Существует возможность настраивать шаблон
создания запроса на получение сертификата с помощью групповой
политики.
Для этого выполните следующие действия:
- Откройте консоль управления групповой политикой
Пуск -> Выполнить ->
gpedit.msc.
- В окне Групповая политика откройте ветку
Конфигурация компьютера/Конфигурация пользователя
-> Административные шаблоны ->
Digt -> КриптоАРМ ->
Запросы.
- Параметр «Шаблон запроса на серификат» установите как
Включен (Enabled) и в поле пропишите путь к файлу
с шаблоном в формате XML.
Файл шаблона
Шаблон задает набор атрибутов Отличительного имени владельца
сертификата, которые будут отображаться на шаге ввода
идентификационной информации, при создании запроса на
сертификат.
шаблон позволяет
- устанавливать поля (mandatory)
- скрывать поля (hidden)
- устанавливать для атрибутов значения по умолчанию (Value)
- устанавливать поля недоступными для изменений (readonly)
! При создании шаблона важно помнить, что
порядок следования атрибутов, установленный в шаблоне,
определяет и порядок атрибутов в запросе на сертификат.
Пример шаблона
<?xml version="1.0" encoding="windows-1251" ?>
<PKIRequestTemplate>
<CertificateRequestTemplate>
<Subject>
<DirectoryName>
<RDNSequence>
<RDNEntry readonly="false" mandatory="true"
hidden="true">
<!--OID>2.5.4.3</OID-->
<OID>CN</OID>
<Name>Имя владельца</Name> <!--
Название поля -->
<Value></Value> <!-- Значение, устанавливаемое по
умолчанию -->
<Length>64</Length>
</RDNEntry>
<!--RDNEntry-->
<!--OID>P</OID-->
<!--Name>Псевдоним</Name-->
<!--/RDNEntry-->
<RDNEntry mandatory="true">
<OID>1.2.840.113549.1.9.2</OID>
<Name>ИНН
1-КПП-ИНН
2</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>SN</OID>
<Name>Фамилия</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>GN</OID>
<Name>Имя</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>PN</OID>
<Name>Отчество</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>SP</OID>
<Name>Серия
паспорта</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>NP</OID>
<Name>Номер
паспорта</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>WM</OID>
<Name>Кем
выдан</Name>
</RDNEntry>
<RDNEntry mandatory="true">
<OID>WN</OID>
<Name>Когда
выдан</Name>
</RDNEntry>
<RDNEntry>
<OID>1.2.840.113549.1.9.1</OID>
<Name>E-mail</Name>
<Value>info@digt.ru</Value>
<Length>128</Length>
</RDNEntry>
<RDNEntry>
<OID>TP</OID>
<Name>Должность</Name>
<Length>64</Length>
</RDNEntry>
<RDNEntry>
<OID>2.5.4.10</OID>
<Name>Организация</Name>
<Value>Компания NNN</Value>
<Length>64</Length>
</RDNEntry>
<RDNEntry>
<OID>2.5.4.11</OID>
<Name>Подразделение</Name>
<Value>ИТ</Value>
<Length>64</Length>
</RDNEntry>
<RDNEntry>
<!--OID>2.5.4.6</OID-->
<OID>C</OID>
<Name>Страна</Name>
<Value>RU</Value>
</RDNEntry>
<RDNEntry>
<OID>2.5.4.8</OID>
<Name>Регион</Name>
<Value></Value>
<Length>64</Length>
</RDNEntry>
<RDNEntry>
<OID>2.5.4.7</OID>
<Name>Город</Name>
<Value>Moscow</Value>
<Length>64</Length>
</RDNEntry>
<RDNEntry>
<OID>AD</OID>
<Name>Адрес</Name>
<Length>32</Length>
</RDNEntry>
</RDNSequence>
</DirectoryName>
<!--Правило формирования
DN сертификата -->
<DNRule condition="'$P$'==''">2.5.4.12=$TP$,
1.2.840.113549.1.9.2=$1.2.840.113549.1.9.2$,
2.5.4.9=$AD$,
CN=$SN$ $GN$ $PN$,
2.5.4.11=$2.5.4.11$,
2.5.4.10=$2.5.4.10$,
2.5.4.7=$2.5.4.7$,
2.5.4.8=$2.5.4.8$,
2.5.4.6=$C$,
