Инструкция по установке и настройке Москва, 2006 Содержание Общие сведения. 3 1 Установка скзи "Верба ow - davaiknam.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
Инструкция по установке и настройке Москва, 2003 Содержание Общие... 1 79.14kb.
Инструкция по установке и настройке Установка Запустить файл setup exe 1 14.3kb.
Справочники скзи «Верба-Клиент» 1 25.31kb.
Инструкция по эксплуатации Москва 2011 г. Версия 0202 (07. 2011) 1 73.98kb.
Инструкция по установке установка системы asoft crm 1 53.99kb.
Инструкция по установке и настройке Голосового шлюза Grandstream... 1 22.94kb.
Инструкция по установке и настройке голосового шлюза Grandstream... 1 29.06kb.
Инструкция по созданию справочника открытых ключей Верба-ow версии... 1 32.43kb.
Инструкция по установке и настройке почтовой программы The Bat! 1 97.64kb.
Инструкция по эксплуатации содержание общие сведения 4 koмплект поставки 4 1 152.98kb.
Инструкция описывает процесс апгрейда библиотек криптозащиты Верба 1 9.94kb.
Установка программного обеспечения 1 88.11kb.
Направления изучения представлений о справедливости 1 202.17kb.

Инструкция по установке и настройке Москва, 2006 Содержание Общие сведения. 3 1 Установка - страница №1/1


Vcert002.doc



Электронной системы расчетов “Банк-Клиент”

Подсистема криптографической защиты информации

клиентского рабочего места

Инструкция по установке и настройке

Москва, 2006

Содержание



1. Общие сведения. 3

1.1 Установка СКЗИ "Верба OW". 4

1.2 Установка ПК “Справочник сертификатов” (ПК С). 4

1.3 Установка утилиты VSDK - vsdk.msi. 5

1.4 Установка утилиты командной строки - vcmdline.msi. 5

1.5 Генерация Абонентом ЭСР закрытых (секретных) криптографических ключей. 5

1.6 Отправка файла запроса на выпуск сертификата ключа электронной подписи средствами электронной почты Организатора ЭСР. 5

1.7 Включение сертификата ключа электронной подписи, сформированного Организатором ЭСР, в локальный справочник сертификатов (ПК С). 6

Приложение 1. Порядок работы с ПК С Абонента ЭСР при самостоятельной генерации закрытых (секретных) криптографических ключей. 7

Приложение 2. Порядок работы с ПК “Справочник сертификатов” при генерации закрытых (секретных) криптографических ключей Организатором ЭСР. 17

Приложение 3. Порядок настройки профилей для ПК “Справочник сертификатов”. 20




1.Общие сведения.


В данном документе описывается порядок установки и настройки Абонентом ЭСР клиентского рабочего места подсистемы криптографической защиты информации электронной системы расчётов «Банк-Клиент» (ПКЗИ ЭСР) при использовании технологии работы с сертификатами ключей электронной подписи.

Установка программных средств клиентского рабочего места ПКЗИ ЭСР выполняется с CD ROM. Дистрибутивный CD ROM включает:



  1. Дистрибутив Средств Криптографической Защиты Информации "Верба OW" (СКЗИ "Верба OW") (директория - [имя CD-ROM привода]:\ VCERT_MV.CLIENT\LIB.OW).

  2. Дистрибутив Программного комплекса “Справочник сертификатов” (далее по тексту ПК С) (директория - [имя CD-ROM привода]:\АРМ VCERT MV Клиент АКБ Евромет\volume13)

  3. Утилита VSDK - vsdk.msi (директория - [имя CD-ROM привода]:\ПАК VCERT MV\volume17).

  4. Утилита командной строки - vcmdline.msi (директория - [имя CD-ROM привода]:\ПАК VCERT MV\volume18).

  5. Документацию по установке, настройке и использованию программных средств клиентского рабочего места ПКЗИ ЭСР (директория - [имя CD-ROM привода]:\Doc).

