Установка ГОСТ-сертификата на Web-сервер

Для начала работы по этой пошаговой инструкции следует установить CriptoPro в соответсвии с инструкцией. Инструкция подробная, дублировать ее не вижу смысла. В своей среде я установил Крипто-Про на два различных сервера - центр регистрации на cR.test.gisis.ru, центр сертификации на cS.test.gisis.ru.

ЦС - это собственно говоря, сервер сертификатов. Его назначение - генерить все ключи и хранить закрытый ключ корневого сертифката предприятия. Еще он ведет журнал и имеет помимо стандартного Web-узла сервера сертификатов еще Web-службы на узле CA, туда обращается ЦР - центр регистрации.

ЦР - это некая пользовательская надстройка над ЦС, которая имеет пользовательский интерфейс, описанный тут и АРМ администратора, в котором производятся одобрения (или неодобрение) действий, запрашиваемых пользователем. Он также имеет Web-службы на узле RA, через который к системе сертификации могут обращаться пользователи. ЦР обращается к ЦС по SSL. Есть возможность проверить коннект между ЦР и ЦС.


Собственно, все описанное выше - это и есть правильно развернутая инфраструктура сертификатов. То, что должно получится в результате правильной инсталляции КриптоПро. А в даннной инструкции мы посмотрим, КАК ВОСПОЛЬЗОВАТЬСЯ этой развернутой инфраструктурой сертификатов.


Воспользоваться этой инфраструктурой мы попробуем (в моем окружении) на узле crypto.test.gisis.ru. Именно на этом узле будет мною развернут защищенный Web-узел, вход на который я потребую исключительно по действительным индивидуальным сертификатам пользователей. Причем в узле crypto.test.gisis.ru у меня нет даже логина - сертифкат исполняет роль логина - мой сайт автоматически увидит действительный сертификат, выпущенный этой инфраструктурой и вид страничек сразу изменится так, как они должны выглядеть для залогиненного пользователя. именно для этого необходимо установить выпустить и правильно установить на мой узел сертификат этой инфраструктуры.


Процедура установки ГОСТ-сертификата в инфраструктуре Крипто-Про существенно сложнее обычной установки сертификата стандартного алгоритма:


Итак, сертификат установлен на наш Web-узел. Теперь необходимо потребовать, чтобы не сервер идентифицировал себя на клиенте (что в принципе неплохо), но гораздо важнее, чтобы клиент идентифицировал себя на сервере. Здесь вопрос не только в двухсторонней аутентифкации, но сайт устроен так, что клиентский сертификат фактически заменяет логин. Он должен быть индивидуальным и для этого в АРМе администратора выпускаются для каждого клиента уникальные сертификаты, которые и передаются клиентам (вместе с закрытым ключом).

И последняя тема, которую мы рассмотрим тут - это проверка корректности использования нашим сайтом инфраструктуры Крипто-Про. Для этого возьмем вот такой найпростейший сайт в (сгрузить) и попытаемся зайти в него с браузера клинетской машины, на которой установлен клиентский сертификат. Мы должны этим тестовым сайтом увидеть номер клиентского сертификата и его содержимое. Это и означает, что нам удалось успешно установить инфраструктуру ГОСТ-овских сертификатов на свой Web-узел.



Comments ( )
<00>  <01>  <02>  <03>  <04>  <05>  <06>  <07>  <08>  <09>  <10>  <11>  <12>  <13>  <14>  <15>  <16>  <17>  <18>  <19>  <20>  <21>  <22>  <23
Link to this page: //www.vb-net.com/criptopro/ServerInstr/index.htm
<SITEMAP>  <MVC>  <ASP>  <NET>  <DATA>  <KIOSK>  <FLEX>  <SQL>  <NOTES>  <LINUX>  <MONO>  <FREEWARE>  <DOCS>  <ENG>  <CHAT ME>  <ABOUT ME>  < THANKS ME>