Программный комплекс «Litoria Desktop» Руководство администратора Litoria Desktop» Руководство администратора АННОТАЦИЯ В документе приводится руководство администратора программного комплекса «Litoria Desktop» (в дальнейшем – ПК «Litoria Desktop», ПК или комплекс). В разделе «Назначение комплекса» дан краткий обзор основных функций и возможностей комплекса. В разделе «Условия применения комплекса» указаны требования к аппаратным и программным средствам автоматизированного рабочего места (АРМ). В разделе «Настройка комплекса» описаны действия, необходимые для выполнения настройки основных функций комплекса, тиражирования настроек и приведены примеры создания пользовательских профилей настроек. Litoria Desktop» Руководство администратора СОДЕРЖАНИЕ 1. Назначение, функции и состав комплекса...................................................................................................4 1.1. Назначение ...........................................................................................................................................4 1.2. Функции ................................................................................................................................................4 1.2.1. Создание нового запроса на сертификат ..........................................................................5 1.2.2. Создание запроса на основе имеющегося сертификата .................................................5 1.2.3. Установка сертификата на устройство ...............................................................................5 1.2.4. Просмотр сертификатов в контейнерах ............................................................................5 1.2.5. Управление сертификатами ...............................................................................................5 1.2.6. Управление списками отзыва сертификатов ....................................................................6 1.2.7. Просмотр списка криптопровайдеров ..............................................................................6 1.2.8. Удаление контейнера закрытого ключа ............................................................................6 1.2.9. Управление настройками комплекса ................................................................................6 1.2.10. Создание ЭП .........................................................................................................................6 1.2.11. Добавление ЭП ....................................................................................................................6 1.2.12. Заверка ЭП ............................................................................................................................7 1.2.13. Проверка ЭП .........................................................................................................................7 1.2.14. Формирование DVCS-запросов и анализ DVC-квитанций................................................7 1.2.15. Шифрование файла .............................................................................................................7 1.2.16. Расшифровывание файла ...................................................................................................8 1.2.17. Гарантированное удаление файлов ..................................................................................8 1.2.18. Универсальная операция создания ЭП и шифрования файла ........................................8 1.2.19. Универсальная операция расшифровывания файла и проверки ЭП..............................8 2. Условия применения комплекса ..................................................................................................................9 2.1. Требования к программному обеспечению .....................................................................................9 2.2. Требования к техническим средствам...............................................................................................9 2.2.1. Системные требования ОС Windows XP ............................................................................9 2.2.2. Системные требования ОС Windows Vista ........................................................................9 Системные требования ОС Windows 7 ............................................................................10 2.2.3. 2.2.4. Системные требования ОС Windows 8 ............................................................................10 3. Настройка комплекса ..................................................................................................................................11 3.1. Профиль «Администратор» ..............................................................................................................11 3.1.1. Настройки расширений.....................................................................................................11 3.1.2. Настройка криптопровайдера ..........................................................................................13 3.1.3. Сертификат АИБ .................................................................................................................14 3.2. Профиль «default» .............................................................................................................................17 3.2.1. Создание нового профиля настроек ................................................................................18 3.3. Тиражирование настроек .................................................................................................................26 3.4. Примеры создания пользовательских профилей настроек ..........................................................26 Litoria Desktop» 1. Руководство администратора НАЗНАЧЕНИЕ, ФУНКЦИИ И СОСТАВ КОМПЛЕКСА 1.1. НАЗНАЧЕНИЕ Основным назначением ПК «Litoria Desktop» является создание, добавление, заверка и проверка электронной подписи (ЭП), а также шифрование и расшифровывание файлов. В ПК «Litoria Desktop» реализована возможность выполнения одновременных операций создания ЭП и шифрования, расшифровывания и проверки ЭП. Кроме того, продукт позволяет выполнить функции просмотра хранилища сертификатов и списков отзыва сертификатов; создания запроса на выпуск и перевыпуск сертификата; установки сертификата на устройство; установки сертификата из устройства в реестр; просмотра установленных криптопровайдеров и их параметров; формирования DVCS-запросов и анализа DVC-квитанций в соответствии с рекомендациями RFC3029. 