Использование кастомного криптопровайдера на клиентской стороне
Предположим, мы хотим издать сертификат с использованием отличного провайдера от доступных в нашем ЦС. К примеру, нам требуется какой-нибудь шифр ГОСТ, провайдером которого выступает решение КриптоПРО. В этом случае нам необходимо в шаблоне сертификата разрешить использовать криптопровайдеры, доступные клиенту.
1. Устанавливаем КриптоПРО на компьютере, где будем генерировать запрос к ЦС.
2. В ЦС выпускаем шаблон с нужными характеристиками. Для доступности кастомного шаблона ключевой настройкой шаблона является опция резрешить клиентские криптопровайдеры, расположенная на вкладке “cryptography” свойства шаблона.
Пример:
3. Теперь нам нужно обратиться к центру сертификации с запросом с того компьютера, на котором установлен КриптоПРО. Здесь для примера будем использовать службу CA Web Enrollment.
В 2023-м году эта служба всё ещё неадекватно работает с MS-Edge, поэтому к ней приходится обращаться при помощи Internet Explorer. В MS-Edge, к примеру, невозможно отобразить список криптопровайдеров.
4. Создаем новый запрос с использованием того шаблона, который мы сгенерировали. Должны отобразиться криптопровайдеры, доступные на клиентской стороне. На скриншотах видна доступность алгоритмов GOST.
При этом, будет запущена сама КриптоПРО, которая предложит задать пароль сертификата, как и некоторые другие параметры.
5. Одобряем выпуск сертификата на ЦС, а затем скачиваем сертификат из веб-интерфейса службы CA Web Enrollment. При обращении к сертификату будет запускаться инструментарий криптопровайдера (КриптоПРО).