  6. Обновлённые командных файлов для Системы «Клиент-Банк» ЭСР (директория - [имя CD-ROM привода]:\Quorum\QuickPay\System\)

Установка и настройка клиентского рабочего места ПКЗИ ЭСР включает следующие этапы:



  1. Установка СКЗИ "Верба OW" (СКЗИ "Верба OW").

  2. Установка ПК “Справочник сертификатов” (ПК С).

  3. Установка утилиты командной строки - vcmdline.msi.

  4. Генерация Абонентом ЭСР своих закрытых (секретных) криптографических ключей и формирование запроса на выпуск сертификата ключа электронной подписи на базе выданной Организатором ЭСР Лицензии регистрации ключа электронной подписи.

  5. Подпись руководством Абонента ЭСР предоставленных бланков Лицензии регистрации ключа электронной подписи; Абонента ЭСР ставит печать на 2 экземплярах Лицензии регистрации ключа электронной подписи.

  6. Отправка файла запроса на выпуск сертификата ключа электронной подписи средствами электронной почты Организатора ЭСР (с его последующей распечаткой в 2 экземплярах средствами ПК С).

  7. Руководству Абонента ЭСР подписывает распечатанный в пункте 5 запрос на выпуск сертификата ключа электронной подписи; Ставит печать Абонента ЭСР на 2 экземплярах.

  8. Включение сертификата ключа электронной подписи, сформированного Организатором ЭСР, в ПК С (с его последующей распечаткой в 2 экземплярах средствами ПК С).

  9. Распечатка в 2 экземплярах сертификата ключа электронной подписи, сформированного Организатором ЭСР средствами ПК С.

  10. Руководство Абонента ЭСР подписывает распечатанный в пункте 8 сертификат ключа электронной подписи, сформированного Организатором ЭСР; Ставит печать Абонента ЭСР на 2 экземплярах.

  11. Абонент ЭСР передаёт Организатору ЭСР 1 бланк лицензии регистрации ключа электронной подписи,

Примечание: Этапы 6 и 8 могут отсутствовать в случае генерации закрытых (секретных) криптографических ключей Абонента ЭСР Организатором ЭСР. В этом случае после установки ПК С необходимо только восстановить справочники на жестком диске с копии, находящейся на ключевой дискете (см. Приложение 2).

Замечание: СКЗИ "Верба-OW" и ПК С для своей работы требуют операционную систему MS Windows 98/NT/2000/XP. Возможна работа под MS Windows 95 (OSR2), но необходимо убедиться, чтобы все системные файлы имели данную версию. Мы не рекомендуем использовать операционную систему младше, чем MS Windows 2000 в связи с прекращением их поддержки со стороны разработчика. Установка указанного выше программного обеспечения должна проводиться пользователем, имеющим полномочия локального администратора для MS Windows NT/2000/XP.

После выполнения установки и настройки клиентского рабочего места ПКЗИ ЭСР пользователь может, после необходимых настроек системы криптозащиты, начинать работу с прикладным программным обеспечением (клиентским рабочим местом) электронной системы расчётов.



1.1Установка СКЗИ "Верба OW".


Порядок установки СКЗИ "Верба OW" описан в “ЯЦИТ.00018-02 90 07 СКЗИ “Верба”. Руководство по установке для ОС Windows NT, 2000, 95, 98”.

Для установки необходимо запустить программу SETUP.EXE из каталога [диск CD-ROM]:\VCERT_MV.CLIENT\LIB.OW\. В процессе установки потребуется ввести серийный номер продукта и ключ установки. Эта информация передается Организатором ЭСР в виде бумажного документа Абоненту ЭСР при получении программного обеспечения в Управлении Автоматизации АКБ «ЕВРОМЕТ» (ОАО).



Примечание: На одном ПК невозможна одновременная эксплуатация разных версий программного обеспечения СКЗИ "Верба OW".

