• Главная
  • Карта сайта
Не найдено

Огляд Rutoken - персонального засобу аутентифікації і зберігання сертифікатів

  1. Огляд Rutoken - персонального засобу аутентифікації і зберігання сертифікатів Будинки і на роботі...
  2. Огляд Rutoken - персонального засобу аутентифікації і зберігання сертифікатів

Огляд Rutoken - персонального засобу аутентифікації і зберігання сертифікатів

Будинки і на роботі при використанні поштових програм та доступ до корпоративних ресурсів нам доводиться користуватися паролями. Найчастіше паролі для різних програм і ресурсів розрізняються, і необхідно запам'ятовувати безліч непростих символьних сполучень або записувати їх на папері, що явно не рекомендується службами безпеки вашої компанії. У меншій мірі це відноситься до використання комп'ютера вдома, але і тут буває необхідно захистити певні ресурси і програми від доступу.

Замість використання доступу по паролю до корпоративних ресурсів, для входу в домен і при використанні корпоративної пошти можна використовувати апаратну аутентифікацію і захист електронного листування в мережах, побудованих на базі Windows 2000 / ХР / 2003. У пропонованому рішенні використовуються вбудовані інструменти безпеки Windows і електронні ідентифікатори Rutoken в якості носіїв ключової інформації.

Що забезпечується при використанні цього продукту? Авторизація користувачів (вхід в домен при підключенні токена і блокування сесії після його від'єднання). При роботі з поштою - електронний цифровий підпис поштових повідомлень і їх шифрування. Доступ до корпоративних ресурсів за пред'явленням токена і, звичайно, надійне зберігання і використання сертифікатів. Частина з перерахованих завдань може бути використана і на домашньому комп'ютері, наприклад, при роботі з поштою, а також для віддаленого підключення до корпоративних ресурсів. Давайте розберемо, що і як необхідно виконати для реалізації перерахованих завдань. Що забезпечується при використанні цього продукту

Токен як додатковий пристрій не може бути пізнаний операційною системою, оскільки він не є стандартним обладнанням. Неможлива і установка токена допомогою inf-файлу, оскільки для коректної установки потрібно вимір деяких параметрів для автоматичної конфігурації драйвера. Тому доводиться для установки використовувати спеціальне програмне забезпечення. І ось що ще слід пам'ятати. Уникайте використання токен до комп'ютера до того, як ви встановите драйвер. Якщо все ж підключення буде виконано раніше, зупиніть роботу стандартного майстра установки USB-пристроїв, витягніть ключ з порту і встановіть драйвер. Крім драйверів в процесі інсталяції на диск будуть скопійовані і утиліти для роботи з токеном (утиліта адміністрування і браузер сертифікатів). Кількість одночасно використовуваних токенов залежить від операційної системи і кількості USB-портів.

Електронний ідентифікатор Rutoken - персональне засіб аутентифікації і зберігання даних (сертифікатів в даному випадку). У ньому є апаратна реалізація російського стандарту шифрування. Цей токен також сумісний і з сертифікованими російськими криптопровайдерами від компаній "Кріпто-Про", "Анкад", "Сигнал-Ком".

Перш ніж приступити до налаштування корпоративної мережі та її ресурсів для роботи з токенами і цифровими сертифікатами, пропоную провести невелике тестування цього продукту, для чого отримати електронний сертифікат і підключити його для роботи з поштою, наприклад з поштовим клієнтом The Bat !.

Знову ж таки, щоб не розгортати в своїй мережі служби сертифікації (їх можна розгорнути тільки на серверних платформах), можна скористатися послугами тестових центрів, що засвідчують, наприклад тестовим центром сертифікації "Кріпто-Про" або тестовим центром сертифікації e-Notary компанії "Сигнал-Ком". Якщо ви вибрали останній, вам буде запропоновано спочатку познайомитися з "Угодою на виготовлення тестових сертифікатів підтверджуючий центр e-Notary". У разі згоди буде запропоновано вибрати варіант подачі запиту на виготовлення сертифікату: або шляхом передачі файлу з сформованим попередньо запитом, або шляхом генерації ключів і формування запиту вбудованими засобами браузера. Для простоти виберемо другий варіант.

