Установка корневых сертификатов удостоверяющего центра

Описание установки корневых сертификатов УЦ в веб-интерфейсе NGate.

В данном разделе описан процесс установки в ПО NGate Корневых сертификатов УЦ и Промежуточных сертификатов УЦ, а также их CRL, которые в ПО NGate используются для проверки подлинности Сертификатов внешних пользователей при аутентификации.

В дальнейшем установленные сертификаты УЦ привязываются к веб-ресурсам, gRPC-ресурсам и порталам в процессе настройки данных элементов.

Рис. 1. Схема взаимодействия Сертификата УЦ и пользователя


Сертификат УЦ, Промежуточный сертификат УЦ и CRL необходимо получить в Удостоверяющем центре. Выбор стороннего УЦ или создание и аккредитация собственного осуществляется администратором в соответствии с требованиями безопасности организации. При необходимости возможно использование аккредитованного УЦ КриптоПро.

Для тестирования системы можно использовать тестовые УЦ ООО «КРИПТО-ПРО».

Важное замечание: Не используйте тестовые УЦ для работы в реальных условиях. Тестовый удостоверяющий центр не проверяет информацию, указанную в запросах на сертификат. Не следует доверять сертификатам, выданным тестовым УЦ!
  1. Откройте страницу загрузки Сертификатов УЦ: CertificatesCA Certificates.


  2. На странице ввода сертификата можно ввести Корневой или промежуточный сертификат УЦ и CRL в формате PEM или DER или загрузить набор сертификатов из файла формата PKCS #7


  3. Процесс ввода Корневого или промежуточного сертификата УЦ вручную (CA / Intermediate Certificates) и CRL (опционально) в одном из двух форматов PEM или DER с использованием формы выбора файла.
    1. Нажмите кнопку Add manually, чтобы перейти на страницу загрузки нового сертификата УЦ.


    2. В поле Name введите наименование сертификата в системе.
    3. Выберите файл с кодом сертификата УЦ, используя форму выбора файла в поле CA Certificate.


    4. Выберите файл с кодом CRL, используя форму выбора файла браузера в поле CRL.


    5. Нажмите Save для сохранения сертификата УЦ в системе.


  4. Процесс ввода Корневого или промежуточного сертификата УЦ (CA / Intermediate Certificates) и CRL в формате PEM в кодировке Base64.
    1. Нажмите кнопку Add CA Certificate.


    2. В поле Name введите наименование сертификата в системе.
    3. Откройте файл сертификата УЦ в PEM в кодировке Base64 в любом текстовом редакторе.
    4. Скопируйте данные сертификата в буфер обмена, включая теги: : 
      -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----




    5. Вставьте текстовые данные сертификата в поле PEM-encoded certificate.


    6. Откройте файл CRL в PEM в кодировке Base64 в любом текстовом редакторе.
    7. Скопируйте данные CRL в буфер обмена, включая теги: 
      -----BEGIN X509 CRL----- 
-----END X509 CRL----




    8. Вставьте данные списка отзыва в поле PEM-encoded CRL.


    9. Нажмите Save для сохранения сертификата УЦ в системе и возврата на страницу списка сертификатов УЦ. Back – выйти без сохранения введённых ранее данных.
  5. Ввод набора сертификатов из файла формата PKCS #7.
    1. Нажмите кнопку Upload file для перехода в меню загрузки файла и выберите нужный файл с расширением .p7b.


    2. Объекты, которые будут введены в систему должны быть отмечены .


    3. Нажмите Save для сохранения выбранных объектов в системе и возврата на страницу списка сертификатов УЦ. Back – выйти без сохранения.
  6. В списке Сертификатов удостоверяющего центра (CA Certificates) отображаются все текущие Сертификаты УЦ: корневые и промежуточные.
    1. Используйте фильтры CA и Intermediate для просмотра нужного типа сертификата.


    2. Нажмите Edit для просмотра и редактирования данных сертификата. Delete – удаление сертификата.
      Набор данных сертификата:
      Наименование Описание
      Serial Number Серийный номер ключа сертификата УЦ
      Subject DN Subject Distinguished Name (отличительное имя субъекта) ‒ включает информацию о владельце сертификата: электронная почта (E), название организации (O), страна (С), город (L), общее имя (CN)
      Issuer DN Issuer Distinguished Name (отличительное имя УЦ) ‒ включает информацию о организации, выдавшей сертификат: электронная почта (E), название организации (O), страна (С), город (L), общее имя (CN)
      Certificate Valid From Дата и время начала действия данного сертификата УЦ
      Certificate Valid To Дата и время окончания действия данного сертификата УЦ
      Public Key Algorithm Стандарт асимметричного криптографического алгоритма ключа
      CRL Distribution Point Стандарт распределительного пункта CRL
      EKU Enhanced Key Usage ‒ расширенное использование ключа безопасности
      SHA1 Hash Хеш-сумма SHA1 ключа сертификата УЦ
      Subject Key ID Идентификатор ключа сертификата УЦ