Как создать самоподписанный сертификат оператора JMS

Версия ПО:  JMS  3.х.х и выше

Токены:  JaCarta PKI

Проблема: 

Как создать самоподписанный сертификат оператора JMS.

Причина:

Если JMS используется только для учёта СКЗИ и при этом в домене нет центра сертификации, то необходимо создать самоподписанный сертификат оператора JMS для администрирования JMS.

Решение:

1. Подготавливаем файл шаблона:

• запускаем блокнот;
• копируем содержимое:

[NewRequest]

Subject = "CN=Operator"

KeyLength = 2048

ProviderName = "Microsoft Base Smart Card Crypto Provider"

KeySpec = "AT_KEYEXCHANGE"

KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"

KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"

RequestType = Cert

SMIME = FALSE

Exportable = False

ValidityPeriodUnits = 100

ValidityPeriod = Years

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.2

• Нажимаем "Сохранить", вводим имя и закрываем блокнот.

2. Устанавливаем ПО "Единый Клиент JaCarta" 2.12.х и выше.

3. Подключаем токен к ПК.

4. Запускаем командную строку от имени администратора.

5. Вводим команду certreq -new filename.txt (название файла шаблона из п.1).

6. Вводим PIN-код пользователя при запросе, процесс генерации сертификата запускается.