Підключіть до USB-порту ваш токен. Зверніть увагу, що всі токени спочатку мають той самий PIN-код користувача - 12345678. Поки ви займаєтеся тестуванням, цей код можна не міняти, але при організації нормальної роботи краще, якщо ви його замініть, щоб ніхто інший не міг отримати доступ до вашого закритого ключа . (Саме закритий ключ використовується для формування підпису та розшифрування даних.) Для зміни коду скористайтеся програмою адміністрування. З її ж допомогою вашого токені можна привласнити і унікальне ім'я. Підключіть до USB-порту ваш токен

Вибравши варіант формування запиту через браузер, ви потрапите на сторінку, де вам буде потрібно заповнити про себе деякі дані (для тестових цілей вони не критичні, і обов'язковими є лише два поля - ім'я та поштову адресу). Далі - вибір параметрів ключової пари. Тут ви повинні вибрати зі списку криптопровайдер Aktiv Rutoken CSP v1.0 (можна взяти і будь-який інший, але ми ж тестуємо токен). Потім вибрати варіант використання ключів - для обміну даними, для їх підписи або для обох варіантів (вибирайте останній). Далі - вибір розміру ключа. Обраний на попередньому кроці криптопровайдер дозволяє формувати ключі довжиною від 512 до 16 384 байт. (Чим більше значення довжини ключа, тим менше ймовірність злому зашифрованих даних.) Вибравши варіант формування запиту через браузер, ви потрапите на сторінку, де вам буде потрібно заповнити про себе деякі дані (для тестових цілей вони не критичні, і обов'язковими є лише два поля - ім'я та поштову адресу)

З інших опцій рекомендую вибрати "Позначити ключ як експортований". У цьому випадку після його установки ви зможете створити резервну копію пари ключів та сертифікату і зберегти їх у вигляді файлу. Навіщо? На випадок втрати токена або його пошкодження. Решта опцій можна не зраджувати і далі запустити процес формування запиту. Після того як запит буде оброблений, ви зможете встановити сертифікат на комп'ютер. Зверніть увагу на наступний момент. Давайте відкриємо браузер сертифікатів (ми вже говорили, що він встановлюється разом з драйверами). Після того як ви сформуєте запит, на токені з'явиться новий контейнер з парою ключів. В параметрах ключа буде вказана його довжина, область застосування і значення відкритого (публічного) ключа. Після установки сертифіката інформація зміниться. У контейнері буде вже не тільки ключ, але і сертифікат з усім своїми характеристиками: ім'я власника, його поштову адресу, інша інформація, зазначена вами при формуванні запиту. Крім того що сертифікат буде поміщений на токен, він також буде встановлений в особисте сховище сертифікатів, де його можна буде переглянути через властивості браузера.

Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію. Подивимося, як це можна зробити в поштовому клієнті The Bat! (Про використання підпису та шифрування в MS Outlook докладно розказано в документації на даний продукт). Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію

Відкрийте властивості вашої поштової скриньки і на вкладці "Загальні відомості" клікніть по кнопці "Сертифікати". Відкриється стандартне вікно для перегляду сертифікатів. Переконайтеся, що отриманий вами сертифікат в тестовому УЦ доступний. Перейдіть на вкладку "Параметри". Тут можна відключити опцію "Авто - OpenPGP", залишивши лише "Авто - S / Mime". Крім того, відзначте опції, які ви хочете використовувати: "Підписати перед відправленням" і "Зашифрувати перед відправкою". Другу опцію краще не вибирати до тих пір, поки ви не обміняєтеся відкритими ключами з тими, з ким будете вести переписку з шифруванням.

