Инструкция по генерации ключей для систем

реклама
Филиал «Газпромбанк» (Открытое акционерное общество) в г. Томске
Инструкция по генерации ключей
для систем электронного документооборота
с использованием средств криптографической защиты информации
Message Pro
1. Общие сведения
1.1. Для генерации ключей подписи в корпоративной информационной системе Филиала «Газпромбанк» (Открытое
акционерное общество) в г. Томске применяется программа Admin-PKI (разработчик ЗАО «Сигнал-Ком») с
сервисной оболочкой «Генерация ключей».
1.2. Настоящая инструкция представляет собой пошаговое описание действий пользователя, результатом которых
является:
1) установка программы «Генерация ключей» (Admin-PKI v4);
2) генерация ключей подписи;
3) формирование запроса на сертификат в электронном виде и на бумажном носителе.
Кроме настоящей инструкции, информацию по работе с программой Admin-PKI Вы можете получить,
воспользовавшись встроенным файлом помощи (меню «Сервис Admin-PKI» - > F1).
В инструкции применяется терминология в соответствии с Договором об использовании документов в
электронной форме.
2. Установка программы «Генерация ключей» (Admin-PKI v4)
Внимание! При возникновении ситуаций, не описанных в настоящей инструкции, следует связаться с
Отделом информационных технологий Филиала «Газпромбанк» (Открытое акционерное общество) в г.
Томске по тел. 79-10-10.
2.1.
Инсталляционный пакет программы «Генерация ключей» (Admin-PKI v4) состоит из самораскрывающегося
архива.
2.2.
Для установки программы запустите файл инсталяционного пакета и выполните действия, предлагаемые
программой. После успешного завершения установки на экране появится окно программы «Генерация ключей»
(Admin-PKI v4) (рис.1):
Рис. 1
Также на рабочем столе Вашего компьютера будут выведены ярлыки «Генерация ключей (Ф-л ГПБ (ОАО) в г.
Томске)» и «Инструкция по генерации ключей».
3. Формирование ключей подписи и запроса на сертификат
Внимание! При возникновении ситуаций, не описанных в настоящей инструкции, следует связаться с
Отделом информационных технологий Филиала «Газпромбанк» (Открытое акционерное общество) в г.
Томске по тел. 79-10-10.
Для формирования ключа ЭЦП/шифрования Вам понадобится съемный носитель (дискета, флэш-диск).
Компьютер, на котором будет происходить генерация ключей, должен иметь порт (устройство) для установки
данного съемного носителя.
Генерация ключей на локальный или сетевой диск крайне нежелательна из соображений информационной
безопасности.
Описанная в настоящем разделе процедура (п. 3.1. – 3.3.) повторяется столько раз, сколько ключей
необходимо сформировать:
Ключи ЭЦП формируются для каждого должностного лица организации, имеющего право подписывать
электронные документы (официальные и служебные) (см. Договор об использовании документов в электронной
форме).
Ключ шифрования формируется один в случае установки системы «Банк-Клиент».
В системе «Интернет-Клиент» функцию шифрования выполняет ключ ЭЦП. Поэтому, если Вы выбрали для
установки систему «Интернет-Клиент», то ключ шифрования формировать не требуется.
2
Ключи следует генерировать на отдельных носителях либо в разных ключевых каталогах.
Программа «Генерация ключей» (Admin-PKI v4) обеспечивает автоматическое создание именных ключевых
каталогов на выбранном носителе при каждом выполнении процедуры генерации ключей.
3.1.
Шаг 1 - Генерация ключей
Для генерации ключа ЭЦП или шифрования выберите соответствующую задачу из главного меню программы:
«Сформировать ключ ЭЦП» или «Сформировать ключ шифрования».
Далее, заполните параметры запроса на сертификат для соответствующего ключа (Рис. 2, 3):
- для ключа ЭЦП:
Рис. 2
- для ключа шифрования:
Рис. 3
Все поля формы заполняются полностью, без сокращений, на русском языке в строгом соответствии с их
заголовками, как показано на рис. 2, 3. Например, в поле город необходимо указывать «Томск», а не «г. Томск».