Замечание: При установке СКЗИ "Верба OW" на русской версии Windows 2000 инсталляционная программа некорректно работает, если строка, задающая путь к каталогу для временных файлов, содержит длинные имена с наименованиями подкаталогов на русском языке (например, C:\Documents and Settings\Администратор\Local Settings\Temp). Поэтому перед запуском программы SETUP.EXE необходимо переназначить этот каталог (например: C:\Temp)

1.2Установка ПК “Справочник сертификатов” (ПК С).


Порядок установки ПК С описан в документе "ПРОГРАММНЫЙ КОМПЛЕКС «СПРАВОЧНИК СЕРТИФИКАТОВ» ДЛЯ ОС WINDOWS. РУКОВОДСТВО ПО УСТАНОВКЕ".

Для установки необходимо запустить программу SETUP.EXE из каталога [диск CD-ROM]:\АРМ VCERT MV Клиент АКБ Евромет\volume13. После завершения установки требуется произвести перезагрузку компьютера.



Примечание: В процессе установки на компьютер с MS Windows 95/98 возможно появление сообщения с выбором файла MSCREATE.DIR. Необходимо выбрать каталог, в который установлена система (по умолчанию - C:\Program Files\Validata\vpki).

1.3Установка утилиты VSDK - vsdk.msi.


Для установки необходимо запустить программу vsdk.msi из каталога [диск CD-ROM]:\VCERT_MV.CLIENT\ПАК VCERT MV\volume17 и следовать рекомендациям программы. После завершения установки требуется произвести перезагрузку компьютера.

1.4Установка утилиты командной строки - vcmdline.msi.


Для установки необходимо запустить программу vcmdline.msi из каталога [диск CD-ROM]:\VCERT_MV.CLIENT\ПАК VCERT MV\volume18 и следовать рекомендациям программы.

В результате установки созданный файл утилиты командной строки - vpki1utl.exe надо скопировать в директорию с прикладным программным обеспечением (клиентским рабочим местом) электронной системы расчётов.

Директория размещения после установки утилиты командной строки - vpki1utl.exe C:\Program Files\Validata\vpki\ ). После завершения установки требуется произвести перезагрузку компьютера

1.5Генерация Абонентом ЭСР закрытых (секретных) криптографических ключей.


Генерация Абонентом ЭСР своих закрытых (секретных) криптографических ключей осуществляется после установки СКЗИ "Верба-OW", ПК С, утилиты VSDK, утилиты командной строки и перезагрузки компьютера.

Генерация выполняется в процессе первого запуска ПК С в соответствии с разделом I Приложения 1 к данному документу.



1.6Отправка файла запроса на выпуск сертификата ключа электронной подписи средствами электронной почты Организатора ЭСР.


В процессе генерации Абонентом ЭСР своих закрытых (секретных) криптографических ключей производится создание запроса на выпуск сертификата в формате PKCS#10 (файл *.req). Указанный запрос подписан ключом регистрации, что исключает возможность его несанкционированного изменения, и поэтому может быть отправлен Организатору ЭСР по открытым каналам связи. Запрос сохраняется в процессе его формирования в виде файла на магнитном носителе. Запрос отправляется Организатору ЭСР по электронной почте в виде прикрепленного файла по адресу pki@euromet.ru с указанием в качестве темы почтового сообщения строки, состоящей из наименования организации и области действия сертификата (например, "Название_Клиента" - ЭСР "Банк-Клиент") или передается в Банк на транспортной дискете с этикеткой Запрос на сертификат Владелец ключа.

Примечание: Запрос представляет собой файл с именем типа

cn=Фамилия имя отчество,ou=0000085a,ou=bank-client,o=название организации,dc=euromet.reg.


1.7 Включение сертификата ключа электронной подписи, сформированного Организатором ЭСР, в локальный справочник сертификатов (ПК С).


После получения запроса на выпуск сертификата ключа электронной подписи, Организатор ЭСР создает сертификат и публикует его в сетевом справочнике.

Включение изготовленного сертификата ключа электронной подписи в локальный справочник сертификатов Абонента ЭСР осуществляется в соответствии с разделом II Приложения 1 к данному документу.