Отже, якщо ви будете писати власне лист, то після того, як ви натиснете кнопку "Зберегти" або "Надіслати", буде викликаний діалог вибору сертифіката, на якому ви будете виконувати підпис. Зверніть увагу, що сертифікат прив'язаний до поштовою адресою. Тому, якщо поштова адреса, з якого ви пишете і відправляєте лист, відрізняється від того, що включено до сертифіката, поштовий клієнт не зможе підписати лист. Якщо адреси збігаються, лист буде підписано і відправиться вашому респонденту разом з сертифікатом і відкритим ключем. З їх допомогою ваш респондент зможе перевірити справжність підпису (чи не змінилося лист під час доставки) і переконатися, що саме ви підписали цей лист. Для того щоб використовувати цей сертифікат і ключ для шифрування листів на вашу адресу, ваш респондент повинен буде імпортувати отриманий сертифікат в сховищі. Аналогічним чином він надішле вам свій сертифікат, після чого ви зможете не тільки підписувати листи, а й шифрувати їх на адресу один одного. Отже, якщо ви будете писати власне лист, то після того, як ви натиснете кнопку Зберегти або Надіслати, буде викликаний діалог вибору сертифіката, на якому ви будете виконувати підпис

На цьому перевірку роботи з токеном можна вважати завершеною і переходити до налаштування мережі вашої організації і корпоративних додатків. Перше, з чого слід почати, - установка служби сертифікації Microsoft. З її допомогою ви будете виписувати сертифікати співробітникам, зберігати їх на токенах і видавати в роботу. Для зручності можна буде створити шаблони сертифікатів і використовувати їх.

Для використання цифрового підпису та шифрування поштових повідомлень необхідно буде виконати настройку поштових клієнтів. Для забезпечення доступу користувачів в домен за своїми сертифікатами потрібно видавати сертифікати типу "Користувач зі смарт-картою" чи "Вхід зі смарт-картою". Далі необхідно налаштувати облікові записи користувачів домену, встановивши в параметрах облікового запису прапор "Для інтерактивного входу в мережу потрібна смарт-карта".

Додаткові настройки потрібні і для створення захищеного підключення до веб-ресурсів організації (в документації наводиться приклад налаштування веб-ресурсу під керуванням IIS), можна налаштувати доступ за сертифікатами до термінального сервера, до мереж VPN. Ступінь захисту доступу в таких випадках істотно зростає.

В основному всі налаштування виконуються адміністратором мережі, настройка робочих місць вимагає значно менших зусиль. Тому впровадження системи апаратної аутентифікації, цифрового підпису та шифрування не становитиме особливих труднощів для співробітників. До того ж невелика і величина витрат по створенню такої системи. Для початку роботи цілком достатньо одного стартового комплекту, що включає посібник з впровадження, утиліти для роботи з токенами, драйвера і власне один електронний ідентифікатор Rutoken. Стартового комплекту досить, для того щоб провести всі необхідні настройки в мережі і підготуватися до переходу від звичайної парольного захисту до надійної двофакторної аутентифікації на основі Rutoken. Для такої міграції потрібно лише придбати необхідну кількість ідентифікаторів Rutoken.


Огляд Rutoken - персонального засобу аутентифікації і зберігання сертифікатів


Будинки і на роботі при використанні поштових програм та доступ до корпоративних ресурсів нам доводиться користуватися паролями. Найчастіше паролі для різних програм і ресурсів розрізняються, і необхідно запам'ятовувати безліч непростих символьних сполучень або записувати їх на папері, що явно не рекомендується службами безпеки вашої компанії. У меншій мірі це відноситься до використання комп'ютера вдома, але і тут буває необхідно захистити певні ресурси і програми від доступу.

Замість використання доступу по паролю до корпоративних ресурсів, для входу в домен і при використанні корпоративної пошти можна використовувати апаратну аутентифікацію і захист електронного листування в мережах, побудованих на базі Windows 2000 / ХР / 2003. У пропонованому рішенні використовуються вбудовані інструменти безпеки Windows і електронні ідентифікатори Rutoken в якості носіїв ключової інформації.

