Последовательность выполнения

 

Шаг 1 (10)
Установка ПО ViPNet [Administrator] и [Client]

Для установки защищенного рабочего места Администратора сети VPN необходимы следующие составляющие:

· ПО ViPNet [Администратор] версии 3.0;

· ПО ViPNet [Клиент] версии 3.0;

· набор лицензионных файлов ОАО «ИнфоТеКС»:

- infotecs.re– лицензионный справочник;

- infotecs.reg– файл лицензий на ПО и ПЗ;

· русификатор – файл RK.com, который дает возможность использования русских букв в ЦУСе;

· не менее 100 Мб свободного места на жестком диске компьютера.

 

Замечание: Следует помнить, что в ходе эксплуатации программного обеспечения необходимый объем рабочего места на жестком диске будет постоянно расти. Поэтому рекомендуется заранее предусмотреть как минимум пятикратное резервирование доступного места на HDD по сравнению с начальными требованиями.

 

Для установки на локальном компьютере ПО ViPNet Administrator необходимо запустить программу Setup.exe, после появления окна (Рис. 1.2.) следует прочесть информацию и нажать кнопку Далее, ознакомиться с лицензионным соглашением и, в случае согласия, – нажать кнопку Далее. В случае несогласия с лицензионным соглашением необходимо вернуть ПО производителю с объяснением причин отказа от приобретения.

Рис. 1.2. Мастер (Wizard) установки программы ViPNet Administrator

В следующих окнах необходимо ввести имя пользователя и название организации, после чего предлагается указать каталог установки рабочих файлов программы (по умолчанию программу предлагается установить в каталог С: \Program Files\Infotecs\ViPNet Administrator\). В появившемся окне следует выбрать тип установки программы (из каких компонентов будет состоять рабочее ПО) (Рис. 1.3.). Поскольку рабочее место Администратора 3 0 будет являться одновременно и центром управления виртуальной сетью и центром обработки ключевой структуры виртуальной сети, необходимо установить оба компонента (Центр управления сетью и Удостоверяющий ключевой центр) на данную машину. Следует выбрать строку Выборочная установка и установить «галочки» напротив обеих строк (по умолчанию «галочки» установлены).

После выбора необходимых компонентов следет нажать кнопку Далее. Удостоверившись, что все настройки сделаны правильно, необходимо нажать кнопку Готово и подождать, пока программа установки завершит копирование необходимых файлов на жесткий диск компьютера.

Для установки на локальном компьютере администратора сети ПО ViPNet Client необходимо запустить программу Setup.exe, после появления окна (Рис. 1.4.) следует прочесть информацию и нажать кнопку Далее, ознакомиться с лицензионным соглашением и, в случае согласия, – нажать кнопку Далее. В случае несогласия с лицензионным соглашением необходимо вернуть ПО производителю с объяснением причин отказа от приобретения.

Рис. 1.3. Выбор вида установки программы ViPNet Administrator

Рис. 1.4. Мастер (Wizard) установки программы ViPNet Client

В следующих окнах необходимо ввести имя пользователя и название организации, после чего предлагается указать каталог установки рабочих файлов программы (по умолчанию программу предлагается установить в каталог С: \Program Files\Infotecs\ViPNet Administrator\SS).

В появившемся окне следует выбрать тип установки программы (из каких компонентов будет состоять рабочее ПО) (Рис. 1.5.). Рабочее место Администратора 3 0 должно полнофункциональным, поэтому необходимо установить оба компонента (Монитор и Деловая почта) на данную машину. Следует выбрать строку Выборочная установка и установить «галочки» напротив обеих строк (по умолчанию «галочки» установлены).

 

Примечание: Для своей работы ПО ViPNet использует следующие каталоги:

NCC – Network Control Center (рабочий каталог ViPNet Центра управления сетью);

KC – Key Center (рабочий каталог ViPNet Удостоверяющего и ключевого центра);

SS – Security Service (рабочий каталог ViPNet Client).

 

Рис. 1.5. Выбор вида установки программы ViPNet Client

После выбора необходимых компонентов следет нажать кнопку Далее. Удостоверившись, что все настройки сделаны правильно, необходимо нажать кнопку Готово и подождать, пока программа установки завершит копирование необходимых файлов на жесткий диск компьютера.