Приложение 1. Порядок работы с ПК С Абонента ЭСР при самостоятельной генерации закрытых (секретных) криптографических ключей.


В случае самостоятельной генерации закрытых (секретных) криптографических ключей Абонентом ЭСР последовательность его действий разбивается на 2 этапа:

  1. Генерация Абонентом ЭСР закрытых (секретных) криптографических ключей и отправка запроса на выпуск сертификата ключа электронной подписи Организатору ЭСР.

  2. Формирование локального справочника сертификатов и настройка профилей на рабочем месте Абонента ЭСР и Организатора ЭСР.


Раздел I. Генерация Абонентом ЭСР закрытых (секретных) криптографических ключей и отправка запроса на выпуск сертификата ключа электронной подписи Организатору ЭСР.

  1. Запустить ПК “Справочник сертификатов”.

(ПускПрограммыVCERT-MV Справочник сертификатов).

  1. Проинициализировать криптографический модуль и датчик случайных чисел на дискете с ключом и сертификатом регистрации.

  2. Выбрать профиль "По умолчанию". При первом запуске на экране появится диалоговое окно с настройками параметров справочника сертификатов:

Рекомендуется в качестве значения параметра информирования об истечении срока действия закрытых (секретных) ключей и сертификатов ("Для сертификатов") указывать не менее 60 дней.



  1. На экране появится сообщение:

Нажать на кнопку Нет.



Нажать на кнопку Ok.



Нажать на кнопку Да



  1. Файл с сертификатом регистрации находится на ключевой дискете с этикеткой Сертификат регистрации СКЗИ VCERT MV



  1. После выбора файла с сертификатом регистрации программа предложит Вам загрузить ключи с дискеты с ключом и сертификатом регистрации:





  1. После загрузки ключей на экране появится сообщение:



  1. Программа выдаст запрос на установку чистой дискеты для генерации закрытых (секретных) ключей Абонента ЭСР:

Нажать на кнопку Далее





ВНИМАНИЕ! После появления этого диалогового окна необходимо вставить в дисковод чистую отформатированную дискету, чтобы не испортить дискету с ключом регистрации.

  1. Затем на экране появится окно с параметрами генерируемого ключа (номер ключа необходимо записать для последующей записи на этикетке дискеты):



  1. После генерации ключей программа вырабатывает запрос на изготовление сертификата для сгенерированных ключей:



  1. Файл запроса на изготовление сертификата (*.req сохраняется по нажатию кнопки Экспорт) необходимо сохранить на жестком диске для последующей отправки Организатору ЭСР в виде прикрепленного файла по адресу pki@euromet.ru с указанием в качестве темы почтового сообщения строки, состоящей из наименования организации и области действия сертификата (например, "Название_Клиента" - ЭСР "Банк-Клиент").

  2. После сохранения файла запроса на экране появится сообщение:



ВНИМАНИЕ: Запишите идентификатор закрытого (секретного) ключа электронной подписи на этикетку ключевого носителя. При запуске ПК С и прикладного ПО, использующего криптографический модуль, данный идентификатор понадобится пользователю при определении требуемого ключевого носителя. Также запишите на этикетку строку, указанную выше в п.11 (например, "Название_Клиента" - ЭСР "Банк-Клиент"), ФИО владельца ключей и даты начала и окончания действия секретных ключей.

  1. Отправьте файл запроса на изготовление сертификата ключа электронной подписи (см. п.11) по электронной почте Организатору ЭСР. Администратор безопасности Организатора ЭСР после получения файла запроса на выпуск сертификата ключа электронной подписи в течение 2 х рабочих дней формирует сертификат ключа электронной подписи и размещает его в сетевом справочнике.

  2. Выполнить резервное копирование на дискету A:\SPR. (Сервис – Резервное копирование справочников).

Раздел II. Формирование локального справочника сертификатов и настройка профилей на рабочем месте Абонента ЭСР и Организатора ЭСР.

