Інформація для Клієнтів СЕД про порядок роботи з СКЗИ «Континент АП»
Абонентський пункт є спеціалізованим програмним забезпеченням. яке встановлюється на робочих місцях віддалених користувачів для організації їх доступу до ресурсів мережі, що захищається (VPN).
Абонентський пункт забезпечує:
• встановлення захищеного з'єднання і обмін даними з сервером доступу (алгоритм шифрування ГОСТ);
• обопільну аутентифікацію з сервером доступу в процесі установки захищеного з'єднання за допомогою технології сертифікатів відкритих ключів стандарту x509v3;
• захищене з'єднання з сервером доступу по протоколу UDP;
• доступ до ресурсів VPN при встановленні з'єднання з СД;
• необхідний функціонал для роботи з сертифікатами відкритих ключів;
• протоколювання підключень до сервера доступу в журналі з'єднань;
• відображення записів журналу з'єднань і управління ними;
• фільтрацію всього вхідного і вихідного IP-трафіку засобами вбудованого МСЕ.
2. Вимоги до апаратного та програмного забезпечення
Абонентський пункт призначений для використання на комп'ютерах, оснащених процесорами сімейства INTEL X86 або сумісними з ними. Вимоги до конфігу-рації комп'ютерів наведені в Табл. 1.
Табл. 1. Вимоги до конфігурації комп'ютера
MS Internet Explorer версії 6.0 або вище
На комп'ютері повинні бути встановлені компоненти операційної системи, що забезпечують роботу з мережевими протоколами TCP / IP.
3.Соедіненіе з Сервером Доступу АПКШ «Континент-К»
При роботі з АП версії 3. 2 і вище використовуються наступні порти
Обмін повідомленнями між сервером доступу і абонентським пунктом
АПКШ Континент 3.02.21 і більш пізні версії
Увага! Доступ через проксі-сервер абонентський пункт не підтримує.
3.1. Перевірка можливості з'єднання абонентського пункту з сервером доступу здійснюється за допомогою утиліти ChennelChecker. exe.
3.1.1.Запустіть на абонентському пункті утиліту ChennelChecker. exe.
Особливості роботи АП (Абонентського пункту)
3.2. Установку і видалення АП повинен здійснювати користувач, наділений правами локального адміністратора даного комп'ютера.
3.3. При установці / налаштування АП кореневий сертифікат, на якому підписано сертифікат користувача, повинен бути встановлений в сховище довірених сертифікатів користувача.
4.Установка Континент АП
Для установки Абонентського пункту:
4.1. Увійдіть в систему з правами адміністратора.
4.2. Закрийте всі програми, що виконуються на комп'ютері.
4.3. Запустіть на виконання файл Setup. exe, що знаходиться в каталозі з дистрибутивом Абонентського пункту.
Програма установки почне виконання підготовчих дій, і на екрані з'явиться повідомлення про це. Після завершення підготовчих дій на екрані буде виведено стартовий діалог майстра установки.
4.4. Натисніть кнопку «Далі>», щоб завершити встановлення.
На екрані з'явиться діалог, що містить ліцензійну угоду на використання програмного продукту.
4.5. Прочитайте ліцензійну угоду і натисніть кнопку «Далі>»
На екрані з'явиться діалог вибору папки для розміщення файлів програми.
4.6. Натисніть кнопку «Далі>».
На екрані з'явиться діалог для вибору типу установки
Рекомендується вибрати пункт «Вибіркова» і відключити установку міжмережевий екран
4.7. Натисніть кнопку «Далі>»
На екрані з'явиться діалог з інформацією про те, що програма установки готова приступити до установки
4.9. Натисніть кнопку «Встановити», щоб розпочати встановлення.
В процесі установки на екрані будуть з'являтися повідомлення про те, що встановлюється програмне забезпечення не пройшло перевірку на сумісність з операційною системою. У вікні таких повідомлень слід натискати кнопку «Все одно продовжити»
Після закінчення копіювання на екрані з'явиться заключне вікно майстра установки.
4.10. Натисніть кнопку «Готово» і увійдіть або комп'ютер.
Після установки Абонентського пункту і перезавантаження комп'ютера:
4.11. в елементі управління Windows "Панель керування \ Мережеві підключення" з'явиться нове підключення «Континент-АП»
4.12. в меню "Всі програми" головного меню Windows з'явиться підменю "Інформзахист \ Абонентська пункт Континент"
4.13. на панелі завдань Windows з'явиться піктограма Абонентського пункту.
5.Работа з Сертифікатами.
Для створення захищеного з'єднання між Абонентським пунктом і сервером доступу користувачеві Абонентського пункту необхідно отримати у адміністратора безпеки і зареєструвати на своєму комп'ютері такі сертифікати:
5.1. сертифікат користувача Абонентського пункту;
5.2. сертифікат кореневого центру сертифікації, який засвідчує сертифікат користувача.
Пояснення. Крім сертифікатів користувач повинен мати ключовий носій, в якому міститься ключовий контейнер з закритим ключем сертифікату користувача.
Залежно від вказівок адміністратора безпеки користувач Абонентського пункту може отримати сертифікати двома способами:
• адміністратор безпеки передає користувачеві Абонентського пункту сертифікат разом з ключовим носієм, на якому зберігається закритий ключ сертифіката користувача.
• на вимогу адміністратора безпеки користувач Абонентського пункту створює на своєму комп'ютері запит на отримання сертифіката користувача. Запит створюється засобами Абонентського пункту. Одночасно із запитом буде створений закритий ключ сертифіката користувача. Створений запит на отримання сертифіката користувач передає адміністратору безпеки, а закритий ключ зберігає у себе. На підставі отриманого від користувача запиту адміністратор створює сертифікат користувача і передає його користувачеві разом з сертифікатом кореневого центру сертифікації.