1.2. ФУНКЦИИ Для подготовки рабочего места к работе с ЭП ПК «Litoria Desktop» предоставляет возможность выполнить следующие функции: • создание нового запроса на сертификат; • создание запроса на основе имеющегося сертификата; • установка сертификата на устройство; • просмотр сертификатов в контейнерах; • установка сертификата из устройства в хранилище «Личное»; • управление сертификатами: импорт; экспорт; удаление; детальный просмотр; проверка статуса по локальному и/или удаленному СОС и по протоколу OCSP в реальном времени; • управление списками отзыва сертификата: импорт; экспорт; удаление; детальный просмотр; • просмотр списка криптопровайдеров; • удаление контейнера закрытого ключа; • управление настройками комплекса. Для работы с ЭП комплекс обеспечивает выполнение следующих функций: • создание ЭП для файлов произвольного типа; • добавление ЭП для подписанных файлов; • заверка ЭП для подписанных файлов; • проверка ЭП для подписанных файлов с возможностью получения исходного документа; • формирование DVCS-запросов и анализ DVC-квитанций в соответствии с рекомендациями RFC3029; • шифрование файла произвольного типа; • расшифровывание файла; • гарантированное удаление файлов произвольного типа; • универсальные операции: создание ЭП и шифрование файла произвольного типа; расшифровывание файла и проверка ЭП с возможностью получения исходного документа. Litoria Desktop» Руководство администратора 1.2.1. СОЗДАНИЕ НОВОГО ЗАПРОСА НА СЕРТИФИКАТ Для выполнения операций создания/добавления/заверки ЭП необходимо иметь личный цифровой сертификат. Цифровой сертификат содержит идентификационную информацию о пользователе (в том числе его имя), открытый ключ и уникальную цифровую подпись, которая закрепляет сертификат за удостоверяющим центром (УЦ), который его создал. Закрытый ключ, соответствующий открытому ключу сертификата должен находиться в контейнере на отчуждаемом носителе (дискета 3,5", сменный носитель с интерфейсом USB и др.). С помощью ПК «Litoria Desktop» можно создать запрос на новый личный сертификат. Для этого надо указать имя выходного файла, криптосистему, криптопровайдер, имя ключевого контейнера, личную идентификационную информацию пользователя и информацию о создаваемом сертификате, такую как использование ключа и назначение сертификата. При выполнении операции создания запроса осуществляется также создание ключевой пары открытый-закрытый ключ. Созданный запрос отправляется на рассмотрение в УЦ, и на основе него УЦ выпускает личный цифровой сертификат. 1.2.2. СОЗДАНИЕ ЗАПРОСА НА ОСНОВЕ ИМЕЮЩЕГОСЯ СЕРТИФИКАТА ПК «Litoria Desktop» позволяет создать запрос на новый сертификат на основе имеющегося сертификата, у которого истекает или уже истек срок действия. Для создания запроса на сертификат на основе имеющегося необходимо указать имя выходного файла, криптосистему, криптопровайдер, имя ключевого контейнера и выбрать сертификат, на основе которого надо создать запрос на новый сертификат. 1.2.3. УСТАНОВКА СЕРТИФИКАТА НА УСТРОЙСТВО ПК «Litoria Desktop» позволяет выполнить установку сертификата ключа подписи на устройство, которое ранее использовалось для создания запроса и содержит контейнер с парой открытый-закрытый ключ к этому сертификату. 1.2.4. ПРОСМОТР СЕРТИФИКАТОВ В КОНТЕЙНЕРАХ С помощью ПК «Litoria Desktop» можно выполнить просмотр сертификатов, созданных на основе различных криптопровайдеров, во всех имеющихся контейнерах, и установить выбранный сертификат в хранилище «Личное». 1.2.5. УПРАВЛЕНИЕ СЕРТИФИКАТАМИ ПК «Litoria Desktop» позволяет работать с системными хранилищами сертификатов. Существуют возможности импорта, экспорта и удаления сертификатов, а также просмотра хранилища сертификатов. Хранилище сертификатов – это область системы, предназначенная для хранения сертификатов. Импорт – это копирование сертификатов, списков сертификации удостоверяющего центра и списков отзыва сертификатов с локального диска в хранилище сертификатов. Экспорт – это копирование сертификатов, списков сертификации удостоверяющего центра и списков отзыва сертификатов из хранилища сертификатов на локальный диск. С помощью ПК «Litoria Desktop» можно выполнить операции установки корневого сертификата, актуального списка отзыва и сертификатов других пользователей. Также с помощью функции Импорт можно установить личный сертификат из файла, полученного от УЦ в ответ на отправленный запрос, в хранилище сертификатов «Личное». Litoria Desktop» Руководство администратора 1.2.6. УПРАВЛЕНИЕ СПИСКАМИ ОТЗЫВА СЕРТИФИКАТОВ ПК «Litoria Desktop» позволяет работать со списками отзыва сертификатов. Существуют возможности импорта, экспорта, удаления и просмотра списков отзыва. 1.2.7. ПРОСМОТР СПИСКА КРИПТОПРОВАЙДЕРОВ С помощью ПК «Litoria Desktop» можно выполнить просмотр установленных на компьютере криптопровайдеров и информацию о них. 1.2.8. УДАЛЕНИЕ КОНТЕЙНЕРА ЗАКРЫТОГО КЛЮЧА ПК «Litoria Desktop» позволяет удалить контейнер закрытого ключа с ключевого отчуждаемого носителя. 