Инструкция по работе с ключами iKey
advertisement
Инструкция по работе с ключами iKey [ draft for internal use // author: Ilia Zelenkin // 11.01.2005] 2004 © Security & Communications Software Ключи iKey Ключи iKey представляют собой аппаратное средство безопасности (security token). Возможности iKey позволяют использовать их в качестве средства хранения сертификатов и закрытых ключей пользователей, причем для этого отведены специальные хранилища внутри ключа, которые защищены отдельными функциями. Простота и удобство ключей iKey позволяет использовать их с комплексом TransCert без дополнительных изменений в структуре комплекса. В соответствии с документацией по ключам iKey вы должны установить на каждой машине клиентские компоненты для корректной работы с ключами. Таким образом, исходное наше состояние следующее: комплекс TransCert установлен и работает, вы имеете набор ключей для раздачи пользователям и все эти пользователи уже занесены в Базу Данных Центра Регистрации, кроме того, они уже отправили запросы на необходимые сертификаты. Прежде чем приступить к описанию следует ввести следующую терминологию: • • • Сервер ЦС – это компьютер, на котором установлен Центр Сертификации, т.е. Microsoft Certificate Services. Сервер ЦР – это компьютер, на котором установлен Центр Регистрации, т.е. TransCert RA Admin и база данных. Компьютер администратора – это машина, с помощью которой администратор осуществляет работу с TransCert RA admin. Ввиду того, что работа с TransCert RA Admin осуществляется с помощью веб браузера, то при соответствующих настройках доступа администратор может осуществлять работу с комплексом из любого места, и не обязательно с той машины, на которой непосредственно установлен TransCert. Однако не рекомендуется использовать несколько машин для доступа к TransCert, т.е. перед началом работы вы должны решить, с какой машины вы будете работать с TransCert, она и будем именоваться компьютером администратора. И именно на компьютер администратора вы должны установить iKey Token Utility. В соответствии с документации по ключам iKey вы должны установить SO PIN, заменив заводской пароль, и проинициализировать PKI хранилище (PKI storage). Внимание! Во время инициализации хранилища PKI вы должны будете задать пароль сертификатов. Запомните его, так как вам он понадобится при удовлетворении запроса. Удовлетворение запроса при использовании iKey Далее все операции проводятся с компьютера администратора, на котором установлена утилита iKey Token Utility. Итак, 1. Запустите (если у вас не запущен) TransCert RA Admin, введя в строке вашего URL для TransCert. 2. Перейдите на страницу “Запросы”, щелкнув по соответствующей ссылке, и перейдите к новым запросам. 3. Выберите запрос, который вы собираетесь удовлетворить и нажмите по ссылке. В открывшемся окне просмотрите информацию о запросе и пользователя и подготовьте ключ данного пользователя, подключив его в USB порт компьютера. Нажмите Удовлетворить и выберите Вручную. Откроется форма удовлетворения запроса. 4. Среди всех параметров обязательным является выбор CSP: вы должны обязательно выбрать Rainbow iKey 1000 RSA Cryptographic Service Provider. 5. После того, как вы нажмете Отправить запрос, система попросит вас ввести пароль сертификата, который вы установили ранее. Введите пароль самостоятельно или пригласите пользователя, нажмите OK. 6. Если вы ввели пароль правильно, то запрос будет удовлетворен. Теперь в ключ пользователя записан закрытый ключ, и осталось установить сертификат. Вы можете отдать пользователю ключ, и тогда он должен войти в систему TransCert RA Client, скачать свой сертификат в соответствии с документацией, и если вы используете опцию Auto Certificate Registration, то после установки сертификата в локальное хранилище пользователя, сертификат будет загружен в ключ, который должен быть подключен. Описанная здесь процедура является одним из вариантов реализации схемы получения сертификатов. Следовательно, обязательно придерживаться только инструкциям по работе с TransCert RA Admin, в то время, как вы можете, например, просто приглашать пользователя со своим ключом, удовлетворять запрос при нем, чтобы он вводил пароль сертификата, который вы знать не будете. Кроме того, вы можете установить сертификат в ключ на месте администратора, воспользовавшись TransCert RA Client. Теперь по окончании удовлетворения запросов, вы можете раздать ключи пользователям. Имейте ввиду, что каждый раз при использовании сертификата пользователь должен будет вводить пароль сертификата, поэтому очень важно, чтобы этот пароль был максимально защищен. Более подробные сведения о PKI хранилище и работе с ключами iKey вы найдете в соответствующей документации.