В результате установки ПО ViPNet Client будет предложено перегрузить ОС компьютера. Пока это делать нет необходимости (нажать кнопку Нет), так как ещё не произведена первоначальная настройка рабочего места администратора защищенной сети.

 

Замечание: Если ОС компьютера была перезагружена, то на этапе загрузки ОС будет предложено ввести пароль на вход в программу ViPNet Client. Но пока не была сформирована ключевая информация Администратора 3 0, поэтому необходимо отказаться от введения пароля и не указывать транспортный каталог программы ViPNet Client.

 

Для завершения шага инсталляции рабочего места Администратора защищенной сети необходимо скопировать файлы в указанные папки:

· infotecs.reg, infotecs.re и RK.com в каталог ..\NCC\ (каталог установки ЦУСа);

· infotecs.re – в каталог ..\KC\ (каталог установки УКЦ).

 

ВНИМАНИЕ! Файлы infotecs.re и infotecs.reg являются наиболее важными файлами с точки зрения защиты авторских прав ОАО «ИнфоТеКС» и прав её клиентов, поэтому следует хранить их отдельно от основного инсталляционного комплекта и не допускать их свободного распространения. Вся ответственность за незаконное распространение файлов лицензий целиком возложено на Клиента ОАО «ИнфоТеКС».

 

 

Шаг 2 (10)
Работа в Адресной администрации ЦУСа

Создание защищенной сети, установка режимов и параметров работы сети производится в Центре управления сетью (ЦУСе). При указании рабочих каталогов ЦУСа нет необходимости указывать каталоги, где будет храниться ключевая информация Администратора сети / Уполномоченного лица, поскольку при распаковке dst-файла Администратора ViPNet-сети программное обеспечение ViPNet автоматически пропишет пути доступа к ключевой информации.

Работа с виртуальной сетью ViPNet начинается в Центре управления сетью (ЦУСе). Для загрузки ЦУСа необходимо запустить файл _start.bat, находящийся в рабочем каталоге ЦУСа ..\NCC\, либо запустить ярлык ЦУСа, находящийся на Рабочем столе Windows, либо выбрать запуск программы ViPNet Центр управления сетью из стандартного меню ОС Windows – Start (Старт) → All programs (Программы) → ViPNet → Administrator.

 

Замечание: В описании работы программы будет встречаться символ двух последовательных точек (..). Этот символ означает корневой каталог ПО ViPNet (как правило находящийся по адресу C: \ Program Files \ InfoTeCS \ ViPNet Administrator \).

Т.е. запись ..\NCC\ означает, что необходимо смотреть каталог NCC в корневом каталоге установки ПО ViPNet.

 

После запуска программа ЦУС предлагает создать несколько служебных каталогов и запрашивает место, в котором будет храниться информация транспортного каталога и каталогов обмена информацией с УКЦ (Рис. 1.6.). Рекомендуется оставить каталоги, предложенные программой по умолчанию. Если местонахождение каталогов изменяется, рекомендуется запомнить точное их расположение.

Рис. 1.6. Настройка по умолчанию для каталогов хранения ключевой информации

При выборе настроек по умолчанию необходимо изменить позиции Автоматически связывать новый ТК со всеми другими ТК (поставить крестик напротив этой строки) и указать Максимальный уровень полномочий (Рис. 1.7.).

Рис. 1.7. Настройки по умолчанию параметров работы ЦУСа

После нажатия кнопки принять программа ЦУС приветствует администратора сети и предлагает начать с адресной администрации и появляется главное окно Центра управления сетью (Рис. 1.8.). Для начала работы по созданию виртуальной сети необходимо выбрать меню Службы → Адресная администрация → Структура сети ViPNet…

Логическую структуру сети ViPNet в Адресной администрации необходимо создать в соответствии с Рис. 1.1.

 

Рис. 1.8. Главное окно Центра управления сетью

Лицензию на виртуальную сеть ViPNet можно посмотреть в меню Сервис → Лицензия (Рис. 1.9.).

