Инструкция по продлению электронных ключей (токенов) для VPN

Инструкция по продлению электронных ключей (токенов)
для VPN.
За 30 дней до окончания срока действия сертификата, записанного на электронном ключе,
в Cisco VPN Client появится сообщение о том, что сертификат скоро будет просрочен:
Для продления сертификата для удаленного доступа потребуются:
- Ранее выданный USB-ключ (рутокен).
- Соединение с интернетом (сертификат можно продлить, даже если он уже просрочен).
- Браузер Internet Explorer версии 6.0 или выше.
- Подтверждение руководителя структурного подразделения (будет описано ниже).
Все действия, описанные ниже необходимо проводить с компьютера, на котором был
настроен VPN-доступ.
1) Вставьте Электронный ключ в USB-порт.
2) В браузере Internet Explorer перейдите по ссылке https://pki.alfastrah.ru/certsrv .
Если появляется надпись: «This web browser does not support the generation of certificate
requests»
,
то, скорее всего Вы используете браузер Internet Explorer 10-ой версии. Чтобы отобразить
страницу, необходимо включить режим совместимости.
Для этого нажмите F12 и выберите IE 10 Compatibility View.
После этого попробуйте заново перейти по указанной выше ссылке.
3) При запросе авторизации введите свои логин и пароль (которые используются для
входа в рабочий компьютер) в формате vestadom\<ваша_учетная_запись>:
4) Далее перейдите по ссылке «Request a certificate».
5) Затем перейдите по ссылке «Create and submit a request to this CA».
6) На следующей странице нужно убедиться, что в выпадающем списке «Certificate
Template» выбран шаблон «VPN Smart Card Renew». Если в поле CSP загрузился Aktiv
ruToken CSP v1.0, то необходимо нажать кнопку «Submit» и перейти к пункту 7.
Если CSP не загружается:
то, скорее всего Вы используете браузер Internet Explorer 11-ой версии. В таком случае
необходимо включить режим совместимости. Для этого выполните следующие действия:
 Нажмите F12 и прокрутите вниз до вкладки Эмуляция. Выберите данную вкладку.
 В поле Режим документов в выпадающем списке выберите 10:
 В поле Строка агента пользователя в выпадающем списке выберите Internet
Explorer 9:
 Появится окно с предупреждением. Нажмите «Да»:
 После этого в поле CSP загрузится Aktiv ruToken CSP v1.0. Необходимо нажать
кнопку «Submit» и перейти к пункту 7.
7) В появившемся окне предупреждения нужно нажать «Да».
8) При запросе пин-кода введите пин от выданного Вам электронного ключа.
9) После этого будет выведен номер вашего запроса на продление.
10) Для того, чтобы запрос был обработан, необходима заявка от руководителя
структурного подразделения в виде письма на адрес OTservice@alfastrah.ru с темой в
письме: «ПРОДЛЕНИЕ VPN: <ФИО сотрудника>». В самом письме необходимо указать
номер запроса, который был получен на предыдущем шаге, а также описана
необходимость продления доступа.
11) После рассмотрения заявки от руководителя и принятия по ней положительного
решения – необходимо вновь зайти на сайт https://pki.alfastrah.ru/certsrv с того же
компьютера, с которого был подан запрос на продление (предыдущие шаги).
Электронный ключ также должен быть вставлен в USB-порт.
12) Перейти по ссылке «View the status of a pending certificate request».
13) Далее нажать на ссылку, состоящей из даты и времени подачи запроса на продление.
14) В открывшемся окне выбрать «Install this certificate».
Примечание: Если на этом шаге появляется ошибка «This CA is not trusted»
То нужно установить цепочку сертификатов удостоверяющих центров. Для этого
необходимо сохранить два файла на рабочем столе по ссылкам
http://pki.alfastrah.ru/pki/NPS01.vesta.ru_NPS01-VPN-CA(1).crt
http://pki.alfastrah.ru/pki/HQ-ROOT-CA_Alfastrakhovanie%20PLC%20Root%20CA(1).crt

На сохраненном файле NPS01.vesta.ru_NPS01-VPN-CA.cer необходимо
нажать правой кнопкой мыши и выбрать пункт контекстного меню
«Установить сертификат»:
Запуститься «Мастер импорта сертификатов». Необходимо произвести следующие
действия (для файла NPS01.vesta.ru_NPS01-VPN-CA.cer на шаге 4 должна быть
выбрана папка Промежуточные центры сертификации):
По завершении установки сертификата должно появиться следующее окошко:

Аналогичную процедуру необходимо провести с файлом HQ-RootCA_Alfastrakhovanie PLC Root CA.cer:
Запуститься «Мастер импорта сертификатов». Необходимо произвести следующие
действия (для файла HQ-Root-CA_Alfastrakhovanie PLC Root CA.cer на шаге 4
должна быть выбрана папка Доверенные корневые центры сертификации):

По окончании работы мастера должно появиться следующее
предупреждающее сообщение, где необходимо нажать «Да»:
На этом установка сертификатов завершена. Для проверки необходимо посмотреть
вкладку «Путь сертификации» на пользовательском сертификате.
Должны быть отображены удостоверяющие центры, выдавшие сертификат, а на
вкладке «Общие» значок сертификата не должно быть желтой пиктограммы с
восклицательным знаком (см. рис. ниже):
После этого нужно попробовать получить сертификат еще раз.
Примечание: Если на этом шаге появляется надпись «Your certificate request is still pending.
You must wait for an administrator to issue the certificate you requested» - это значит, что Ваш
запрос ещё не был обработан, либо не была получена заявка от руководителя с
подтверждением продления доступа:
15) На всплывающее предупреждение нужно ответь «Да».
16) По окончании установки сертификата будет сообщение:
17) Если у вас установлена программа Cisco AnyConnect Secure Mobility Client,
Вы можете сразу переходить к подключению
Если же у вас установлена более старая версия клиента, рекомендуем обновить
программу. Инструкция по установке Cisco AnyConnect Secure Mobility Client находится
здесь: https://pki.alfastrah.ru/doc/ac_auto_config.doc
Если такой возможности нет, то запустите Cisco VPN Client, выберете созданную ранее
запись Alfastrah и нажмите Modify.
18) Нажмите на всплывающий список и выберите сертификат с Вашими ФИО с самым
большим порядковым номером. После чего нажмите Save.
Примечание: в списке могут присутствовать иные сертификаты, установленные на Вашем
компьютере. Также возможно, что Ваш действующий сертификат имеет нулевой номер. В
таком случае необходимо выбрать сертификат с нулевым номером. Подробнее см. во
вкладке Certificates:
19) Чтобы убедится, что выбран корректный сертификат, перейдите на вкладку Certificates
в окошке Cisco VPN Client.
20) Сертификат, который был выбран на этапе 18, должен иметь срок действия один
календарный год со дня его подписания. Если всё верно – настройка завершена.
Если у Вас возникли какие-либо сложности – обращайтесь в службу поддержки по адресу
OTservice@alfastrah.ru либо по телефону (495) 788-0-999 доб. 5911.
При обращении в службу поддержки указывайте, что проблема связана с продлением
токена для VPN и опишите детали.