6.Созданіе запиту на отримання сертифіката користувача.
6.1. Викличте контекстне меню піктограми Абонентського пункту, розташованої на панелі завдань Windows (натиснути праву кнопку миші)
6.2. В меню «Сертифікати» активуйте команду «Створити запит на власний сертифікат».
На екрані з'явиться діалогове вікно запиту сертифіката.
6.3. Вкажіть достовірні відомості про себе в полях групи «Параметри сертифіката користувача»
6.4. У групі «Файли для збереження запиту на сертифікат» вкажіть шлях куди необхідно зберегти запит на сертифікат.
6.5. В поле «Паперова форма» встановити позначку, і вказати шлях для збереження файлу заявки на сертифікат.
6.6. Після натискання кнопки «ОК» на Еран з'явиться діалог КріптоПро CSP з перерахуванням тих ключових носіїв, на яких може бути збережена ключова інформація
Примітка. Що стосується зміни КріптоПро CSP з одним видом ключового носія дане вікно не відображається.
6.7. У списку «Пристрої» виберіть пристрій для запису ключової інформації і пред'явіть ключовий носій.
КріптоПро CSP приступить до створення закритого ключа сертифіката користувача. Далі необхідно слідувати інструкціям, що з'являються на екрані.
Після успішного створення ключів і записи закритого ключа на ключовий носій на екрані з'явиться діалог для введення пароля доступу до ключового контейнера.
Пояснення. За допомогою пароля обмежується доступ до ключової інформації.
6.9. Заповніть поля діалогу і натисніть «ОК», на екрані з'явиться повідомлення про завершення створення запиту.
6.10. Далі необхідно оформити паперову форму запиту на сертифікат і разом з електронною формою запиту на сертифікат передати адміністратору безпеки Сервера доступу.
7. Реєстрація сертифікатів.
Користувач Абонентського пункту отримує від адміністратора безпеки
сертифікат користувача і сертифікат кореневого центру сертифікації. (Файли user. Cer, root. P7b) Ці сертифікати необхідно зареєструвати в сховище сертифікатів на комп'ютері, на якому встановлений Абонентська пункт. Реєстрація сертифікатів здійснюється в наступному порядку. Засобами Абонентського пункту виконується реєстрація сертифіката користувача. Потім в сховище сертифікатів електронний блок робить пошук кореневого сертифіката для щойно зареєстрованого сертифіката користувача. Якщо кореневий сертифікат вже був зареєстрований і дійсний, то процедура
припиняється. Якщо кореневий сертифікат не найден (не був зареєстрований або потрапив в список відкликаних сертифікатів), то на екран виведеться пропозицію виконати його реєстрацію. Таким чином, реєстрація кореневого сертифіката здійснюється спільно з реєстрацією сертифіката користувача. Окрема реєстрація кореневого сертифіката засобами Абонентського пункту не проводиться.
7.1. Викличте контекстне меню піктограми Абонентського пункту, розташованої на панелі завдань Windows.
7.2. В меню «Сертифікати» активуйте команду «Встановити сертифікат користувача».
На екрані з'явиться стандартне діалогове вікно Windows для роботи з файлами.
7.3. Виберете файл сертифіката користувача (user. Cer) і натисніть кнопку «Відкрити».
На екрані з'явиться діалог вибору ключового контейнера для читання закритого ключа сертифіката користувача.
7.4. Виберіть потрібний ключовий контейнер і натисніть кнопку «ОК» .На екрані з'явиться запит пароля доступу до обраного ключового контейнера.
7.5. Заповніть поле «Пароль» і натисніть «ОК».
У тому випадку, якщо в сховище сертифікатів на комп'ютері відсутня кореневий сертифікат, який підтверджує зареєстрований сертифікат користувача, на екрані з'явиться запит на його установку:
7.6. Для реєстрації кореневого сертифіката натисніть кнопку «Так, автоматично».
Буде проведений автоматичний пошук кореневого сертифіката в папці де зберігається сертифікат користувача. На екрані з'явиться повідомлення системи безпеки Windows про те, що зараз буде виконана реєстрація кореневого сертифіката.
7.7. Натисніть кнопку «Так», якщо ви згодні зареєструвати даний сертифікат.
Кореневий сертифікат буде зареєстрований. На екрані з'явиться повідомлення про завершення реєстрації сертифіката користувача.
7.8. Натисніть кнопку «ОК».
8. З'єднання з сервером доступу.
Перед підключенням до сервера доступу підключіть до зчитувача ключовий носій із закритим ключем вашого сертифіката користувача.
8.1. Викличте контекстне меню піктограми Абонентського пункту, розташованої на панелі завдань Windows.
8.2. В меню «Встановити / розірвати з'єднання» активуйте команду з назвою потрібного підключення (за замовчуванням «Континент-АП»).
На екрані з'явиться діалог вибору сертифіката.
Якщо підключення до даного сервера доступу виконується вперше, на екрані з'явиться повідомлення, що пропонує додати в список дозволених для підключення серверів ім'я сервера доступу і кореневий сертифікат центру сертифікації.
8.3. Натисніть «Так» у вікні повідомлення.
У разі успішного підключення до сервера доступу на панелі завдань Windows піктограма Абонентського пункту поміняє колір на синій.
Для розриву з'єднання з сервером доступу:
8.4. Викличте контекстне меню піктограми Абонентського пункту, розташованої на панелі завдань Windows.
8.5. В меню «Встановити / розірвати з'єднання» активуйте команду «Розірвати з'єднання Континент-АП».
З'єднання з сервером доступу буде розірвано. На панелі завдань Windows піктограма Абонентського пункту поміняє колір на сірий.