Рис. 1.9. Состав лицензионного файла на виртуальную сеть ViPNet

 

Замечание: В Адресной администрации ЦУСа манипулятор «мышь» не работает. Следует использовать для входа в меню клавишу Enter, а для выхода из меню – Esc.

 

Замечание: Для перехода в режим работы с русской раскладкой необходимо нажать одновременно и правую и левую клавиши Shift.

 

Замечание: Используя клавишу F1 в соответствующих различных окнах программы Адресной администрации ЦУСа, можно найти комбинации клавиш для управления сетью ViPNet.

 

Для введения в виртуальную сеть серверов-маршрутизаторов (СМ) необходимо выделить строку Серверы-маршрутизаторы, нажать Enter и ввести имя нового сервера – СМ Координатор 3 0. Затем в этом же окне необходимо нажать Alt+I для добавления нового СМ – Координатор-ОИ 3 0.

 

Напоминание: Абонентские пункты должны быть зарегистрированы за Серверами-маршрутизаторами. За координатором, зарегистрированном в задаче Открытый Интернет, не должно быть зарегистрировано ни одного АП.

 

Для добавления в виртуальную сеть Абонентских пунктов (АП) необходимо выделить строку с СМ (СМ Координатор 3 0), за которым будет зарегистрирован новый АП, нажать Enter и нажать комбинацию клавиш Alt+I. В предложенной строке следует ввести наименование нового АП (например, АП Администратор 3 0). В соответствии с Error! Reference source not found. необходимо сформировать структуру защищенной сети.

Для создания межсерверных каналов связи необходимо прописать взаимодействие на защищенном уровне между двумя координаторами сети. Для этого необходимо зайти в меню Серверы-маршрутизаторы и выбрать один из СМ. Для указания начала межсерверного канала следует нажать комбинацию клавиш Alt+M, после чего слева в данной строке появится «звездочка» со стрелкой. Для указания конца канала необходимо выделить другой координатор и нажать ту же комбинацию клавиш - Alt+M. Теперь программе следует указать, что межсерверный канал будет между СМ Координатор 3 0 и СМ Координатор–ОИ 3 0 – для этого нажать комбинацию клавиш Alt+С. В столбце МСК обоих координаторов будет показано количество межсерверных каналов (в данном случае - один). В столбце АП обоих координаторов указано количество сетевых узлов (СУ), которые зарегистрированы за данным СМ (количество АП плюс сам СМ).

Окно регистрации Серверов-маршрутизаторов должно выглядеть так, как показано на 0, а окно регистрации АП за СМ Координатор 3 0 – на Рис. 1.11.

Рис. 1.10. Создание Координаторов сети и указание межсерверного канала

Рис. 1.11. Регистрация АП за СМ Координатор 3 0

Рис. 1.12. Основное окно Адресной администрации ЦУСа

Поскольку работа в Адресной администрации ЦУСа по созданию виртуальной сети завершена, следует выйти в основное окно (Рис. 1.12.) и сформировать таблицы маршрутизации (часть справочников ЦУСа). Справа зеленым цветом программа показывает, что в виртуальной сети были произведены изменения и необходимо создание новых таблиц маршрутизации. Для создания новых таблиц необходимо выделить строку Выдать таблицы маршрутизации и нажать Enter, после чего программа подтвердит создание новых таблиц.

Теперь работа в Адресной администрации полностью завершена и необходимо выйти в главное меню ЦУСа (либо нажав кнопку Esc либо выделить строку Выход и нажать Enter).

 

 

Шаг 3 (10)
Индивидуальная регистрация Абонентских пунктов в Прикладных задачах

АП Администратор 3 0, АП Центр регистрации 3 0, АП Криптосервис 3 0 необходимо зарегистрировать в прикладных задачах (ПЗ) ЦУС и УКЦ; Центр регистрации; Криптосервис соответственно. Для этого необходимо зайти в меню Службы → Индивидуальная регистрация АП в ПЗ и выделить строку с записью одного из АП, нуждающегося в регистрации. Например, для регистрации АП Администратор 3 0 в задачах ЦУС и УКЦ следует выделить строку с записью и нажать кнопку Регистрация. В появившемся окне выделить «крестиком» строки ЦУС и УКЦ, снять «крестик» с записи Криптосервис (поскольку АП уже зарегистрирован в задаче Защита трафика) и нажать кнопку Принять.