1.2.9. УПРАВЛЕНИЕ НАСТРОЙКАМИ КОМПЛЕКСА ПК «Litoria Desktop» предоставляет возможность создать настройки для всех типовых операций. Для каждой ситуации можно настроить профиль работы программы: установить кодировку выходных файлов операций, указать информацию для подключения к прокси-серверу, установить адрес службы штампов времени, указать имя рабочей директории, выбрать сертификат подписчика, указать параметры создания и проверки ЭП, выбрать сертификаты получателей и другое. Благодаря таким настройкам возможна автоматизация всех операций – выполнение любой операции за один клик мыши. Более подробное описание создания и изменения настроек смотрите в разделе 3 данного документа. 1.2.10. СОЗДАНИЕ ЭП Электронная подпись (ЭП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭП. С помощью ЭП можно идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Для создания ЭП должен быть осуществлен выбор сертификата ключа подписи, криптосистемы (программный или аппаратный криптопровайдер) и параметров создания ЭП. К параметрам создания ЭП относятся: • создание отделенной или совмещенной ЭП; • создание ЭП с вложенным внутренним штампом времени; • создание усовершенствованной ЭП. Процесс создания усовершенствованной ЭП делится на следующие этапы: • создание ЭП; • получение штампа времени на значение ЭП; • сбор доказательств действительности сертификата ключа подписи и присоединение этих доказательств и их хэш-кодов к подписанному документу; • получение штампа времени на сформированные доказательства действительности сертификата ключа. 1.2.11. ДОБАВЛЕНИЕ ЭП В случае, когда в подписании документа участвует несколько лиц, и каждый должен поставить в нем свою подпись (например, в листе согласования), используется операция добавления ЭП. В отличие от операции создания ЭП, добавление ЭП производится в уже подписанный ранее документ. В ПК «Litoria Desktop» существует возможность добавления подписи, созданной на криптографическом алгоритме, отличном от стандартного ГОСТ, например, RSA. Litoria Desktop» Руководство администратора 1.2.12. ЗАВЕРКА ЭП ПК «Litoria Desktop» позволяет формировать заверяющую ЭП. С помощью этого типа подписи можно заверить ЭП другого пользователя, сформировав ЭП на значении ЭП другого пользователя, тем самым косвенно подписывая сами данные. Перед созданием заверяющей подписи производится проверка ЭП, чтобы было достоверно известно, какие подписи уже существуют в документе, и их статус. Дальнейшая операция по заверке подписи аналогична созданию ЭП. Заверка ЭП возможна лишь для подписанных ранее файлов. 1.2.13. ПРОВЕРКА ЭП Проверка ЭП подразумевает подтверждение подлинности электронной подписи в электронном документе, то есть: • принадлежности электронной подписи в электронном документе владельцу сертификата ключа подписи; • отсутствия искажений в подписанном данной электронной подписью электронном документе; • подтверждение момента подписи; • подтверждение действительности сертификата ключа подписи на момент проверки или создания ЭП при наличии в ЭП доказательств, определяющих этот момент. Проверка усовершенствованной ЭП файла с отделенной подписью – проверка корректности самого файла подписи. 1.2.14. ФОРМИРОВАНИЕ DVCS-ЗАПРОСОВ И АНАЛИЗ DVC-КВИТАНЦИЙ ПК «Litoria Desktop» позволяет формировать DVCS-запросы 2-х типов: • подтверждение электронной подписи (ЭП) электронного документа (Validation of Digitally Signed Document – VSD); • подтверждение действительности сертификата ключа подписи (Validation of Public Key Certificates – VPKC). Подписанный указанным личным сертификатом DVCS-запрос отправляется для проверки на сервер службы ДТС. Ответ сервера приходит в виде квитанции. При формировании DVCS-запроса типа VSD можно отправить внутри запроса не документ, а его хэшзначение (применяется, когда недопустима передача содержания конфиденциального документа в канал связи). Комплекс позволяет создать анонимный DVCS-запрос, но в таком случае квитанция не имеет юридического значения. Более подробное описание функций формирования DVCS-запросов и анализа DVC-квитанций смотрите в документе «ПК «Litoria Desktop». Руководство пользователя. ДТС клиент». 1.2.15. ШИФРОВАНИЕ ФАЙЛА Шифрование производится с использованием открытого ключа, содержащегося в сертификате получателя. Закрытый ключ есть только у владельца использованного сертификата открытого ключа. Таким образом, при шифровании файла никто, кроме владельца закрытого ключа, не сможет расшифровать файл. ПК «Litoria Desktop» может производить шифрование файла сразу для нескольких будущих получателей файла, при этом их сертификаты должны быть созданы с помощью криптографического алгоритма, относящегося к стандарту (например, ГОСТ или RSA), единому для всех участников операции. Для Litoria Desktop» Руководство администратора каждого сертификата получателей пользователь может просмотреть статус, чтобы на его основании сделать вывод о пригодности данного сертификата к шифрованию. Возможность гарантированного удаления файла после шифрования позволяет безвозвратно удалить конфиденциальную информацию. Необходимо заметить, что файл подкачки ОС Windows может хранить в себе остатки содержимого файла, но без знания примерного содержимого файла найти их не представляется возможным. 1.2.16. РАСШИФРОВЫВАНИЕ ФАЙЛА При получении зашифрованного документа расшифровывание пройдет успешно при наличии закрытого ключа, связанного с одним из открытых ключей, на которых производилось шифрование файла. Если существует несколько закрытых ключей, которым соответствуют несколько открытых ключей, участвующих при шифровании, то расшифровывание произойдет на первом из закрытых ключей. После расшифровывания можно получить информацию о том, на каком сертификате была произведена операция расшифровывания. 1.2.17. ГАРАНТИРОВАННОЕ УДАЛЕНИЕ ФАЙЛОВ Гарантированное удаление можно выполнить для любого выбранного пользователем файла. Удаление файлов происходит трехкратным затиранием содержимого по специальному алгоритму, исключающему считывание остаточной информации на диске после удаления. 