только сертификатов абонентов (без цепочки сертификатов УЦ и списков отозванных сертификатов);

-определить тип действия над файлом запроса после обработки: удалять или перемещать в специально выбранный каталог;

-установить интервал опроса каталога с импортируемыми запросами (в секундах).