Для АП Центр Регистрации 3 0 необходимо поставить «крестик» в записи Центр регистрации и снять его в записи Криптосервис. Для АП Криптосервис 3 0 необходимо снять «крестики» в записи Деловая почта и оставить в записи Криптосервис. Для АП Клиент 3 0 необходимо снять «крестик» в записи Криптосервис, а для АП Сервис Публикации 3 0 необходимо снять «крестики» в записях Деловая почта и Криптосервис.

В результате указанных действий окно регистрации АП в ПЗ приобретет следующий вид (Рис. 1.13.).

Рис. 1.13. Регистрация АП в прикладных задачах

Шаг 4 (10)
Групповая регистрация Сетевых узлов в Прикладных задачах

Серверы-маршрутизаторы виртуальной сети необходимо зарегистрировать в задаче Сервер IP-адресов и ее подзадачах. Для этого необходимо зайти в меню Службы → Групповая регистрация СУ в ПЗ, выделить строку с записью Сервер IP-адресов и нажать кнопку Регистрация.

В прикладной задаче Сервер IP-адресов для каждого из Координаторов необходимо задать следующие параметры работы (изменение параметров производится посредством кнопок в правом столбце):

11. Для СМ Координатор-ОИ 3 0 включить функцию Сервер Открытого Интернета (Рис. 1.14.).

12. Для СМ Координатор 3 0 включить функцию Туннелирование и задать необходимое количество туннельных соединений (по заданию - 5) (Рис. 1.15).

Рис. 1.14. Включение функции Открытый Интернет

Рис. 1.15. Включение функции туннелирования

Шаг 5 (10)
Работа в Прикладной администрации ЦУСа

В Прикладной администрации при регистрации типов коллективов (ТК) необходимо проверить их связи (по заданию все ТК должны быть связаны между собой). При регистрации пользователей необходимо снять право владения ЭЦП у Координаторов сети.

Для формирования связей между ТК различных СУ сети ViPNet необходимо зайти в меню Прикладная администрация → Регистрация типов коллективов… и проверить с помощью кнопки справа Связи, какие связи имеют каждый из ТК сети ViPNet.

Далее, для различия СУ и ТК этих СУ необходимо переименовать записи в меню типов коллективов (с помощью кнопки справа Изм. имя). Например, АП Администратор 3 0 в ТК Администратор 3 0. То же самое сделать для всех записей ТК всех СУ (Рис. 1.16.). С помощью кнопки Область можно просмотреть, на каком сетевом узле зарегистрирован данный ТК (область действия данного ТК) (например, Рис. 1.17.).

Рис. 1.16. Список Типов коллективов защищенной сети

Рис. 1.17. Область действия ТК Администратор 3 0

После работы с ТК необходимо проверить параметры работы пользователей (абонентов). Для этого необходимо зайти в меню Прикладная администрация → Регистрация пользователей… В этом окне следует отключить право иметь ЭЦП обоим СМ (Рис. 1.18.) и переименовать названия пользователей (с помощью кнопки справа Изм. имя), удалив приставки «АП» и «СМ» (Рис. 1.19.).

Рис. 1.18. Отключение права иметь ЭЦП

Рис. 1.19. Окно Регистрация пользователей

С помощью кнопки справа Изм. ТК можно изменять для данного пользователя его ТК – добавлять, удалять, изменять (Рис. 1.20.).

Рис. 1.20. Добавление пользователю нового ТК

Шаг 6 (10)
Формирование справочной информации и архивов баз данных

По завершении формирования защищенной сети необходимо создать справочники, в которых отображается информация, необходимая для работы прикладных программ ViPNet (Монитор, Деловая Почта и др.). До формирования справочников необходимо произвести логическую проверку виртуальной сети ViPNet, для чего необходимо выбрать меню Службы → Проверка конфигурации. В случае отсутствия логических ошибок в сети ViPNet (например, пользователь не зарегистрирован ни в одном типе коллектива) программа выдаст окно с записью «Аномальные ситуации не обнаружены». Если же логические ошибки имеют место быть (аномальные ситуации), необходимо произвести оценку этих моментов и принять решение о том, нужно ли продолжать дальше работу с виртуальной сетью.

