Портал документации Рутокен

Page tree

Versions Compared

Old Version 2

changes.mady.by.user Технический писатель

Saved on

compared with

New Version Current

changes.mady.by.user Осьминина Анастасия

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Рутокен KeyBox может взаимодействовать с центрами сертификации Microsoft, располагающимися за пределами домена, в котором

...

находится сервер

...

Рутокен KeyBox. Например,

...

конфигурация, когда у одной организации есть несколько независимых доменов с самостоятельными центрами сертификации в каждом, а

...

Рутокен KeyBox развернут только в одном из этих доменов

...

. При выпуске устройства

...

Рутокен KeyBox обращается к

...

MS CA Proxy, а тот, используя сертификат Агента Регистрации

...

, передает запрос на целевой центр сертификации.


Для установки и настройки приложения

...

MS CA Proxy выполните следующие действия:

  1. Создайте во внешнем для Рутокен KeyBox домене сервисную учетную запись для работы с центром сертификации Microsoft (см. Создание сервисной учетной записи для работы с Microsoft CA).

  2. Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см.

...

  1.  Настройка шаблонов сертификатов) и выпустите для этой учетной записи сертификат по этому шаблону (см.

...

  1.  Выпуск сертификата Агент регистрации (Enrollment Agent)).

    Warning
    Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент

...

  1. Рутокен KeyBox MS CA Proxy.

...

  1. Установите компонент RutokenKeyBox.MSCA.Proxy.msi

...

  1.  из дистрибутива (

...

  1. располагается в каталоге

...

  1. RutokenKeyBox.Server)

...

  1. на рабочей станции в домене с внешним УЦ.

    Note
    Системные требования для установки компонента совпадают с требования для установки

...

  1. серверных компонентов на ОС Windos.

...

  1. Откройте в редакторе Блокнот, запущенном от имени администратора, файл конфигурации MS CA Proxy — C:\inetpub\wwwroot\

...

  1. cm\mscaproxy\Web.config.
  2. Укажите в секции caProxySettings:
    • Имя центра сертификации в параметре ca.
    • Данные учетной записи (логин и пароль), обладающей сертификатом Агент регистрации в

...

    • параметрах userName и password соответственно.

    • Отпечаток (Thumbprint) сертификата Агент регистрации в

...

    • параметре enrollmentAgentCertificateThumbprint.
      Пример заполненной секции:

      <caProxySettings ca="servercm.external.com\EXTERNAL-CA" userName="EXTERNAL\

...

    • serviceca" password="p@ssw0rd"
      enrollmentAgentCertificateThumbprint="dbd1859d27395860843643ebe17e2ee3fc463aba"/>

...

  1. Сервер Rutoken KeyBox использует Windows авторизацию в случае инсталляции на ОС Windows и авторизацию по сертификатам в случае инсталляции на ОС Linux.

    • При использовании Windows авторизации (инсталляция на Windows Server):

      • в параметре allow users укажите сервисную учетную запись из домена, в котором установлен Рутокен KeyBox MSCA Proxy, например, созданную в п.1.
        Пример заполненной секции:

        <authentication mode="Windows" />
        <authorization>
            <deny users="?" />
            <allow users="EXTERNAL\

...

      • serviceca" />
            <deny users="*" />
        </authorization>

    • При использовании авторизации по сертификату (инсталляция на ОС семейства Linux):

      • Параметру authentication укажите значение "None", а также закомментируйте секцию authorization.
        Пример заполненной секции:

        <authentication mode="None" />
        <!--
            <authorization>
                <deny users="?"/>
                <allow users="*" />
                <deny users="*" />
            </authorization> 
        -->

      • Параметру authorizeByCertificate  (секция appSettings)укажите значение "True", а в параметре allowedCertificateThumbprints укажите отпечаток клиентского сертификата, разрешенного к предъявлению сервером Рутокен KeyBox.

        Warning

        Убедитесь, что выполнены следующие требования для авторизации по сертификатам в ОС Linux:

        • Поле Улучшенный ключ (Enhanced Key Usage) сертификата содержит значение Проверка подлинности клиента (Client Authentication).
        • Сертификат установлен в хранилище сертификатов сервера RutokenKeyBox.
        • Сервер, на который устанавливается MS CA Proxy, принимает сертификаты клиента - сервера RutokenKeyBox. Для этого откройте IIS, перейдите в Параметры SSL (SSL Settings) и в списке Сертификаты клиента (Client certificates) выберите значение Принимать (Accept).


        Пример заполненной секции:

        <appSettings>
            <add key="authorizeByCertificate" value="true" />
            <add key="allowedCertificateThumbprints" value="aba8b93d73343f2182e3c1c40482b2ae2d75b6ec" />
        </appSettings>

  2. Сохраните изменения в файле и закройте файл конфигурации.