При отклонении от данных правил запрос на сертификат сформируется в ненадлежащем виде.
Исключение составляют:
1) поле «Страна» - заполняется латинскими буквами. Для России – всегда RU;
2) поле «Адрес эл. почты» - заполняется латинскими буквами;
3) поле «Подразделение» - не является обязательным.
После заполнения параметров запроса нажмите кнопку «Продолжить».
Установите съемный ключевой носитель и укажите его в качестве устройства для размещения ключей,
нажмите ОК (рис. 4).
Генерация ключей на локальный или сетевой диск крайне нежелательна из соображений информационной
безопасности.
Рис. 4
3
На предложение «Установите инициализационный или пустой ключевой носитель СКЗИ» - нажмите ОК,
так как ключевой носитель уже установлен.
Если далее Вы получите окно, приведенное на рис. 5, то следует нажать «Нет», в дисковод вставить чистый
носитель (выбрать пустой каталог/папку) и начать генерацию ключа с выбора ключевого носителя (рис.4).
(Напоминаем, что ключи нужно генерировать на отдельных носителях либо в разных ключевых каталогах).
Рис. 5.
Далее выполните инициализацию датчика случайных чисел, последовательно нажимая клавиши на клавиатуре
либо перемещая курсор мыши в пределах окна датчика случайных чисел (рис. 6).
Рис. 6
По завершении инициализации датчика случайных чисел программа выполнит генерацию ключей, запишет их
на ранее выбранный носитель в именную ключевую директорию и перейдет к формированию запроса на
сертификат (шаг 2).
3.2.
Шаг 2 – формирование запроса на сертификат
На предложение установить ключевой носитель, для которого формируется запрос сертификата (рис. 7)
нажмите кнопку ОК (поскольку в дисководе уже находится носитель с ключом, для которого требуется
сформировать запрос на сертификат):
Рис. 7
Файл с запросом на сертификат записывается на носитель, где находятся ранее сформированные ключи –
нажмите ОК (рис. 8):
Рис. 8
На носитель (в выбранный ранее каталог/папку) будет записан файл запроса на сертификат с именем
владельца ключа подписи и расширением PEM (при формировании запроса на сертификат ключа шифрования
файлу запроса присваивается имя Шифрование.pem).
После вывода сообщения об окончании генерации ключей программа перейдет к выполнению действий по
печати сертификата (шаг 3).
3.3.
Шаг 3 - Печать запроса на сертификат
На вопрос (если таковой возникнет):
нажмите «Нет».
Рис. 9
4
Далее, при запросе программы о печати запроса на сертификат и использовании шаблона следует нажать
«ДА» (рис. 10, 11):
Рис. 10
Рис. 11
Далее, для распечатки сертификата нажмите «Печать» (рис. 12) и установите параметр «Число копий»
равным 3 -> ОК:
Рис. 12
После распечатки запроса на сертификат необходимо вручную заполнить некоторые его реквизиты (в
частности паспортные данные владельца сертификата ключа ЭЦП).
Печатная форма запроса на сертификат может быть получена по ранее подготовленному файлу запроса
(*.pem). Для этого выполните следующие действия:
1) выберите меню «Сервис ADMIN-PKI» -> меню «Файл» -> пункт «Шаблоны для печати»
2) в строке «Шаблон для печати запроса сертификата» (рис. 13) укажите адрес файла с нужным
шаблоном запроса на сертификат.
Рис. 13
3)
3.4.
Файлы с шаблонами располагаются в каталоге установки программы «Генерация ключей» (Admin-PKI v4)
и имеют имя REG*.tpl
Для распечатки запроса на сертификат ключа ЭЦП выберите файл шаблона REG1.tpl.
Для распечатки запроса на сертификат ключа шифрования выберите файл шаблона REG2.tpl.
выполните действия: меню «Файл» -> «Просмотр и печать» -> «Запроса» -> укажите адрес нужного
файла запроса на сертификат (файл с расширением pem) -> Сохранить в буфер обмена запрос на
сертификат? -> Нет -> Использовать шаблон для просмотра и печати? -> Да -> Печать -> Число
копий=3 -> ОК.