 

Замечание: Аномальные ситуации не являются критическими ошибками, которые не позволяют работать защищенной сети. Эти ситуации лишь указывают на то, что такие ошибки МОГУТ быть.

 

Если аномальные ситуации не проявились необходимо выбрать меню Службы → Сформировать все справочники. В результате такой операции программа ЦУС сконфигурирует структуру защищенной сети, зафиксирует изменения, которые были введены в сеть и сформирует набор справочников (Рис. 1.21.). Изменения, произведенные в ЦУСе, будут переданы в УКЦ для формирования ключевой структуры сети ViPNet. В последующем окне можно будет увидеть, какие справочники и файлы были сформированы.

Рис. 1.21. Формирование справочников

После формирования справочников необходимо создать базы данных, которые будут служить для восстановления информации на определенный момент времени (меню Службы → Архивы баз данных… → Создать).

Структуру созданной виртуальной сети можно просмотреть в меню Службы → Просмотр конфигурации → Структура сети. В широком формате показана сеть в виде таблицы объектов, в узком – в виде иерархической структуры объектов сети.

Выход из ЦУСа производится с помощью меню Файлы → Выйти либо комбинацией клавиш Alt+X.

Шаг 7 (10)
Первичная инициализация Удостоверяющего и ключевого центра

Работа по созданию ключевой инфраструктуры виртуальной сети ViPNet производится в Удостоверяющем и ключевом центре (УКЦ). Для загрузки УКЦ необходимо запустить файл keycenter.exe, находящийся в рабочем каталоге УКЦ..\KC\, либо запустить ярлык УКЦ, находящийся на Рабочем столе Windows, либо выбрать запуск программы ViPNet Удостоверяющий и ключевой центр из стандартного меню ОС Windows – Start (Старт) → All programs (Программы) → ViPNet → Administrator.

При первом старте и в процессе работы УКЦ создает следующие каталоги:

/PSW - каталог для хранения файла с паролем для входа в программу УКЦ, информации об пользователях, для которых были созданы ключевые диски и др.

/MASTERS - каталог для мастер-ключей;

/P_KEYS - каталог для резервных персональных ключей;

/ARCHIVES - каталог для архивов;

/EXPORT - каталог для экспорта межсетевых мастер-ключей;

/IMPORT - каталог для импорта межсетевых мастер-ключей;

/KEYKEYKE - каталог для упакованных ключевых дисков (КД) и ключевых наборов (КН);

FROM_NCC - каталог для файлов связей пользователей и СУ из ЦУС, предназначенных для УКЦ (имя каталога можно изменить, выбрав пункт меню Сервис → Настройка);

FOR_NCC - каталог для файлов, подлежащих отправке в ЦУС (имя каталога можно изменить, выбрав пункт меню Сервис → Настройка).

Начало работы с УКЦ версии 3.0 отличается от предыдущих версий ПО ViPNet введением в действие мастера (визарда) установки (первичной инициализации) УКЦ (Рис. 1.22.).

Рис. 1.22. Начало инициализации УКЦ

Для работы мастера требуется наличие файлов из программы ЦУС. Используя эти файлы, мастер создаст начальную ключевую информацию для работы программы УКЦ. В результате работы Мастера будут созданы:

- персональный ключ защиты Администратора;

- пароль Администратора;

- ключ защиты КЦ;

- ключ подписи и сертификат Администратора;

- Мастер-ключи:

· Мастер-ключ персональных ключей (МКПК),

· Мастер-ключ ключей защиты (МККЗ),

· Мастер-ключ ключей обмена (МККО).

· Межсетевой асимметричный мастер-ключ (сформируется, если будет выбрана соответствующая опция).

Мастер инициализации поэтапно предложит ввести параметры работы УКЦ и завершит первоначальную установку УКЦ развертыванием ключевой инфраструктуры защищенной сети. После этого необходимо будет лишь создать саму ключевую информацию, предназначенную пользователям, и передать эту информацию объектам защищенной сети.

