Установка корневых сертификатов удостоверяющего центра

Описание установки корневых сертификатов УЦ в веб-интерфейсе NGate.

В данном разделе описан процесс установки в ПО NGate Корневых сертификатов УЦ и Промежуточных сертификатов УЦ, а также CRL, которые в ПО NGate используются для проверки подлинности Сертификатов внешних пользователей при аутентификации.

В дальнейшем установленные сертификаты УЦ могут быть привязаны к веб-ресурсам, gRPC-ресурсам и порталам.

Рис. 1. Схема взаимодействия Сертификата УЦ и пользователя


Сертификат УЦ, Промежуточный сертификат УЦ и CRL необходимо получить в Удостоверяющем центре. Выбор стороннего УЦ или создание и аккредитация собственного осуществляется администратором в соответствии с требованиями безопасности организации. При необходимости возможно использование аккредитованного УЦ КриптоПро.

Для тестирования системы можно использовать тестовые УЦ ООО «КРИПТО-ПРО».

Важное замечание: Не используйте тестовые УЦ для работы в реальных условиях. Тестовый удостоверяющий центр не проверяет информацию, указанную в запросах на сертификат. Не следует доверять сертификатам, выданным тестовым УЦ!
  1. Откройте страницу загрузки Сертификатов УЦ: CertificatesCA Certificates.


  2. На странице настройки сертификатов УЦ можно вручную добавить файл Корневого или промежуточного сертификата УЦ и CRL в формате PEM или DER или загрузить набор сертификатов из файла формата PKCS #7


  3. Описание процесса ввода Корневого или промежуточного сертификата УЦ вручную (CA / Intermediate Certificates) и CRL (опционально) в одном из двух форматов PEM или DER с использованием формы выбора файла:
    1. Нажмите кнопку Add manually, чтобы перейти на страницу загрузки нового сертификата УЦ.


    2. В поле Name введите наименование сертификата, которое будет отображаться в системе.
    3. Выберите файл сертификата УЦ CA Certificate в диалоговом окне выборов файла интернет-браузера. После успешного ввода параметры корневого сертификата появятся на странице.


    4. Выберите файл с кодом CRL, в диалоговом окне выборов файла интернет-браузера CRL.


    5. Нажмите Save для сохранения сертификата УЦ в системе и возврата на страницу списка сертификатов УЦ. Back – выйти без сохранения.


  4. Процесс ввода Корневого или промежуточного сертификата УЦ (CA / Intermediate Certificates) и CRL в формате PEM в кодировке Base64.
    1. Нажмите кнопку Add CA Certificate.


    2. В поле Name введите наименование сертификата в системе.
    3. Откройте файл сертификата УЦ в PEM в кодировке Base64 в любом текстовом редакторе.
    4. Скопируйте данные сертификата в буфер обмена, включая теги: : 
      -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----




    5. Вставьте текстовые данные сертификата в поле PEM-encoded certificate.


    6. Откройте файл CRL в PEM в кодировке Base64 в любом текстовом редакторе.
    7. Скопируйте данные CRL в буфер обмена, включая теги: 
      -----BEGIN X509 CRL----- 
-----END X509 CRL----




    8. Вставьте данные списка отзыва в поле PEM-encoded CRL.


    9. Нажмите Save для сохранения сертификата УЦ в системе и возврата на страницу списка сертификатов УЦ. Back – выйти без сохранения.
  5. Ввод набора сертификатов из файла формата PKCS #7.
    1. Нажмите кнопку Upload file для перехода в меню загрузки файла и выберите нужный файл с расширением .p7b.


    2. Отметьте флаговой кнопкой сертификаты, которые будут введены в систему. Снятие флажка , отменит загрузку соответствующего сертификата.


    3. Нажмите Save для сохранения выбранных объектов в системе и возврата на страницу списка сертификатов УЦ. Back – выйти без сохранения.
  6. В списке Сертификатов удостоверяющего центра (CA Certificates) отображаются все текущие Сертификаты УЦ: корневые и промежуточные.
    1. Используйте фильтры CA и Intermediate для просмотра сертификатов нужного типа.


    2. Кнопки управления сертификатами:
      • Replace certificate in configuration — замена сертификата в конфигурации.
      • Export to QR-code — экспорт сертификата при помощи генерации QR-кода.
      • Edit – просмотр и редактирование данных сертификата;
      • Delete – удаление сертификата.
      Набор данных сертификата:
      Наименование Описание
      Serial Number Серийный номер ключа сертификата УЦ

      Certificate Type

      		 Intermediate (промежуточный) /Root ()
      Subject DN Subject Distinguished Name (отличительное имя субъекта) ‒ включает информацию о владельце сертификата: электронная почта (E), название организации (O), страна (С), город (L), общее имя (CN)
      Issuer DN Issuer Distinguished Name (отличительное имя УЦ) ‒ включает информацию о организации, выдавшей сертификат: электронная почта (E), название организации (O), страна (С), город (L), общее имя (CN)
      Certificate Valid From Дата и время начала действия данного сертификата УЦ
      Certificate Valid To Дата и время окончания действия данного сертификата УЦ
      Public Key Algorithm Стандарт асимметричного криптографического алгоритма ключа
      Signature Algorithm Стандарт алгоритма подписи
      CRL Distribution Point Стандарт распределительного пункта CRL

      OCSP Server Address

      		 Адрес OCSP-сервера

      (OCSP — Протокол состояния сетевого сертификата, интернет-протокол, используемый для получения статуса отзыва цифрового сертификата X.509)
      EKU Enhanced Key Usage ‒ расширенное использование ключа безопасности
      SHA1 Hash Хэш-сумма SHA1 ключа сертификата УЦ
      Subject Key ID Идентификатор ключа сертификата УЦ