Що забезпечується при використанні цього продукту? Авторизація користувачів (вхід в домен при підключенні токена і блокування сесії після його від'єднання). При роботі з поштою - електронний цифровий підпис поштових повідомлень і їх шифрування. Доступ до корпоративних ресурсів за пред'явленням токена і, звичайно, надійне зберігання і використання сертифікатів. Частина з перерахованих завдань може бути використана і на домашньому комп'ютері, наприклад, при роботі з поштою, а також для віддаленого підключення до корпоративних ресурсів. Давайте розберемо, що і як необхідно виконати для реалізації перерахованих завдань. Що забезпечується при використанні цього продукту

Токен як додатковий пристрій не може бути пізнаний операційною системою, оскільки він не є стандартним обладнанням. Неможлива і установка токена допомогою inf-файлу, оскільки для коректної установки потрібно вимір деяких параметрів для автоматичної конфігурації драйвера. Тому доводиться для установки використовувати спеціальне програмне забезпечення. І ось що ще слід пам'ятати. Уникайте використання токен до комп'ютера до того, як ви встановите драйвер. Якщо все ж підключення буде виконано раніше, зупиніть роботу стандартного майстра установки USB-пристроїв, витягніть ключ з порту і встановіть драйвер. Крім драйверів в процесі інсталяції на диск будуть скопійовані і утиліти для роботи з токеном (утиліта адміністрування і браузер сертифікатів). Кількість одночасно використовуваних токенов залежить від операційної системи і кількості USB-портів.

Електронний ідентифікатор Rutoken - персональне засіб аутентифікації і зберігання даних (сертифікатів в даному випадку). У ньому є апаратна реалізація російського стандарту шифрування. Цей токен також сумісний і з сертифікованими російськими криптопровайдерами від компаній "Кріпто-Про", "Анкад", "Сигнал-Ком".

Перш ніж приступити до налаштування корпоративної мережі та її ресурсів для роботи з токенами і цифровими сертифікатами, пропоную провести невелике тестування цього продукту, для чого отримати електронний сертифікат і підключити його для роботи з поштою, наприклад з поштовим клієнтом The Bat !.

Знову ж таки, щоб не розгортати в своїй мережі служби сертифікації (їх можна розгорнути тільки на серверних платформах), можна скористатися послугами тестових центрів, що засвідчують, наприклад тестовим центром сертифікації "Кріпто-Про" або тестовим центром сертифікації e-Notary компанії "Сигнал-Ком". Якщо ви вибрали останній, вам буде запропоновано спочатку познайомитися з "Угодою на виготовлення тестових сертифікатів підтверджуючий центр e-Notary". У разі згоди буде запропоновано вибрати варіант подачі запиту на виготовлення сертифікату: або шляхом передачі файлу з сформованим попередньо запитом, або шляхом генерації ключів і формування запиту вбудованими засобами браузера. Для простоти виберемо другий варіант.

Підключіть до USB-порту ваш токен. Зверніть увагу, що всі токени спочатку мають той самий PIN-код користувача - 12345678. Поки ви займаєтеся тестуванням, цей код можна не міняти, але при організації нормальної роботи краще, якщо ви його замініть, щоб ніхто інший не міг отримати доступ до вашого закритого ключа . (Саме закритий ключ використовується для формування підпису та розшифрування даних.) Для зміни коду скористайтеся програмою адміністрування. З її ж допомогою вашого токені можна привласнити і унікальне ім'я. Підключіть до USB-порту ваш токен

Вибравши варіант формування запиту через браузер, ви потрапите на сторінку, де вам буде потрібно заповнити про себе деякі дані (для тестових цілей вони не критичні, і обов'язковими є лише два поля - ім'я та поштову адресу). Далі - вибір параметрів ключової пари. Тут ви повинні вибрати зі списку криптопровайдер Aktiv Rutoken CSP v1.0 (можна взяти і будь-який інший, але ми ж тестуємо токен). Потім вибрати варіант використання ключів - для обміну даними, для їх підписи або для обох варіантів (вибирайте останній). Далі - вибір розміру ключа. Обраний на попередньому кроці криптопровайдер дозволяє формувати ключі довжиною від 512 до 16 384 байт. (Чим більше значення довжини ключа, тим менше ймовірність злому зашифрованих даних.) Вибравши варіант формування запиту через браузер, ви потрапите на сторінку, де вам буде потрібно заповнити про себе деякі дані (для тестових цілей вони не критичні, і обов'язковими є лише два поля - ім'я та поштову адресу)