Далее мастер предложит выбрать способ взаимодействия с базой данных, в которой будет храниться информация, необходимая для УКЦ (Рис. 1.23.). Поскольку УКЦ версии 3.0 использует формат данных в виде базы данных, на компьютере, на котором установлен УКЦ, необходимо иметь одну из систем управления базами данных (СУБД).

Рис. 1.23. Выбор базы данных для УКЦ

На выбор предлагается два вида СУБД – Microsoft Office Access и Microsoft SQL Server. При выборе одной из СУБД файлы, в которой УКЦ будет сохранять информацию, будут переведены в формат файлов СУБД. После этого необходимо указать те каталоги, которые необходимы для работы УКЦ и взаимодействия его с ЦУСом (Рис. 1.24.).

Рис. 1.24. Указание рабочих папок УКЦ

На следующем этапе следует указать то лицо (администратор сети ViPNet), которое будет обладать полномочиями заверять своей электронной цифровой подписью сертификаты ЭЦП остальных пользователей системы (аналог Главного абонента в УКЦ версии 2.8) (Рис. 1.25.). А также на этом этапе необходимо ввести данные для сертификата ЭЦП этого лица – информацию о местоположении, адрес электронной почты (Рис. 1.26.), алгоритм формирования ключей ЭЦП (Рис. 1.27.), срок действия сертификата (Рис. 1.28.) и другое.

Лицо, которое имеет право работать в УКЦ, называется уполномоченным. В дальнейшем можно будет поменять уполномоченное лицо либо добавить еще одно.

Рис. 1.25. Назначение Администратора (Уполномоченного лица)

Рис. 1.26. Описание владельца сертификата

Рис. 1.27. Указание параметров ключа подписи

После создания ключей ЭЦП и сертификата ЭЦП следует указать, в каком месте будет храниться контейнер ключа подписи (Рис. 1.29.) и пароль для входа в УКЦ (Рис. 1.32.). При задании собственного типа пароля – все пароли в УКЦ должны быть длиной не менее 6 символов.

 

Рекомендации: При тренировочном создании сети рекомендуется использование простого, запоминающегося пароля (например, 111111).

 

Контейнер – это место на жестком диске (каталог) либо аппаратный носитель, в котором хранится личная ключевая информация (ключевая дискета) пользователя.

Рис. 1.28. Указание сроков действия сертификатов ЭЦП

В случае, если располагаться контейнер будет в каталоге на диске (в файле), следует указать путь к этому файлу (Рис. 1.30.).

Рис. 1.29. Указание типа места хранения ключей подписи и ключа защиты УКЦ

В случае, если располагаться контейнер будет на носителе информации, необходимо указать считыватель (если их несколько) и сохранить информацию на нем (Error! Reference source not found.). При введении пароля при входе в [Монитор] необходимо будет указать данный носитель информации в качестве места хранения контейнера.

 

Рис. 1.30. Указание папки для хранения ключей подписи и ключа защиты УКЦ

Рис. 1.31. Указание носителя для хранения ключей подписи и ключа защиты УКЦ

Следующим этапом станет создание набора Мастер-ключей (МК) (Рис. 1.31.). В ПО ViPNet версии 3.0 используются несколько мастер-ключей для отдельного вида ключевой информации. Все типы МК защищаются шифрованием на ключе защиты УКЦ.

МК персональных ключей используется для создания персональных ключей пользователей (в т.ч. резервного набора персональных ключей).

МК ключей защиты используется формирования ключей шифрования защиты ключей обмена коллективов.

МК ключей обмена используется для формирования ключей шифрования обмена (связи) коллективов.

Рис. 1.32. Указание типа пароля для входа в УКЦ

Рис. 1.33. Формирование Мастер-ключей системы

Ключи защиты – ключи, используемые для шифрования других ключей. Ключи защиты могут быть иерархической конструкцией, т.е. одни ключи защиты могут использоваться для защиты других ключей защиты.