1.2.840.113549.1.9.1=$1.2.840.113549.1.9.1$</DNRule>
<DNRule condition="'$P$'!=''">CN=$P$ (псевдоним),
1.2.840.113549.1.9.1=$1.2.840.113549.1.9.1$,
2.5.4.12=$TP$,
2.5.4.10=$2.5.4.10$,
2.5.4.11=$2.5.4.11$,
2.5.4.6=$C$,
2.5.4.8=$2.5.4.8$,
2.5.4.7=$2.5.4.7$,
2.5.4.9=$AD$</DNRule>
<PrintRule condition="'$P$'==''">Общее
имя: $SN$ $GN$ $PN$,Страна:
$C$,Паспорт: $SP$ № $NP$ выдан
$WM$ $WN$</PrintRule>
<PrintRule condition="'$P$'!=''">Общее
имя=$P$ (псевдоним), Настоящее
имя=$SN$ $GN$ $PN$,
Страна=$2.5.4.6$</PrintRule>
</Subject>
<Extensions>
<Extension>
<OID>2.5.29.15</OID>
<Critical>True</Critical>
<Value>
<KeyUsage>
<Bits>
<DigitalSignature />
<NonRepudiation />
<KeyEncipherment />
<DataEncipherment />
</Bits>
<!--Value>f0</Value-->
</KeyUsage>
</Value>
</Extension>
<Extension>
<OID>2.5.29.37</OID>
<Value>
<ExtendedKeyUsage>
<!--KeyPurposeId>1.2.643.2.2.34.6</KeyPurposeId-->
<KeyPurposeId>1.3.6.1.5.5.7.3.2</KeyPurposeId>
<KeyPurposeId>1.3.6.1.5.5.7.3.4</KeyPurposeId>
<!--KeyPurposeId>1.3.6.1.5.5.7.3.9</KeyPurposeId-->
</ExtendedKeyUsage>
</Value>
</Extension>
</Extensions>
<Provider>
<!-- string, MAY be defined -->
<Name>Crypto-Pro GOST R 34.10-2001 Cryptographic
Service Provider</Name>
<!-- integer, MAY be defined -->
<Type>71</Type>
</Provider>
<Keyset>
<!-- boolean, MAY be defined, default - true -->
<CreateNew>true</CreateNew>
<!-- string, MAY be defined if not defined or zero length,
default container name is used -->
<ContainerName> </ContainerName>
<!-- integer, MAY be defined, default - 3 if supported else 1 or
2 -->
<Keyspec>3</Keyspec>
<!-- integer, MAY be defined if not defined or zero length or
equal zero, default length for current provider is used -->
<!--KeyLength>1024</KeyLength-->
<!-- boolean, MAY be defined, default - false -->
<MarkExportable>false</MarkExportable>
</Keyset>
</CertificateRequestTemplate>
<RequestSending>
<!--Формат запроса при сохранении в файл, отправке по
e-mail-->
<!-- integer, 0 - BASE64, 1 - DER_TYPE, default - 0 -->
<Format>1</Format>
<!--Флаг сохранения запроса в файл-->
<SaveRequest readonly="false" hidden="false"
checked="true">
<!-- string, MAY be defined -->
<RequestFilename>C:\request.p10</RequestFilename>
</SaveRequest>
<!--Сохранение печатной формы запроса в
файл-->
<SavePrintableRequest checked="true">
<!-- string, MAY be defined -->
<PrintableRequestFilename>C:\request.txt</PrintableRequestFilename>
</SavePrintableRequest>
<!--Флаг подписи выходных файлов. Задает имя настройки
"КриптоАРМ", которая будет использована при
подписи-->
<!--SignExitFiles checked="true">
{827DBDEB-DEF7-4D27-8BC8-9C23BF2410BC} </SignExitFiles-->
<!--Флаг подписи выходных файлов. Задает имя настройки
"КриптоАРМ", которая будет использована при
шифровании-->
<!--EncryptFiles checked="true">
{827DBDEB-DEF7-4D27-8BC8-9C23BF2410BC} </EncryptFiles-->
<!--Флаг отправки запроса по e-mail-->
<SendRequestByEmail readonly="false" hidden="false"
checked="true" print_attach="true">
<!-- string, MAY be defined -->
<Subject>Запрос на
сертификат</Subject>
<!-- string, MAY be defined -->
<Recipients>sss@nnn.ru</Recipients>
<!-- string, MAY be defined -->
<Message>Здравствуйте,
admin!</Message>
<!-- sending script -->
<Script>
<CommandLine>c:\send.vbs</CommandLine>
</Script>
</SendRequestByEmail>
</RequestSending>
</PKIRequestTemplate>
|