З інших опцій рекомендую вибрати "Позначити ключ як експортований". У цьому випадку після його установки ви зможете створити резервну копію пари ключів та сертифікату і зберегти їх у вигляді файлу. Навіщо? На випадок втрати токена або його пошкодження. Решта опцій можна не зраджувати і далі запустити процес формування запиту. Після того як запит буде оброблений, ви зможете встановити сертифікат на комп'ютер. Зверніть увагу на наступний момент. Давайте відкриємо браузер сертифікатів (ми вже говорили, що він встановлюється разом з драйверами). Після того як ви сформуєте запит, на токені з'явиться новий контейнер з парою ключів. В параметрах ключа буде вказана його довжина, область застосування і значення відкритого (публічного) ключа. Після установки сертифіката інформація зміниться. У контейнері буде вже не тільки ключ, але і сертифікат з усім своїми характеристиками: ім'я власника, його поштову адресу, інша інформація, зазначена вами при формуванні запиту. Крім того що сертифікат буде поміщений на токен, він також буде встановлений в особисте сховище сертифікатів, де його можна буде переглянути через властивості браузера.

Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію. Подивимося, як це можна зробити в поштовому клієнті The Bat! (Про використання підпису та шифрування в MS Outlook докладно розказано в документації на даний продукт). Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію

Відкрийте властивості вашої поштової скриньки і на вкладці "Загальні відомості" клікніть по кнопці "Сертифікати". Відкриється стандартне вікно для перегляду сертифікатів. Переконайтеся, що отриманий вами сертифікат в тестовому УЦ доступний. Перейдіть на вкладку "Параметри". Тут можна відключити опцію "Авто - OpenPGP", залишивши лише "Авто - S / Mime". Крім того, відзначте опції, які ви хочете використовувати: "Підписати перед відправленням" і "Зашифрувати перед відправкою". Другу опцію краще не вибирати до тих пір, поки ви не обміняєтеся відкритими ключами з тими, з ким будете вести переписку з шифруванням.

Отже, якщо ви будете писати власне лист, то після того, як ви натиснете кнопку "Зберегти" або "Надіслати", буде викликаний діалог вибору сертифіката, на якому ви будете виконувати підпис. Зверніть увагу, що сертифікат прив'язаний до поштовою адресою. Тому, якщо поштова адреса, з якого ви пишете і відправляєте лист, відрізняється від того, що включено до сертифіката, поштовий клієнт не зможе підписати лист. Якщо адреси збігаються, лист буде підписано і відправиться вашому респонденту разом з сертифікатом і відкритим ключем. З їх допомогою ваш респондент зможе перевірити справжність підпису (чи не змінилося лист під час доставки) і переконатися, що саме ви підписали цей лист. Для того щоб використовувати цей сертифікат і ключ для шифрування листів на вашу адресу, ваш респондент повинен буде імпортувати отриманий сертифікат в сховищі. Аналогічним чином він надішле вам свій сертифікат, після чого ви зможете не тільки підписувати листи, а й шифрувати їх на адресу один одного. Отже, якщо ви будете писати власне лист, то після того, як ви натиснете кнопку Зберегти або Надіслати, буде викликаний діалог вибору сертифіката, на якому ви будете виконувати підпис

На цьому перевірку роботи з токеном можна вважати завершеною і переходити до налаштування мережі вашої організації і корпоративних додатків. Перше, з чого слід почати, - установка служби сертифікації Microsoft. З її допомогою ви будете виписувати сертифікати співробітникам, зберігати їх на токенах і видавати в роботу. Для зручності можна буде створити шаблони сертифікатів і використовувати їх.