Персональный ключ пользователя – это главный ключ защиты ключей, к которым имеет доступ пользователь. Этот ключ должен храниться в безопасном месте (например, на дискете или другом съемном носителе), так как компрометация этого ключа означает компрометацию всех других ключей пользователя. При компрометации этого ключа Ключевой центр изменяет вариант персонального ключа.

Номера и варианты. Для плановой смены ключей в сети используется система номеров мастер-ключей, а для изменения ключей отдельных СУ и коллективов используется (в частности, при компрометации) система вариантов.

Под компрометацией ключей подразумевается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации (целостность, конфиденциальность, подтверждение авторства, невозможность отказа от авторства).

Различают явную и неявную компрометацию ключей. Явной называют компрометацию, факт которой становится известным на отрезке установленного времени действия данного ключа. Неявной называют компрометацию ключа, факт которой остается неизвестным для лиц, являющихся законными пользователями данного ключа.

Пароли. В УКЦ существует три вида паролей:

- пароль Администратора используется Администратором для входа в УКЦ. При желании Администратор может изменить этот пароль.

- пароли для ключевых дисков используется для входа в прикладные программы в сети ViPNet.

- пароли Администраторов групп сетевых узлов - такие пароли могут создаваться для каждого узла, а также для групп СУ, в том числе и для группы «Вся сеть», в которую входят все узлы сети. Эти пароли используются на сетевых узлах для входа в ПО ViPNet с правами Администратора и получения дополнительных возможностей и настроек в программе.

После проведения всех этапов по инициализации УКЦ программа установки начнет формирование ключевой инфраструктуры сети ViPNet (Рис. 1.34.), а затем на экран будет выведено окно программной оболочки УКЦ (Рис. 1.35.), которая также претерпела серьезные изменения по сравнению с версией 2.8 (например, нет команды меню Автоматическое формирование ключей…). Инструменты создания, обновления, хранения и выдачи ключевой информации и сертификатов ЭЦП стали более гибкими и привязанными к определенному действию (например, создание дистрибутивов для пользователей сети ViPNet производится специально выделенной клавишей).

Рис. 1.34. Завершение инициализации УКЦ и формирование ключевой информации

Рис. 1.35. Окно каталогов УКЦ

Шаг 8 (10)
Работа в Удостоверяющем и ключевом центре

Перед началом работы в УКЦ рекомендуется произвести первоначальные настройки программы. Это можно сделать в меню Сервис → Настройка… или нажав кнопку Настройка в панели инструментов программы. В окне Пароли можно настроить парольные параметры работы УКЦ.

После прохождения этапа первичной инициализации и произведения настроек программы необходимо сформировать дистрибутивы для пользователей созданной защищенной сети. Для этого следует выбрать пункт меню Сервис → Автоматически создать → Дистрибутивы ключей (Рис. 1.36).

Рис. 1.36. Меню формирования ключевой информации

При создании дистрибутива пользователя автоматически формируется его сертификат ЭЦП. В случае, если срок действия сертификата уполномоченного лица истекает до конца действия рядового пользователя VPN сети, будет выведено предупреждение о том, что срок действия сертификата пользователя будет ограничен сроком действия сертификата уполномоченного лица (Рис. 1.37).

Сертификаты пользователей сети ViPNet (как рядовых пользователей, так и Администраторов УКЦ (Уполномоченных лиц) можно посмотреть в каталоге Удостоверяющий центр. В этом каталоге также можно посмотреть пришедшие запросы на сертификаты, пришедшие запросы на отзыв сертификатов, а также информацию об отозванных сертификатах (справочник списка отозванных сертификатов (СОС)).

Рис. 1.37. Предупреждение о сроке действия сертификата

При формировании ключевой информации, входящей в файл-дистрибутив, мастером также будет предложено ввести пароль Администратора сетевого узла (Error! Reference source not found.), который позволяет получить расширенные права по управлению системой защиты на конкретном узле защищенной сети. Пароль может быть собственным, случайным и цифровым и имеет срок действия и может быть изменен в дальнейшем на самом узле пользователя VPN.

Рис. 1.38. Выбор типа пароля для администратора СУ всей группы

Формирование паролей Администраторов СУ осуществляется отдельно от формирования паролей на дистрибутив. Пароль Администратора СУ может быть задан как на отдельный компьютер (Рис. 1.39), так и на всю группу, в которую входят несколько компьютеров (Рис. 1.40).