Изготовленный Организатором ЭСР сертификат ключа электронной подписи помещается в сетевой справочник. Для завершения подготовительных операций на рабочем месте Абонента ЭСР необходимо экспортировать сертификат из сетевого справочника в локальный справочник:



  1. Запустить ПК “Справочник сертификатов”.

(ПускПрограммыVCERT-MV Справочник сертификатов).

  1. Выбрать профиль "По умолчанию". Загрузить ключи с дискеты с ключом и сертификатом регистрации с этикеткой Сертификат регистрации СКЗИ VCERT MV.

  2. Выбрать строку доступа к сетевому справочнику сертификатов

ldap://pki.euromet.ru/DC=euromet

В появившемся списке сертификатов (справа) необходимо встать на строку, содержащую Ваш личный сертификат. По нажатию правой кнопки мышки выполнить «Экспорт в локальный справочник».



  1. Необходимо включить принадлежащий АКБ «ЕВРОМЕТ» (ОАО) сертификат ключа электронной подписи в локальный справочник сертификатов путем экспорта его из сетевого справочника. В сетевом справочнике сертификатов необходимо встать на строку с сертификатом АКБ «ЕВРОМЕТ» (ОАО). По нажатию правой кнопки мышки выполнить «Экспорт в локальный справочник.

Для Абонентов ЭСР и Организатора ЭСР, работающих в сети Интернет, никаких дополнительных настроек выполнять не надо. Доступ к сетевому справочнику осуществляется по 389 порту, соответственно этот порт должен быть "открыт" в используемых Абонентом ЭСР средствах защиты и телекоммуникации.



ВНИМАНИЕ! В случае отсутствия доступа к сетевому справочнику, альтернативным вариантом является получение сертификата Абонентом ЭСР по электронной почте с последующим импортом сертификата в локальный справочник.

(Пуск Программы VCERT-MV Справочник сертификатов "Импорт сертификата в локальный справочник").



  1. Перевести экспортированный в локальный справочник сертификат в статус "рабочего":

При этом программа попросит поставить Вашу ключевую дискету с самостоятельно сгенерированными секретными ключами, для того чтобы подписать персональный справочник сертификатов.



  1. После формирования локального справочника сертификатов необходимо выполнить резервное копирование справочника на Вашу ключевую дискету с секретными ключами, что обеспечит Вам возможность восстановления локального справочника в случае потери его на жестком диске или в случае необходимости организации работы на другом компьютере.

Перед выполнением резервного копирования на ключевой дискете необходимо создать каталог A:\SPR для хранения резервной копии локального справочника. Выполнить резервное копирование справочников на дискету в директорию A:\SPR.





  1. Далее необходимо дождаться подтверждающего сообщения об успешном копировании:

и убедиться, что в каталог A:\SPR были перенесены файлы *.PSE и *.GDBM.



  1. После этого обязательно надо создать резервную копию ключевой дискеты в соответствии с разделом 7.3.3 документации на ПК “Справочник сертификатов” и завершить программу.

Примечание. Ключевую дискету также можно скопировать путем копирования всей файловой системы ключевой дискеты на чистую дискету при помощи любого файлового менеджера). Перепишите на этикетку резервной дискеты всю информацию с этикетки дискеты-оригинала (см. п. 12 предыдущего раздела данного Приложения ).

  1. После выполнения перечисленных выше действий настройка ПК “Справочник сертификатов” считается выполненной. В случае работы на данном рабочем месте нескольких пользователей, имеющих собственные секретные ключи, или пользователей, имеющих сертификаты для разных областей действия, необходимо выполнить настройку профилей (см. Приложение 3).

Приложение 2. Порядок работы с ПК “Справочник сертификатов” при генерации закрытых (секретных) криптографических ключей Организатором ЭСР.


  1. Запустить ПК “Справочник сертификатов”.

(ПускПрограммыVCERT-MV Справочник сертификатов).