Для використання цифрового підпису та шифрування поштових повідомлень необхідно буде виконати настройку поштових клієнтів. Для забезпечення доступу користувачів в домен за своїми сертифікатами потрібно видавати сертифікати типу "Користувач зі смарт-картою" чи "Вхід зі смарт-картою". Далі необхідно налаштувати облікові записи користувачів домену, встановивши в параметрах облікового запису прапор "Для інтерактивного входу в мережу потрібна смарт-карта".

Додаткові настройки потрібні і для створення захищеного підключення до веб-ресурсів організації (в документації наводиться приклад налаштування веб-ресурсу під керуванням IIS), можна налаштувати доступ за сертифікатами до термінального сервера, до мереж VPN. Ступінь захисту доступу в таких випадках істотно зростає.

В основному всі налаштування виконуються адміністратором мережі, настройка робочих місць вимагає значно менших зусиль. Тому впровадження системи апаратної аутентифікації, цифрового підпису та шифрування не становитиме особливих труднощів для співробітників. До того ж невелика і величина витрат по створенню такої системи. Для початку роботи цілком достатньо одного стартового комплекту, що включає посібник з впровадження, утиліти для роботи з токенами, драйвера і власне один електронний ідентифікатор Rutoken. Стартового комплекту досить, для того щоб провести всі необхідні настройки в мережі і підготуватися до переходу від звичайної парольного захисту до надійної двофакторної аутентифікації на основі Rutoken. Для такої міграції потрібно лише придбати необхідну кількість ідентифікаторів Rutoken.


Огляд Rutoken - персонального засобу аутентифікації і зберігання сертифікатів


Будинки і на роботі при використанні поштових програм та доступ до корпоративних ресурсів нам доводиться користуватися паролями. Найчастіше паролі для різних програм і ресурсів розрізняються, і необхідно запам'ятовувати безліч непростих символьних сполучень або записувати їх на папері, що явно не рекомендується службами безпеки вашої компанії. У меншій мірі це відноситься до використання комп'ютера вдома, але і тут буває необхідно захистити певні ресурси і програми від доступу.

Замість використання доступу по паролю до корпоративних ресурсів, для входу в домен і при використанні корпоративної пошти можна використовувати апаратну аутентифікацію і захист електронного листування в мережах, побудованих на базі Windows 2000 / ХР / 2003. У пропонованому рішенні використовуються вбудовані інструменти безпеки Windows і електронні ідентифікатори Rutoken в якості носіїв ключової інформації.

Що забезпечується при використанні цього продукту? Авторизація користувачів (вхід в домен при підключенні токена і блокування сесії після його від'єднання). При роботі з поштою - електронний цифровий підпис поштових повідомлень і їх шифрування. Доступ до корпоративних ресурсів за пред'явленням токена і, звичайно, надійне зберігання і використання сертифікатів. Частина з перерахованих завдань може бути використана і на домашньому комп'ютері, наприклад, при роботі з поштою, а також для віддаленого підключення до корпоративних ресурсів. Давайте розберемо, що і як необхідно виконати для реалізації перерахованих завдань. Що забезпечується при використанні цього продукту

Токен як додатковий пристрій не може бути пізнаний операційною системою, оскільки він не є стандартним обладнанням. Неможлива і установка токена допомогою inf-файлу, оскільки для коректної установки потрібно вимір деяких параметрів для автоматичної конфігурації драйвера. Тому доводиться для установки використовувати спеціальне програмне забезпечення. І ось що ще слід пам'ятати. Уникайте використання токен до комп'ютера до того, як ви встановите драйвер. Якщо все ж підключення буде виконано раніше, зупиніть роботу стандартного майстра установки USB-пристроїв, витягніть ключ з порту і встановіть драйвер. Крім драйверів в процесі інсталяції на диск будуть скопійовані і утиліти для роботи з токеном (утиліта адміністрування і браузер сертифікатів). Кількість одночасно використовуваних токенов залежить від операційної системи і кількості USB-портів.

Електронний ідентифікатор Rutoken - персональне засіб аутентифікації і зберігання даних (сертифікатів в даному випадку). У ньому є апаратна реалізація російського стандарту шифрування. Цей токен також сумісний і з сертифікованими російськими криптопровайдерами від компаній "Кріпто-Про", "Анкад", "Сигнал-Ком".