Рис. 1.39. Окно указания пароля администратора для СУ

Рис. 1.40. Окно указания пароля администратора для всех СУ группы

После создания дистрибутивов необходимо их раздать пользователям защищенной сети. Это производится в окне Ключевой центр / Ключи / Дистрибутивы ключей. Действия можно производить как с отдельным дистрибутивом, так и с набором файлов-дистрибутивов (Рис. 1.41.).

В данном случае необходимо выделить все записи, щелкнуть правой кнопкой «мыши» на одной из записей (или сразу на все записи) и выбрать пункт меню Перенести в папку…

Рис. 1.41. Контекстное меню в каталоге Дистрибутивы

В появившемся окне мастера (Рис. 1.42.) необходимо выбрать каталог на диске (например, ..\Distr), в котором будут храниться файлы-дистрибутивы до их передачи пользователям. Для проведения операции переноса для всех файлов-дистрибутивов напротив строки Применить ко всем слева внизу окна следует поставить «галочку».

При необходимости можно перенести ключи подписи на внешнее устройство.

Рис. 1.42. Указание параметров для переноса дистрибутивов

Аналогичную операцию необходимо провести с наборами персональных ключей пользователей защищенной сети (Рис. 1.43. и Рис. 1.44.).

Рис. 1.43. Контекстное меню в каталоге Резервные персональные ключи

Рис. 1.44. Указание параметров для переноса персональных ключей

В УКЦ в окне Администраторы возможно указать еще лица (Уполномоченные лица), которые будут иметь право входить в УКЦ и формировать ключевую информацию для пользователей системы ViPNet. Для указания нового УЛ необходимо щелкнуть правой кнопкой «мыши» по уже существующему Администратору и выбрать строку меню Создать… После этого появится Мастер (Wizard), с помощью которого полномочия УЛ будут присвоены новому Администратору (Рис. 1.45.). В дальнейшем из нескольких УЛ можно выбирать действующего, т.е. того Администратора, чьей ЭЦП заверяются все вновь созданные сертификаты ЭЦП сети ViPNet.

Рис. 1.45. Назначение администраторов УКЦ

По умолчанию действующим становится тот Администратор (УЛ), пароль которого введен для входа в УКЦ.

В меню Сервис → Журнал событий с помощью фильтров поиска можно просмотреть действия и события, произошедшие в УКЦ (Рис. 1.46.). Каждое событие можно просмотреть более подробно, щелкнув на нем левой кнопкой «мыши» (Рис. 1.47.).

Рис. 1.46. Окно Журнала событий УКЦ

Рис. 1.47. Информация о событии из Журнала событий УКЦ

Шаг 9 (10)
Развертывание защищенного узла Администратора сети ViPNet

Для развертывания защищенного узла Администратора 3 0 необходимо зайти в каталог, где были сохранены файлы dst – дистрибутивы и скопировать dst–файл Администратора 3 0 в каталог установки ViPNet Client (по умолчанию – это каталог..\SS\).

Развертывание защищенного узла может быть произведено двумя способами:

· запуском файла dst – в этом случае программа запросит каталог, в котором будет храниться ключевая информация;

· запуском программы ViPNet Client Монитор, при этом необходимо будет указать, где хранится файл-дистрибутив и куда нужно будет сохранить ключевую информацию;

 

Замечание: драйвер ViPNet IPLir начнет работать только после перезагрузки ОС компьютера.

 

В настоящем случае развертывание защищенного узла Администратора 3 0 будет происходить посредством ViPNet Монитора. Если перезагрузка ОС компьютера не была произведена ранее, ее следует произвести сейчас. После перезагрузки драйвер ViPNet запросит пароль на вход в виртуальную сеть и на начало работы с защищенным узлом. Необходимо ввести тот пароль, который был дан Администратору 3 0 в УКЦ и начать первичную инициализацию по развертыванию защищенного узла. Без первичной инициализации (ее производят только один раз в самом начале развертывания защищенного узла) драйвер не будет загружаться.

Для проведения первичной инициализации в окне запроса пар