  1. Проинициализировать криптографический модуль и датчик случайных чисел дискетой с изготовленными Организатором ЭСР криптографическими ключами.

  2. Выбрать профиль "По умолчанию". При первом запуске на экране появится диалоговое окно с настройками параметров справочника сертификатов:

Рекомендуется в качестве значения параметра информирования об истечении срока действия закрытых (секретных) ключей и сертификатов ("Для сертификатов") указывать не менее 60 дней.



  1. На экране появится сообщение:



  1. Необходимо ответить "Да" и в качестве каталога для восстановления справочников указать A:\SPR:



  1. На экране появится сообщение:



  1. Необходимо еще раз запустить ПК “Справочник сертификатов”

(ПускПрограммыVCERT-MV Справочник сертификатов).

  1. Выбрать профиль "По умолчанию". Загрузить ключи с дискеты с изготовленными Организатором ЭСР криптографическими ключами и убедиться, что с данного компьютера доступен сетевой справочник сертификатов:



ВНИМАНИЕ! Для Абонентов ЭСР и Организаторов ЭСР, работающих в сети Интернет, никаких дополнительных настроек выполнять не надо. Доступ к сетевому справочнику осуществляется по 389 порту, соответственно этот порт должен быть "открыт" в используемых средствах защиты и телекоммуникации.

  1. После выполнения перечисленных выше действий настройка ПК “Справочник сертификатов” считается выполненной. В случае работы на данном рабочем месте нескольких пользователей, имеющих собственные секретные ключи, или пользователей, имеющих сертификаты для разных областей действия, необходимо выполнить настройку профилей (см. Приложение 3).


Приложение 3. Порядок настройки профилей для ПК “Справочник сертификатов”.


Для обеспечения возможности работы на одном компьютере нескольких пользователей, имеющих собственные секретные ключи, или пользователей, имеющих сертификаты для разных областей действия, в ПК “Справочник сертификатов” реализована поддержка профилей, позволяющая выбирать рабочий локальный справочник для загружаемых секретных ключей. Порядок настройки профилей для ПК “Справочник сертификатов” выглядит следующим образом:

  1. Запустить ПК “Справочник сертификатов”

(ПускПрограммыVCERT-MV Справочник сертификатов).

Запуск ПК “Справочник сертификатов” необходимо выполнить только под существующим профилем (пример под профилем Test2).

Появится окно с диалогом выбора профиля:



  1. Далее необходимо нажать кнопку Ok для входа в программу.

Для добавления профиля надо нажать Настройки / Настройка профилей.

Появляется окно.



Нажать кнопку "Добавить".



Для настройки нового профиля ввести:

 в поле Имя профиля - название организации и шестнадцатеричное значение номера клиента, указанное на этикетке дисткеты (для соответствия сертификатов и ключей выбранной организации).

 в поле Путь к справочникам – указать рабочую директорию, в которой будет размещен локальный справочник (Пример для директории C:\!BACKUP!\vcs_00000.

Для изменения настроек или добавления последующих (новых) профилей необходимо в новом окне ввести данные для редактируемого профиля (например):

Нажать кнопку Ok.



ВНИМАНИЕ! Каталог, который указывается в поле "Путь к справочникам", предварительно должен быть создан на диске (до запуска программы) при помощи любого файлового менеджера.

  1. Повторить пункт 3 необходимое количество раз (для необходимого числа пользователей).

  2. Войти в ПК “Справочник сертификатов” с требуемым профилем и затем завершить программу.

ВНИМАНИЕ! В процессе дальнейшей работы при выборе необходимого профиля в первый раз программа попросит восстановить справочники (копия справочников, как правило, находится на ключевой дискете с секретными криптографическими ключами в каталоге A:\SPR). Либо администратор должен сам скопировать файлы локальных справочников (*.PSE и *.GDBM) в персональные каталоги, указанные при настройке профилей.

© АКБ "ЕВРОМЕТ" (ОАО)





Кто дает вдвойне, пусть дает быстро. Янина Ипохорская
ещё >>