1.2.18. УНИВЕРСАЛЬНАЯ ОПЕРАЦИЯ СОЗДАНИЯ ЭП И ШИФРОВАНИЯ ФАЙЛА Программный комплекс предоставляет возможность одновременного создания ЭП и шифрования. Все действия, выполняемые при этом, аналогичны одиночным операциям создания ЭП и шифрования. С помощью этой функции достигается универсальность в интерфейсе и удобство для пользователя. 1.2.19. УНИВЕРСАЛЬНАЯ ОПЕРАЦИЯ РАСШИФРОВЫВАНИЯ ФАЙЛА И ПРОВЕРКИ ЭП Функциональность проверки идентична отдельным проверкам – вначале выполняется расшифровывание, потом проверка ЭП. После расшифровывания пользователю становится доступна следующая информация: • для расшифровывания – сертификат открытого ключа, на связанном с которым закрытом ключе был расшифрован файл; • для проверки ЭП – все сертификаты подписи, их статусы. Litoria Desktop» 2. Руководство администратора УСЛОВИЯ ПРИМЕНЕНИЯ КОМПЛЕКСА 2.1. ТРЕБОВАНИЯ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ ПК «Litoria Desktop» функционирует под управлением следующих ОС: • Windows XP (32 бит/64 бит); • Windows Server 2003 (32 бит/64 бит); • Windows Server 2008 (32 бит/64 бит); • Windows Vista (32 бит/64 бит); • Windows 7 (32 бит/64 бит); • Windows Server 2008 R2; • Windows 8 (32 бит/64 бит); • Windows Server 2012 (64 бит); • Windows 8.1 (32 бит/64 бит); • Windows Server 2012 R2 (64 бит). Дополнительно должно быть установлено следующее программное обеспечение: 1. Средство криптографической защиты информации, реализованное в соответствии с технологией Microsoft CSP. Например: либо программные СКЗИ – «ViPNet CSP» версии 3.2, «ВАЛИДАТА CSP» версии 4.0, «Крипто-Ком 3.2», «КриптоПро CSP» версий 3.6 и 3.6.1 или ПК «ЛИССИ-CSP»; либо драйвера для аппаратных СКЗИ – «Криптотокен» в составе изделия «eToken ГОСТ» или «РУТОКЕН ЭЦП». 2.2. ТРЕБОВАНИЯ К ТЕХНИЧЕСКИМ СРЕДСТВАМ Требования к рабочей станции, на которую устанавливается «Litoria Desktop», обусловлены применением ОС. 2.2.1. СИСТЕМНЫЕ ТРЕБОВАНИЯ ОС WINDOWS XP Минимальные требования к оборудованию для установки Windows XP: • процессор Pentium с частотой 233 МГц или более быстрый (рекомендуется не менее 300 МГц); • не менее 64 МБ оперативной памяти (рекомендуется не менее 128 МБ); • не менее 1,5 ГБ свободного места на жестком диске; • видеокарта и монитор, поддерживающие режим Super VGA с разрешением не менее чем 800x600 точек. 2.2.2. СИСТЕМНЫЕ ТРЕБОВАНИЯ ОС WINDOWS VISTA Рекомендуемые минимальные требования к оборудованию для использования основных функций Windows Vista Home Basic: • 32-разрядный (x86) или 64-разрядный (x64) процессор с тактовой частотой 800 МГц; • 512 МБ оперативной памяти; • Примечание. В конфигурациях системы, в которых системная память используется в качестве видеопамяти, после выделения памяти для графики для операционной системы должно быть доступно не менее 448 МБ. • графическая плата с поддержкой DirectX 9; • 32 МБ видеопамяти; • жесткий диск объемом 20 ГБ с 15 ГБ свободного места. Рекомендуемые минимальные требования к оборудованию для использования основных функций Windows Vista Home Premium, Windows Vista Business, Windows Vista Enterprise и Windows Vista Ultimate: • 32-разрядный (x86) или 64-разрядный (x64) процессор с тактовой частотой 1 ГГц; Litoria Desktop» • • • • Руководство администратора 1 ГБ оперативной памяти; графическая плата с поддержкой Windows Aero; Примечание. Это видеокарта класса DirectX 9 с поддержкой: драйвера WDDM; пиксельных шейдеров версии 2.0 на уровне оборудования; 32 разряда для одного пикселя. видеопамяти объемом 128 МБ (минимально); жесткий диск объемом 40 ГБ с 15 ГБ свободного места (15 ГБ необходимы для хранения временных файлов во время установки или обновления системы). 2.2.3. СИСТЕМНЫЕ ТРЕБОВАНИЯ ОС WINDOWS 7 Необходимые условия для запуска Windows 7 на компьютере: • 32-разрядный (x86) или 64-разрядный (x64) процессор с тактовой частотой 1 ГГц или выше; • 1 ГБ (для 32-разрядной системы) или 2 ГБ (для 64-разрядной системы) оперативной памяти; • 16 ГБ (для 32-разрядной системы) или 20 ГБ (для 64-разрядной системы) свободного места на жестком диске; • графическое устройство DirectX 9 с драйвером WDDM версии 1.0 или выше. 2.2.4. СИСТЕМНЫЕ ТРЕБОВАНИЯ ОС WINDOWS 8 Необходимые условия для запуска Windows 8 на компьютере: • процессор с тактовой частотой 1 ГГц или выше с поддержкой PAE, NX и SSE2; • 1 ГБ (для 32-разрядной системы) или 2 ГБ (для 64-разрядной системы) оперативной памяти; • 16 ГБ (для 32-разрядной системы) или 20 ГБ (для 64-разрядной системы) свободного места на жестком диске; • графическое устройство Microsoft DirectX 9 с драйвером WDDM. Litoria Desktop» Руководство администратора 3. НАСТРОЙКА КОМПЛЕКСА Настройка ПК «Litoria Desktop» заключается в создании различных профилей работы программы при решении типовых задач деятельности. После установки комплекса во вкладке «Настройки приложения» создаются по умолчанию 2 профиля: «Администратор» и «default». 3.1. ПРОФИЛЬ «АДМИНИСТРАТОР» Настройки профиля «Администратор» включают следующие компоненты: расширения выходных файлов, возможность кэширования контейнера и сертификат администратора информационной безопасности (АИБ). Компоненты профиля «Администратор» можно только изменять, и могут это делать только пользователи, входящие в группу «Администраторы». 3.1.1. НАСТРОЙКИ РАСШИРЕНИЙ В настройках расширений указаны расширения выходных файлов, используемые по умолчанию: • «.p7s» – для функций, связанных с ЭП; • «.p7m» – для функции шифрования. Данные расширения хранятся в ветке реестра: • для 32-битной ОС – HKEY_LOCAL_MACHINE\SOFTWARE\GIS\Litoria Desktop\Extensions; • для 64-битной версии ОС – HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\GIS\Litoria Desktop\Extensions. Для изменения расширений выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения» (Рисунок 3.1). Рисунок 3.1 3. Щелкните по профилю «Администратор» дважды. Litoria Desktop» Руководство администратора 4. Появится дерево настроек выбранного профиля (Рисунок 3.2). Рисунок 3.2 5. В дереве настроек выберите пункт «Настройки расширений» (Рисунок 3.3). Рисунок 3.3 6. Нажмите на кнопку «Изменить…». Откроется окно «Настройки администратора» (Рисунок 3.4). Litoria Desktop» Руководство администратора Рисунок 3.4 7. Для изменения расширения выходных файлов операций, связанных с ЭП, в открывшемся окне (Рисунок 3.4) в области «Параметры ЭП» введите нужное расширение (например, sign) и нажмите на кнопку «Сохранить». 8. Для изменения расширения выходных файлов операции шифрования, в открывшемся окне (Рисунок 3.3) в области «Параметры шифрования» введите нужное расширение (например, pem) и нажмите на кнопку «Сохранить». 9. В окне настроек расширений в областях «Параметры ЭП» и «Параметры шифрования» будут отображены измененные расширения (Рисунок 3.5). Рисунок 3.5 Новые расширения выходных файлов сохраняются для всех пользователей компьютера. 3.1.2. НАСТРОЙКА КРИПТОПРОВАЙДЕРА В настройках криптопровайдера установлен флаг «Кэширование контейнера», означающий включение такого режима работы ПК «Litoria Desktop», при котором увеличивается скорость выполнения основных функций комплекса с большим количеством файлов. Увеличение скорости происходит за счет того, что при первом обращении к контейнеру закрытого ключа и после ввода пользователем Pin-кода к ключевому носителю, содержащему этот контейнер, создается дубликат контейнера, открытый на доступ на протяжении выполнения всей операции, которая требует несколько обращений к контейнеру закрытого ключа. После завершения операции с большим количеством файлов созданный дубликат контейнера удаляется. Litoria Desktop» Руководство администратора Значение настройки криптопровайдера хранится в ветке реестра: • для 32-битной ОС – HKEY_LOCAL_MACHINE\SOFTWARE\GIS\Litoria Desktop; • для 64-битной версии ОС – HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\GIS\Litoria Desktop. 3.1.3. СЕРТИФИКАТ АИБ В настройке «Сертификат АИБ» указывается сертификат, который будет всегда добавляться в список получателей операции шифрования; при выполнении операции шифрования сертификат АИБ не будет отображаться в списке получателей. Если получатель потеряет ключевой носитель с закрытым ключом, то файл сможет расшифровать владелец сертификата, указанного в данной настройке. Для установки сертификата АИБ выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения» (Рисунок 3.6). Рисунок 3.6 3. Щелкните по профилю «Администратор» дважды. 4. Появится дерево настроек выбранного профиля (Рисунок 3.7). Litoria Desktop» Руководство администратора Рисунок 3.7 5. В дереве настроек выберите пункт «Сертификат АИБ» (Рисунок 3.8). Рисунок 3.8 6. Нажмите на кнопку «Изменить…». Litoria Desktop» Руководство администратора 7. В открывшемся окне «Настройки администратора» (Рисунок 3.9) выберите пункт «Сертификат АИБ». Рисунок 3.9 8. В открывшемся окне настройки сертификата АИБ нажмите на кнопку «Выбрать сертификат…». 9. Появится окно «Выбор сертификата» (Рисунок 3.10). Рисунок 3.10 10. Укажите файл сертификата и нажмите на кнопку «Открыть». 11. В окне настроек в области «Сертификат АИБ» будет отображено общее имя выбранного сертификата (Рисунок 3.11). Litoria Desktop» Руководство администратора Рисунок 3.11 12. Нажмите на кнопку «Сохранить». 13. В окне настроек сертификата АИБ в области «Сертификат АИБ» отобразится информация о выбранном сертификате (Рисунок 3.12). Рисунок 3.12 Установленный сертификат АИБ сохранится для всех пользователей компьютера, и будет участвовать во всех операциях шифрования, выполненных любым пользователем данного компьютера. 3.2. ПРОФИЛЬ «DEFAULT» Настройки профиля «default» включают такие компоненты, как: кодировка выходных файлов операций, подключение к прокси-серверу, адрес службы штампов времени, имя рабочей директории, сертификат Litoria Desktop» Руководство администратора подписчика, параметры подписи и проверки подписи, сертификаты получателей, выбор криптосистемы при шифровании и включение гарантированного удаления, используемая криптосистема и библиотеки PKCS#11, адрес используемого клиента ДТС и формат совместимости УЭП. Для каждого пользователя настройки профиля «default» уникальны, и изменения в них не отображаются у других пользователей. Профили настроек с компонентами профиля «default» можно создавать, переименовывать и удалять. Новые созданные профили также являются уникальными для каждого пользователя. 3.2.1. СОЗДАНИЕ НОВОГО ПРОФИЛЯ НАСТРОЕК 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения» (Рисунок 3.13). Рисунок 3.13 3. Для создания нового профиля нажмите на кнопку «Добавить». 4. Появится окно создания нового профиля (Рисунок 3.14). Рисунок 3.14 5. Введите имя для нового профиля и нажмите на кнопку «Ок». 6. В дереве профилей появится новый профиль с указанным именем (Рисунок 3.15). Litoria Desktop» Руководство администратора Рисунок 3.15 7. Щелкните дважды по профилю «new». 8. Появится дерево настроек выбранного профиля (Рисунок 3.16). Рисунок 3.16 9. Для изменения кодировки выходных файлов основных операций выберите пункт «Настройки основных операций» (Рисунок 3.17). По умолчанию используется DER-кодировка. Для изменения на BASE64-кодировку откройте список кодировок соответствующей операции, выберите «BASE64» и нажмите на кнопку «Сохранить». Litoria Desktop» Руководство администратора Рисунок 3.17 10. Для настройки аутентификации на прокси-сервере выберите пункт «Настройки сети». В появившемся окне настройки (Рисунок 3.18) установите галочку напротив пункта «Использовать системную прокси-аутентификацию», укажите в соответствующих полях имя пользователя и пароль. В полях «Прокси:» и «Порт:» отображаются значения, ранее указанные в настройках сети интернет-браузера. Отсутствие значений в полях «Прокси:» и «Порт:» в настройках сети комплекса означает, что на рабочей станции для подключения к прокси-серверу используется автоматическая настройка и ПК «Litoria Desktop» не сможет выполнить подключение к прокси-серверу. Чтобы комплекс мог выполнить подключение к прокси-серверу и использовать системную прокси-аутентификацию, следует изменить настройки сети интернет-браузера, если это, конечно возможно. В настройках сети браузера следует установить флаг «Использовать прокси-сервер для локальных подключений (…)» и указать адрес и порт прокси-сервера. Для сохранения настроек нажмите на кнопку «Сохранить». Litoria Desktop» Руководство администратора Рисунок 3.18 11. Для указания используемого адреса службы штампов времени выберите пункт «Настройки штампов времени» (Рисунок 3.19). В области «Параметры по умолчанию» указан адрес http://tsp.gaz-is.ru/tsp/tsp.srf. Для изменения введите другой адрес, который будете использовать по умолчанию, и нажмите на кнопку «Сохранить». Рисунок 3.19 При необходимости использовать разные адреса службы штампов времени для сертификатов, выпущенных различными УЦ, в области «Адреса служб TSP» в поле «Личные сертификаты» выделите сертификат, а в поле «Адрес службы TSP» напишите адрес службы штампов времени. Указанный адрес будет использоваться для всех сертификатов, изданных УЦ, которым был выпущен выбранный сертификат. Litoria Desktop» Руководство администратора Для сохранения настроек нажмите на кнопку «Сохранить». Примечание. После сохранения настроек для вновь устанавливаемых сертификатов необходимо указывать адрес используемой службы штампов времени заново. 12. Для указания рабочей директории, в которую будут записываться выходные файлы всех основных операций, выберите пункт «Настройки директорий» (Рисунок 3.20). По умолчанию в качестве рабочей директории используется текущая – та директория, в которой расположен исходный файл. Для указания другой директории снимите галочку с пункта «Использовать текущую директорию» и нажмите на кнопку «Обзор». Рисунок 3.20 13. В появившемся окне укажите нужную директорию и нажмите на кнопку «Выбрать». 14. В окне комплекса нажмите на кнопку «Сохранить». 15. Для хранения временных файлов ПК «Litoria Desktop» по умолчанию используется системная директория, и в настройках установлен флаг «Использовать текущую директорию». Для указания использования текущей директории для хранения временных файлов установите переключатель «Использовать текущую директорию». Для указания использования директории отличной от системной и текущей установите переключатель «Использовать указанную директорию». Затем нажмите на кнопку «Обзор» и в открывшемся окне укажите необходимую директорию. Для сохранения указанных настроек нажмите на кнопку «Сохранить». 16. Для создания настроек для работы с ЭП выберите пункт «Настройки ЭП» (Рисунок 3.21). Litoria Desktop» Руководство администратора Рисунок 3.21 17. Нажмите на кнопку «Выбор сертификата». В появившемся окне выберите свой личный сертификат и нажмите на кнопку «Выбрать». 18. При необходимости укажите параметры подписи (тип создаваемой подписи и комментарий к подписи) и проверки подписи, затем нажмите на кнопку «Сохранить». 19. Для создания настроек операции шифрования выберите пункт «Настройки шифрования» (Рисунок 3.22) Рисунок 3.22 Litoria Desktop» Руководство администратора 20. Нажмите на кнопку «Из файла» или «Добавить» для добавления в список сертификатов получателей в виде файла или из хранилища сертификатов «Другие пользователи» соответственно. 21. Для выбора криптосистемы, которая будет использоваться при шифровании, установите соответствующий флаг в разделе «Настройки шифрования». 22. При необходимости гарантированно удалять файлы после завершения операции шифрования установите галочку напротив соответствующего пункта и нажмите на кнопку «Сохранить». 23. Для указания вида криптосистемы (CryptoApi или PKCS#11), используемой при работе с ЭП, выберите пункт «Настройки криптосистемы» (Рисунок 3.23). Рисунок 3.23 23. По умолчанию указано использование программных криптопровайдеров – криптосистемы «CryptoApi». Для указания использования аппаратных криптопровайдеров установите флаг «PKCS#11». Для добавления в список библиотеки, реализующей взаимодействие с необходимым аппаратным криптопровайдером, в поле «Библиотеки PKCS#11» нажмите на кнопку «Добавить». В открывшемся окне выберите расположение необходимой библиотеки, как правило, она устанавливается при установке драйверов к устройству, и расположена, например, по следующему пути: C:\windows\system32\pkcs11.dll. Если одновременно используется несколько типов аппаратных криптопровайдеров и указано несколько библиотек, то в поле «Библиотеки PKCS#11» укажите библиотеку, используемую в данный момент работы, и назначьте ее используемой по умолчанию – выделите эту библиотеку и нажмите на кнопку «Сделать по умолчанию». Для сохранения указанных настроек нажмите на кнопку «Сохранить». 24. Для указания используемого адреса клиента ДТС выберите пункт «Настройки клиента ДТС» (Рисунок 3.24). Справа указан адрес ДТС сервера - http://www.rusttp.ru/dvc/dvc.srf. Для изменения введите другой адрес, который будет использоваться по умолчанию, и нажмите на кнопку «Сохранить». Litoria Desktop» Руководство администратора Рисунок 3.24 25. Для выбора параметров совместимости УЭП выберите пункт «Настройки совместимости УЭП» (Рисунок 3.25). Рисунок 3.25 По умолчанию указано создание УЭП формата версии 2.0. Для создания УЭП, совместимой с версией 1.3, установите флаг «Создание УЭП формата совместимой с версией 1.3». Litoria Desktop» 3.3. Руководство администратора ТИРАЖИРОВАНИЕ НАСТРОЕК Для установки одинаковых настроек всем пользователям компьютера или сети выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения». 3. Измените настройки профиля «default» или создайте новый профиль в соответствии с нужными вам настройками. 4. Перейдите в каталог C:\Users\«имя пользователя, создающего настройки»\AppData\Roaming\GIS, содержащий файл настроек «Litoria Desktop.ini». 5. Скопируйте с заменой созданный файл настроек в каталог настроек комплекса другого пользователя. Например: C:\Users\simple\AppData\Roaming\GIS. 6. В результате у пользователя будут по умолчанию стоять настройки, созданные в п.3. Вы можете изменять файл настроек с расширением «.ini» в любом текстовом редакторе, но будьте осторожны с указанием значений параметров. Если в значении параметра имеются знаки препинания и пробелы, то тогда их нужно указывать в кавычках. 3.4. ПРИМЕРЫ СОЗДАНИЯ ПОЛЬЗОВАТЕЛЬСКИХ ПРОФИЛЕЙ НАСТРОЕК Пример 1: Создаем профиль настроек для пользователя Иванова Ивана Ивановича, который будет работать с совмещенной обычной ЭП, а для передачи конфиденциальной информации будет шифровать файлы для других известных пользователей, список которых не меняется. Перед выполнением настроек выполните следующие операции: 1. Установите на своем компьютере сертификат Иванова Ивана Ивановича в хранилище сертификатов «Личное». 2. Сохраните на локальном диске файлы сертификатов пользователей, для которых Иванов Иван Иванович будет зашифровывать файлы. Для создания профиля с настройками для пользователя Иванова Ивана Ивановича выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения». 3. Для создания нового профиля нажмите на кнопку «Добавить». 4. В появившемся окне «Создание нового профиля» введите имя нового профиля, например: Иванов_ИИ. 5. В дереве созданного профиля выберите пункт «Настройки ЭП». 6. Для указания сертификата пользователя, которым он будет подписывать файлы, нажмите на кнопку «Выбор сертификата» в появившемся окне с параметрами настройки. 7. В появившемся окне «Список сертификатов» выберите сертификат Иванова Ивана Ивановича и нажмите на кнопку «Выбрать». После чего закроется окно «Список сертификатов» и осуществится возврат к окну параметров настроек. 8. Для сохранения изменения параметра «Сертификат подписчика» нажмите на кнопку «Сохранить». 9. Для настройки списка получателей при операции шифрования выберите пункт «Настройки шифрования» в дереве профиля «Иванов_ИИ». Litoria Desktop» Руководство администратора 10. Нажмите на кнопку «Из файла». 11. В появившемся окне укажите файл сертификата пользователя, которого вы хотите добавить в список получателей от пользователя Иванова Ивана Ивановича, и нажмите на кнопку «Открыть». 12. Появится окно «Список сертификатов», в котором будет отображена информация о выбранном из файла сертификате. В этом окне можно выполнить проверку статуса сертификата. 13. Убедитесь, что выбран нужный сертификат, и нажмите на кнопку «Выбрать». Если же вы ошиблись и выбрали не тот файл сертификата, нажмите на кнопку «Закрыть» в окне «Список сертификатов» и тогда указанный сертификат не добавится в список получателей. 14. Для добавления в список еще нескольких получателей выполните шаги 10-13. 15. Для сохранения изменения параметра «Сертификаты получателей» нажмите на кнопку «Сохранить». 16. Для указания того, что созданный профиль «Иванов_ИИ» должен применяться по умолчанию, выделите название этого профиля в дереве профилей и нажмите на кнопку «Выбрать». Пример 2: Создаем профиль настроек для пользователя Федорова Алексея Ивановича, который будет работать с совмещенной усовершенствованной ЭП, при этом только для операций с ЭП будет применять формат кодировки выходных файлов BASE64. Перед выполнением настроек установите на своем компьютере сертификат Федорова Алексея Ивановича в хранилище сертификатов «Личное». Для создания профиля с настройками для пользователя Федорова Алексея Ивановича выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения». 3. Для создания нового профиля нажмите на кнопку «Добавить». 4. В появившемся окне «Создание нового профиля» введите имя нового профиля, например: Федоров_АИ. 5. В дереве созданного профиля выберите пункт «Настройки основных операций». 6. Для изменения кодировки выходных файлов только для операций с ЭП в области «Параметры ЭП» окна параметров настройки основных операций установите кодировку BASE64. 7. Для сохранения изменения кодировки выходных файлов для операций с ЭП нажмите на кнопку «Сохранить». 8. Для установки параметров, всегда использующихся пользователем при работе с ЭП, выберите пункт «Настройки ЭП» в дереве профиля «Федоров_АИ». 9. Для указания сертификата пользователя, которым он будет подписывать файлы, нажмите на кнопку «Выбор сертификата» в появившемся окне с параметрами настройки. 10. В появившемся окне «Список сертификатов» выберите сертификат Федорова Алексея Ивановича и нажмите на кнопку «Выбрать». После чего закроется окно «Список сертификатов» и осуществится возврат к окну параметров настроек. 11. Для указания того, что всегда будет использоваться усовершенствованная ЭП, установите галочку напротив пункта «Создать усовершенствованную подпись». Litoria Desktop» Руководство администратора 12. Для сохранения изменения параметров настроек ЭП нажмите на кнопку «Сохранить». 13. Для настройки работы со службой штампов времени, необходимой при работе с усовершенствованной ЭП, выберите пункт «Настройки штампов времени» в дереве профиля «Федоров_АИ». 14. В появившемся окне параметров настройки убедитесь, что в поле «Адрес службы TSP по умолчанию» указан правильный и подходящий для сертификата пользователя адрес службы штампов времени. 15. Существуют 2 способа изменения адреса службы: - изменение адреса службы TSP по умолчанию; и тогда он будет применяться для всех операций со всеми сертификатами; - указание адреса службы TSP для каждого конкретного ранее установленного в хранилище «Личное» сертификата. Далее расписан по шагам 2-ой способ. 16. Для указания адреса службы TSP для сертификата Федорова Алексея Ивановича выделите этот сертификат в таблице «Личные сертификаты» в окне параметров настройки штампов времени и введите нужный адрес в поле «Адрес службы TSP», расположенной под таблицей «Личные сертификаты». 17. Для сохранения изменений параметров настройки штампов времени нажмите на кнопку «Сохранить». 18. Для указания того, что созданный профиль «Федоров_АИ» должен применяться по умолчанию, выделите название этого профиля в дереве профилей и нажмите на кнопку «Выбрать». Пример 3: Создаем профиль настроек для пользователя Сидорова Артема Сергеевича, который будет работать с отделенной обычной ЭП, при этом для всех операций комплекса будет применять формат кодировки выходных файлов BASE64 и будет работать в директории, отличной от текущей. Перед выполнением настроек установите на своем компьютере сертификат Сидорова Артема Сергеевича в хранилище сертификатов «Личное». Для создания профиля с настройками для пользователя Сидорова Артема Сергеевича выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения». 3. Для создания нового профиля нажмите на кнопку «Добавить». 4. В появившемся окне «Создание нового профиля» введите имя нового профиля, например: Сидоров_АС. 5. В дереве созданного профиля выберите пункт «Настройки основных операций». 6. Для изменения кодировки выходных файлов для всех операций комплекса во всех областях – «Параметры ЭП», «Параметры шифрования», «Параметры ЭП и шифрования» – окна параметров настройки основных операций установите кодировку BASE64. 7. Для сохранения изменения кодировок выходных файлов нажмите на кнопку «Сохранить». 8. Для установки рабочей директории отличной от текущей выберите пункт «Настройки директорий» в дереве профиля «Сидоров_АС». 9. Щелкните на установленную галочку напротив пункта «Использовать текущую директорию», после чего станет активной кнопка «Обзор». Litoria Desktop» Руководство администратора 10. Нажмите на кнопку «Обзор». 11. В появившемся окне укажите директорию, которую пользователь будет использовать в качестве рабочей и нажмите на кнопку «Выбор папки». После чего закроется окно выбора директории и осуществится возврат к окну параметров настроек, в котором в поле рядом с кнопкой «Обзор» в области «Настройки рабочих настроек» отобразится путь выбранной директории. 12. Для сохранения изменения рабочей директории нажмите на кнопку «Сохранить». 13. Для установки параметров, всегда использующихся пользователем при работе с ЭП, выберите пункт «Настройки ЭП» в дереве профиля «Сидоров_АС». 14. Для указания сертификата пользователя, которым он будет подписывать файлы, нажмите на кнопку «Выбор сертификата» в появившемся окне с параметрами настройки. 15. В появившемся окне «Список сертификатов» выберите сертификат Сидорова Артема Сергеевича и нажмите на кнопку «Выбрать». После чего закроется окно «Список сертификатов» и осуществится возврат к окну параметров настроек. 16. Для указания того, что всегда будет использоваться отделенная ЭП, установите галочку напротив пункта «Создать отделенную подпись». 17. Для сохранения изменения параметров настроек ЭП нажмите на кнопку «Сохранить». 18. Для указания того, что созданный профиль «Сидоров_АС» должен применяться по умолчанию, выделите название этого профиля в дереве профилей и нажмите на кнопку «Выбрать». Пример 4: Создаем профиль настроек для пользователя Морозов Виктор Николаевич, который будет работать с обычной ЭП с включением внутреннего штампа времени, при этом для всех операций комплекса будет использовать аппаратный криптопровайдер «РУТОКЕН ЭЦП». Перед выполнением настроек установите на своем компьютере сертификат Морозова Виктора Николаевича в хранилище сертификатов «Личное» и установите драйвера к устройству «РУТОКЕН ЭЦП». Для создания профиля с настройками для пользователя Морозова Виктора Николаевича выполните следующие действия: 1. Откройте стандартный интерфейс ПК «Litoria Desktop». 2. Выберите операцию «Настройки приложения». 3. Для создания нового профиля нажмите на кнопку «Добавить». 4. В появившемся окне «Создание нового профиля» введите имя нового профиля, например: Морозов_ВН. 5. В дереве созданного профиля выберите пункт «Настройки ЭП». 6. Для указания сертификата пользователя, которым он будет подписывать файлы, нажмите на кнопку «Выбор сертификата» в появившемся окне с параметрами настройки. 7. В появившемся окне «Список сертификатов» выберите сертификат Морозова Виктора Николаевича и нажмите на кнопку «Выбрать». После чего закроется окно «Список сертификатов» и осуществится возврат к окну параметров настроек. 8. Для указания того, что всегда будет использоваться ЭП с внутренним штампом времени, установите галочку напротив пункта «Вложить внутренний штамп времени». 9. Для сохранения изменения параметров настроек ЭП нажмите на кнопку «Сохранить». 10. Для указания использования аппаратного криптопровайдера выберите пункт «Настройки криптосистемы» в дереве профиля «Морозов_ВН». Litoria Desktop» Руководство администратора 11. В появившемся окне установите флаг «PKCS#11» и нажмите кнопку «Добавить» в поле «Библиотеки PKCS#11». 12. В появившемся окне укажите расположение библиотеки, реализующей взаимодействие с необходимым аппаратным криптопровайдером. Для устройства «РУТОКЕН ЭЦП» – это библиотека «rtPKCS11ECP.dll», и после установки драйверов к этому устройству она, как правило, располагается в каталоге: C:\windows\system32 (для 32-х битных ОС) или C:\windows\sysWOW64 (для 64-х битных ОС). 13. Для сохранения изменения параметров настроек криптосистемы нажмите на кнопку «Сохранить». 14. Для указания того, что созданный профиль «Морозов_ВН» должен применяться по умолчанию, выделите название этого профиля в дереве профилей и нажмите на кнопку «Выбрать».