Для генерации следующего ключа повторите действия, изложенные в п.п. 3.1. – 3.3. настоящего раздела.
3.5. Взаимодействие с Удостоверяющим центром банка
3.5.1. По окончании генерации ключей, сформированные файлы запросов на сертификаты ключей ЭЦП для
должностных лиц Вашей организации и ключа шифрования (т.е. только файлы с расширением pem) следует
5
отправить по электронной почте на адрес tf_cert@gpb.tomsknet.ru или передать в Банк на отдельном
носителе.
Внимание!!! - Файлы, программно созданные на ключевом носителе, кроме файлов с расширением
PEM, образуют секретные ключи ЭЦП/шифрования и не подлежат передаче третьим лицам (в т.ч.
Банку). Они должны хранится в режиме, исключающем доступ неуполномоченных лиц. Секретные
ключи ЭЦП/шифрования понадобятся в дальнейшем при Вашей работе в системах «Банк-Клиент»,
«Интернет-Клиент».
В Банк наряду с файлами запросов на сертификаты открытых ключей (*.pem) должны быть переданы
соответствующие Заявления на регистрацию и изготовление сертификатов, оформленные на бумажном
носителе в 3-х экземплярах (п.3.3.).
3.5.2. После регистрации ключей в Удостоверяющем центре банка Вам будут направлены файлы сертификатов
ключей ЭЦП/шифрования на дискете или по каналам связи. Имена файлов сертификатов ключей имеют
формат cert_*****.pem, где ***** - порядковый номер файла.
Файл сертификата ключа ЭЦП, принадлежащий конкретному владельцу ЭЦП необходимо записать на его
рабочий и резервный ключевой носитель. Данное действие выполните для всех сертификатов ключей ЭЦП.
Файл сертификата ключа шифрования сохраняется на отдельной дискете. В момент установки системы
специалистами банка передайте им эту дискету для прописывания ключа шифрования организации.
4. Формирование резервной копии ключевой дискеты
Внимание! При возникновении ситуаций, не описанных в настоящей инструкции, следует связаться с
Отделом информационных технологий Филиала «Газпромбанк» (Открытое акционерное общество) в г.
Томске по тел. 79-10-10.
Для осуществления резервного копирования ключевой дискеты выберите:
меню «Сервис ADMIN-PKI» -> меню «Файл» –> «Копирование ключей СКЗИ».
В качестве каталога рабочего ключевого носителя следует указать носитель (каталог), на котором находятся
сгенерированные ключи. В качестве резервного ключевого носителя следует указать носитель (каталог), на
который будет скопирована ключевая информация (рис.14):
Рис. 14
Далее необходимо установить рабочий (!) ключевой носитель и выбрать OK (рис. 15):
Рис. 15
Затем вставить чистый носитель для резервной копии ключа и выбрать OK (рис. 16):
Рис. 16
После успешного копирования ключей СКЗИ будет выдано соответствующее уведомление (ОК).
6
5. Документы по управлению ключевой информацией
В ходе эксплуатации системы электронного документооборота может возникнуть потребность аннулировать,
приостановить, возобновить действие сертификатов ключей ЭЦП/шифрования.
Для этого необходимо оформить соответствующее заявление на бумажном носителе и предоставить его в
Удостоверяющий центр Банка (см. Приложение 7 к Договору об использовании документов в электронной
форме).
Бланк заявления Вы можете получить по адресу www.gpb.tomsknet.ru -> Услуги - > Система «Банк-Клиент» ->
Бланки некоторых документов.
Заявление об аннулировании, приостановлении, возобновлении сертификата ключа ЭЦП/шифрования
предоставляются в Банк только на бумажном носителе.
6. Компрометация секретного ключа
При компрометации секретного ключа пользователь обязан немедленно сообщить об этом в Удостоверяющий
центр Филиала «Газпромбанк» (Открытое акционерное общество) в г. Томске по тел. 79-10-10.
Скачать