Перш ніж приступити до налаштування корпоративної мережі та її ресурсів для роботи з токенами і цифровими сертифікатами, пропоную провести невелике тестування цього продукту, для чого отримати електронний сертифікат і підключити його для роботи з поштою, наприклад з поштовим клієнтом The Bat !.

Знову ж таки, щоб не розгортати в своїй мережі служби сертифікації (їх можна розгорнути тільки на серверних платформах), можна скористатися послугами тестових центрів, що засвідчують, наприклад тестовим центром сертифікації "Кріпто-Про" або тестовим центром сертифікації e-Notary компанії "Сигнал-Ком". Якщо ви вибрали останній, вам буде запропоновано спочатку познайомитися з "Угодою на виготовлення тестових сертифікатів підтверджуючий центр e-Notary". У разі згоди буде запропоновано вибрати варіант подачі запиту на виготовлення сертифікату: або шляхом передачі файлу з сформованим попередньо запитом, або шляхом генерації ключів і формування запиту вбудованими засобами браузера. Для простоти виберемо другий варіант.

Підключіть до USB-порту ваш токен. Зверніть увагу, що всі токени спочатку мають той самий PIN-код користувача - 12345678. Поки ви займаєтеся тестуванням, цей код можна не міняти, але при організації нормальної роботи краще, якщо ви його замініть, щоб ніхто інший не міг отримати доступ до вашого закритого ключа . (Саме закритий ключ використовується для формування підпису та розшифрування даних.) Для зміни коду скористайтеся програмою адміністрування. З її ж допомогою вашого токені можна привласнити і унікальне ім'я. Підключіть до USB-порту ваш токен

Вибравши варіант формування запиту через браузер, ви потрапите на сторінку, де вам буде потрібно заповнити про себе деякі дані (для тестових цілей вони не критичні, і обов'язковими є лише два поля - ім'я та поштову адресу). Далі - вибір параметрів ключової пари. Тут ви повинні вибрати зі списку криптопровайдер Aktiv Rutoken CSP v1.0 (можна взяти і будь-який інший, але ми ж тестуємо токен). Потім вибрати варіант використання ключів - для обміну даними, для їх підписи або для обох варіантів (вибирайте останній). Далі - вибір розміру ключа. Обраний на попередньому кроці криптопровайдер дозволяє формувати ключі довжиною від 512 до 16 384 байт. (Чим більше значення довжини ключа, тим менше ймовірність злому зашифрованих даних.) Вибравши варіант формування запиту через браузер, ви потрапите на сторінку, де вам буде потрібно заповнити про себе деякі дані (для тестових цілей вони не критичні, і обов'язковими є лише два поля - ім'я та поштову адресу)

З інших опцій рекомендую вибрати "Позначити ключ як експортований". У цьому випадку після його установки ви зможете створити резервну копію пари ключів та сертифікату і зберегти їх у вигляді файлу. Навіщо? На випадок втрати токена або його пошкодження. Решта опцій можна не зраджувати і далі запустити процес формування запиту. Після того як запит буде оброблений, ви зможете встановити сертифікат на комп'ютер. Зверніть увагу на наступний момент. Давайте відкриємо браузер сертифікатів (ми вже говорили, що він встановлюється разом з драйверами). Після того як ви сформуєте запит, на токені з'явиться новий контейнер з парою ключів. В параметрах ключа буде вказана його довжина, область застосування і значення відкритого (публічного) ключа. Після установки сертифіката інформація зміниться. У контейнері буде вже не тільки ключ, але і сертифікат з усім своїми характеристиками: ім'я власника, його поштову адресу, інша інформація, зазначена вами при формуванні запиту. Крім того що сертифікат буде поміщений на токен, він також буде встановлений в особисте сховище сертифікатів, де його можна буде переглянути через властивості браузера.

Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію. Подивимося, як це можна зробити в поштовому клієнті The Bat! (Про використання підпису та шифрування в MS Outlook докладно розказано в документації на даний продукт). Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію

Відкрийте властивості вашої поштової скриньки і на вкладці "Загальні відомості" клікніть по кнопці "Сертифікати". Відкриється стандартне вікно для перегляду сертифікатів. Переконайтеся, що отриманий вами сертифікат в тестовому УЦ доступний. Перейдіть на вкладку "Параметри". Тут можна відключити опцію "Авто - OpenPGP", залишивши лише "Авто - S / Mime". Крім того, відзначте опції, які ви хочете використовувати: "Підписати перед відправленням" і "Зашифрувати перед відправкою". Другу опцію краще не вибирати до тих пір, поки ви не обміняєтеся відкритими ключами з тими, з ким будете вести переписку з шифруванням.

Отже, якщо ви будете писати власне лист, то після того, як ви натиснете кнопку "Зберегти" або "Надіслати", буде викликаний діалог вибору сертифіката, на якому ви будете виконувати підпис. Зверніть увагу, що сертифікат прив'язаний до поштовою адресою. Тому, якщо поштова адреса, з якого ви пишете і відправляєте лист, відрізняється від того, що включено до сертифіката, поштовий клієнт не зможе підписати лист. Якщо адреси збігаються, лист буде підписано і відправиться вашому респонденту разом з сертифікатом і відкритим ключем. З їх допомогою ваш респондент зможе перевірити справжність підпису (чи не змінилося лист під час доставки) і переконатися, що саме ви підписали цей лист. Для того щоб використовувати цей сертифікат і ключ для шифрування листів на вашу адресу, ваш респондент повинен буде імпортувати отриманий сертифікат в сховищі. Аналогічним чином він надішле вам свій сертифікат, після чого ви зможете не тільки підписувати листи, а й шифрувати їх на адресу один одного. Отже, якщо ви будете писати власне лист, то після того, як ви натиснете кнопку Зберегти або Надіслати, буде викликаний діалог вибору сертифіката, на якому ви будете виконувати підпис

На цьому перевірку роботи з токеном можна вважати завершеною і переходити до налаштування мережі вашої організації і корпоративних додатків. Перше, з чого слід почати, - установка служби сертифікації Microsoft. З її допомогою ви будете виписувати сертифікати співробітникам, зберігати їх на токенах і видавати в роботу. Для зручності можна буде створити шаблони сертифікатів і використовувати їх.

Для використання цифрового підпису та шифрування поштових повідомлень необхідно буде виконати настройку поштових клієнтів. Для забезпечення доступу користувачів в домен за своїми сертифікатами потрібно видавати сертифікати типу "Користувач зі смарт-картою" чи "Вхід зі смарт-картою". Далі необхідно налаштувати облікові записи користувачів домену, встановивши в параметрах облікового запису прапор "Для інтерактивного входу в мережу потрібна смарт-карта".

Додаткові настройки потрібні і для створення захищеного підключення до веб-ресурсів організації (в документації наводиться приклад налаштування веб-ресурсу під керуванням IIS), можна налаштувати доступ за сертифікатами до термінального сервера, до мереж VPN. Ступінь захисту доступу в таких випадках істотно зростає.

В основному всі налаштування виконуються адміністратором мережі, настройка робочих місць вимагає значно менших зусиль. Тому впровадження системи апаратної аутентифікації, цифрового підпису та шифрування не становитиме особливих труднощів для співробітників. До того ж невелика і величина витрат по створенню такої системи. Для початку роботи цілком достатньо одного стартового комплекту, що включає посібник з впровадження, утиліти для роботи з токенами, драйвера і власне один електронний ідентифікатор Rutoken. Стартового комплекту досить, для того щоб провести всі необхідні настройки в мережі і підготуватися до переходу від звичайної парольного захисту до надійної двофакторної аутентифікації на основі Rutoken. Для такої міграції потрібно лише придбати необхідну кількість ідентифікаторів Rutoken.


Що забезпечується при використанні цього продукту?
Навіщо?
Що забезпечується при використанні цього продукту?
Навіщо?
Що забезпечується при використанні цього продукту?
Навіщо?
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью