Автоматическое обновление сертификатов в DIRECTUM или как упростить жизнь администратору
Совсем недавно перед нами встала задача автоматизации процесса обновления сертификатов для пользователей DIRECTUM. Само по себе обновление сертификата процесс не сложный, если есть четкая инструкция и немного опыта в данной области. Но этот процесс состоит из нескольких этапов рассчитанных на выполнение разными пользователями, на разных компьютерах сети, с необходимостью установки в систему DIRECTUM, в локальное хранилище или на личное средство аутентификации. При таком многообразии важных моментов данного процесса возникает множество вопросов связанных с разграничением прав, контролем выдачи сертификатов, установкой сертификата в систему DIRECTUM и пр. Кроме того, создание запроса в центр сертификации и последующая установка сертификата в локальное хранилище должна выполняться пользователем, а это требует специальных знаний. В противном случае выполнять данные действия приходится администратору, непосредственно с компьютера пользователя.
Для упрощения этого процесса и автоматизации основных моментов было разработано техническое решение «Автоматическое обновление сертификатов в DIRECTUM». В результате использования технического решения процесс получения сертификата для работы в системе DIRECTUM значительно упрощается и становится более понятным. Схема процесса приведена на рисунке.
Техническое решение предоставляет следующие возможности:
- отслеживание сертификатов, срок действия которых подходит к концу и автоматический запуск типового маршрута для их обновления;
- автоматическое составление запроса в центр сертификации на основе данных пользователя, хранящихся в системе;
- ручной запуск типового маршрута для получения нового сертификата;
- автоматическая установка сертификата на персональное средство аутентификации eToken или в локальное хранилище пользователя;
- автоматическая установка сертификата в систему DIRECTUM для указанного пользователя.
Само по себе техническое решение является конечным и готовым к использованию решением, но возможность изменяться определенной части разработки под нужды конкретной организации так же остается. Так, например процесс согласования выдачи сертификата может быть сокращен или наоборот, могут быть добавлены необходимые инстанции характерные для определенной организации.
В целом, данное техническое решение должно значительно облегчить жизнь администратору ответственному за обновление сертификатов в DIRECTUM и свести к минимуму все вопросы и возможные проблемы, связанные с получением и установкой сертификата пользователя, не обладающего специальными знаниями в данной области.
Более подробное описание технического решения можно посмотреть на соответствующей странице сайта DIRECTUM.ru Автоматическое обновление сертификатов в DIRECTUM.
Можно узнать подробнее как происходит автоматическая установка сертификата на персональное средство аутентификации eToken или в локальное хранилище пользователя? Как обеспечивается безопасность этого процесса (чтобы "налево" не ушел сертификат)?
Установка сертификата в локальное хранилище происходит посреством встроенной утилиты Certreq. Установка на личное средство аутентификации осуществляется драйверами соответствующего устройства, в нашем случае eToken, при установке в локальное хранилище пользователя.
Т.е. специальных средств для переноса сертификата нет. Техническое решение предусматривает, лишь установку сертификата в локальное хранилище пользователя используя стандартные средства Windows, а перенос закрытого ключа осуществляется драйверами соответствующего устройства.
Данное решение может быть доработано для работы на версии системы 4.6.1?
В требованиях указана работоспособность только на платформе 4.7.
Решение очень интересное, но хотелось бы видеть данный функционал в стандартной поставке. Лишний аргумент в разговоре с админами клиента, чтобы выбор пал именно на эту систему.
Дима, оно же бесплатное. Чем тебе не аргумент? Я думаю, что по возможности не надо загромождать пустую базу тем, что может быть востребовано, а может быть и нет. Если надо - всегда можно запросить и поставить. Так же как с "Управлением персональными данными".
Спасибо за разъяснения. Чтобы получить решение для тестирования надо обращаться в техподдержку?
Да, что бы получить ТР необходимо отправить письмо в техподдержку на support@directum.ru.
А почему бы сразу его в свободный доступ не выложить? Зачем нужна вся эта канитель с лишними запросами в техподдержку?
Прежде всего для учета тех, у кого установлено. Полезно при запросе обновления. Но подумаем над этим, возможно техническими средствами сейчас можно это сделать (проверять по логину кто скачал с сайта поддержки).
Коллеги, про 4.6.1 спросили, а кто-нибудь уже протестировал? :)
Дмитрий, пока никто не тестировал на совместимость с DIRECTUM 4.6.1. Вы можете сами запросить, через службу поддержки, данное техническое решение и опробовать его на тестовой системе. Благо оно бесплатное.
Еще раз повторюсь, но скажу... Вполне возможно, что решение будет работать корректно на DIRECTUM 4.6.1 и не потребует дополнительной доработки.
Денис, спасибо, сделал запрос на получение решения, выделим время на его тестирование, напишу по результатам.
Большое спасибо за решение. Особенно ценно для многопользовательских систем. Но при тестировании получил ошибку.
Если в ЦС в настройках агента восстановления установлена опция архивирования ключей, то при запросе сертификата получает ошибку: "В запросе отсутствует требуемый закрытый ключ для архивации сервером. 0х80094804"
Ну и для развития решения предлагаю рассмотреть возможность распространения закрытого ключа в локальные хранилища пользователя на несколько рабочих мест (например при подключениях с работы и из дома). Кроме того могу предположить, что если для пользователя зарегистрировать 2 однотипных сертификата, то с автоматическим обновлением тоже возникнуть проблемы.
А какие шаблоны надо вводить в настройках? где их посмотреть?
посмотрите вот эту тему http://club.directum.ru/forum/topic3490-win-2012-server-%D1%88%D0%B0%D0%B1%D0%BB%D0%BE%D0%BD%D1%8B-%D1%8D%D1%86%D0%BF-%D1%88%D0%B0%D0%B1%D0%BB%D0%BE%D0%BD-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F.aspx
уже смотрел)) просто там нет ответа где расположены шаблоны на winsows server 2012(( а то что писали для 2008 сервера на 2012 нету((
настроила на шаблон User, выходит ошибка "Состояние сертификата не определено"(( В чем может быть проблема?
Татьяна, вам удалось решить проблему?
Авторизуйтесь, чтобы написать комментарий