Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Рутокен KeyBox может взаимодействовать с центрами сертификации Microsoft, располагающимися за пределами домена, в котором находится сервер Рутокен KeyBox. Например, конфигурация, когда у одной организации есть несколько независимых доменов с самостоятельными центрами сертификации в каждом, а Рутокен KeyBox развернут только в одном из этих доменов. При выпуске устройства Рутокен KeyBox обращается к MS CA Proxy, а тот, используя сертификат Агента Регистрации, передает запрос на целевой центр сертификации.


Для установки и настройки приложения MS CA Proxy выполните следующие действия:

  1. Создайте во внешнем для Рутокен KeyBox домене сервисную учетную запись для работы с центром сертификации Microsoft (см. Создание сервисной учетной записи для работы с Microsoft CA).
  2. Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см. Настройка шаблонов сертификатов) и выпустите для этой учетной записи сертификат по этому шаблону (см. Выпуск сертификата Агент регистрации (Enrollment Agent)).

    Warning
    Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент Рутокен KeyBox MS CA Proxy.
  3. Установите компонент RutokenKeyBox.MSCA.Proxy.msi из дистрибутива (располагается в каталоге RutokenKeyBox.Server) на рабочей станции в домене с внешним УЦ.

    Note
    Системные требования для установки компонента совпадают с требования для установки серверных компонентов на ОС Windos.
  4. Откройте в редакторе Блокнот, запущенном от имени администратора, файл конфигурации MS CA Proxy — C:\inetpub\wwwroot\cm\mscaproxy\Web.config.
  5. Укажите в секции caProxySettings:
    • Имя центра сертификации в параметре ca.
    • Данные учетной записи (логин и пароль), обладающей сертификатом Агент регистрации в параметрах userName и password соответственно.
    • Отпечаток (Thumbprint) сертификата Агент регистрации в параметре enrollmentAgentCertificateThumbprint.
      Пример заполненной секции:

      <caProxySettings ca="servercm.external.com\EXTERNAL-CA" userName="EXTERNAL\serviceca" password="p@ssw0rd"
      enrollmentAgentCertificateThumbprint="dbd1859d27395860843643ebe17e2ee3fc463aba"/>

  6. Сервер Rutoken KeyBox использует Windows авторизацию в случае инсталляции на ОС Windows и авторизацию по сертификатам в случае инсталляции на ОС Linux.
    • При использовании Windows авторизации (инсталляция на Windows Server):

      • в параметре allow users укажите сервисную учетную запись из домена, в котором установлен Рутокен KeyBox MSCA Proxy, например, созданную в п.1.
        Пример заполненной секции:

        <authentication mode="Windows" />
        <authorization>
            <deny users="?" />
            <allow users="EXTERNAL\serviceca" />
            <deny users="*" />
        </authorization>

    • При использовании авторизации по сертификату (инсталляция на ОС семейства Linux):

      • Параметру authentication укажите значение "None", а также закомментируйте секцию authorization.
        Пример заполненной секции:

        <authentication mode="None" />
        <!--
            <authorization>
                <deny users="?"/>
                <allow users="*" />
                <deny users="*" />
            </authorization> 
        -->

      • Параметру authorizeByCertificate  (секция appSettings)укажите значение "True", а в параметре allowedCertificateThumbprints укажите отпечаток клиентского сертификата, разрешенного к предъявлению сервером Рутокен KeyBox.

        Warning

        Убедитесь, что выполнены следующие требования для авторизации по сертификатам в ОС Linux:

        • Поле Улучшенный ключ (Enhanced Key Usage) сертификата содержит значение Проверка подлинности клиента (Client Authentication).
        • Сертификат установлен в хранилище сертификатов сервера RutokenKeyBox.
        • Сервер, на который устанавливается MS CA Proxy, принимает сертификаты клиента - сервера RutokenKeyBox. Для этого откройте IIS, перейдите в Параметры SSL (SSL Settings) и в списке Сертификаты клиента (Client certificates) выберите значение Принимать (Accept).


        Пример заполненной секции:

        <appSettings>
            <add key="authorizeByCertificate" value="true" />
            <add key="allowedCertificateThumbprints" value="aba8b93d73343f2182e3c1c40482b2ae2d75b6ec" />
        </appSettings>

  7. Сохраните изменения в файле и закройте файл конфигурации.