**Примітка.** У випадку використання апаратного модулю Сайфер «Шифр-HSM», PIN-код токену вводиться в форматі ##slot\_id##password. Наприклад ##231036361##1234567890.
--- ##### 7.3.2. Створення ключа автентифікації для шлюзу безпечного обміну Шлюз безпечного обміну повинен автентифікуватися при відправці повідомлень до інших шлюзів безпечного обміну. Сертифікат автентифікації використовується для перевірки автентичності шлюзу безпечного обміну. За створення ключа автентифікації та подальші дії з ним відповідає Адміністратор вебсервісів. Для того, щоб створити новий ключ автентифікації у вебінтерфейсі шлюзу безпечного обміну, необхідно: 1. Перейти в розділ «Ключі і сертифікати». 2. Обрати токен «softToken-0», натиснувши на ньому мишкою. 3. Натиснути на кнопку «Генерувати ключ». 4. Ввести позначку для ключа автентифікації. Рекомендовано ввести позначку – authKey. 5. Натиснути на кнопку «OK». Генерація ключа може зайняти кілька секунд. Якщо все зроблено вірно, щойно створений ключ з’явиться під токеном безпеки з написом «authKey (?)».  --- ##### 7.3.3. Генерація запиту на сертифікат (Certificate Signing Request) ключа автентифікації Сертифікати автентифікації, які використовуються шлюзами безпечного обміну, повинні бути підписані технологічним центром сертифікації ключів промислового середовища системи «Трембіта». Для цього спочатку необхідно створити запит на підпис сертифікату (Certificate Signing Request (CSR)) для попередньо створеного ключа через вебінтерфейс ШБО. Центр сертифікації приймає заявки на підпис у вигляді файлів в текстовому форматі PEM. Для створення запиту необхідно виконати наступні дії в вебінтерфейсі ШБО: 1. Перейти в розділ «Ключі і сертифікати». 2. Вибрати ключ автентифікації, згенерований на попередньому кроці (authKey). 3. Натиснути на кнопку «Генерувати CSR» – відкриється діалог «Створити запит на підпис сертифіката». 4. У діалоговому вікні необхідно встановити наступні значення:| Поле | Значення |
| Використання (Usage) | Auth |
| Сервіс сертифікації (Certification Service) | Необхідно обрати технологічний центр сертифікації ключів промислового середовища системи – «Trembita Diia CA» |
| CSR Format | PEM |
**Важливо!** Без цього сертифікату подальші кроки неможливі!
--- ##### 7.3.5. Імпорт сертифікату для ключа автентифікації на шлюз безпечного обміну Для імпорту виданого на попередньому кроці сертифікату автентифікації до шлюзу безпечного обміну Адміністратору вебсервісів потрібно виконати наступні дії в вебінтерфейсі ШБО: 1. Перейти в розділ «Ключі і сертифікати». 2. Натиснути на кнопку «Імпорт сертифікату». 3. Натиснути на кнопку «Переглянути» і обрати сертифікат автентифікації, отриманий на попередньому кроці. 4. Натиснути на кнопку «OK». Якщо все зроблено правильно, у вебінтерфейсі ШБО буде відображена інформація про доданий сертифікат під ключем автентифікації «Ключ: authKey». --- ##### 7.3.6. Активація сертифікатів автентифікації та підпису На цьому етапі сертифікати автентифікації та електронної печатки вже імпортовані до шлюзу безпечного обміну, однак, вони за замовчуванням відключені (в колонці «OCSP-відповідь» для сертифікату вказано «відключений»).**Важливо!** Відключені сертифікати не використовуються шлюзом безпечного обміну.
Для їх активації Адміністратору вебсервісів необхідно виконати наступні дії в вебінтерфейсі шлюзу безпечного обміну: 1. Перейти в розділ «Ключі і сертифікати». 2. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці (наступний рядок під «Ключ: authKey», з числовим серійним номером). 3. Натиснути на кнопку «Активувати». 4. Вибрати сертифікат печатки (під рядком «Ключ: uaToken-sign (sign)»). Натиснути на кнопку «Активувати». --- ##### 7.3.7. Відправка запиту на реєстрацію сертифікатів Сертифікат автентифікації використовується іншими шлюзами безпечного обміну для перевірки автентичності ШБО конкретного Учасника. Для цього шлюзи безпечного обміну повинні обмінятися зареєстрованими сертифікатами автентифікації та довіряти їм. Довірені сертифікати автентифікації поширюються через сервер Каталогу Учасників системи «Трембіта». Адміністратор системи «Трембіта» повинен перевірити отриманий запит на реєстрацію і, якщо запит дійсний, додати сертифікат автентифікації у перелік зареєстрованих у промисловому середовищі системи «Трембіта». Варто звернути увагу, що статус сертифіката автентифікації, який імпортовано в попередньому стані, «збережений», а не «зареєстровано». Це означає, що цей сертифікат ще не був відправлений на реєстрацію до серверу Каталогу Учасників. Для реєстрації сертифікату автентифікації та сертифікату шифрування Адміністратор вебсервісів у вебінтерфейсі ШБО повинен виконати наступні дії: 1. Перейти в розділ «Ключі і сертифікати». 2. Вибрати сертифікат шифрування (рядок під «Ключ: uaToken-encr (encr)»). 3. Натиснути на кнопку «Зареєструвати». Якщо всі попередні кроки виконані успішно, буде відображено повідомлення зеленого кольору з інформацією, що запит надіслано успішно, а також статус сертифіката шифрування повинен стати «в процесі реєстрації». 4. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці. 5. Натиснути на кнопку «Зареєструвати». Відкриється діалог «Запит на реєстрацію». 6. Ввести загальнодоступну («білу/публічну») IP-адресу шлюзу безпечного обміну (яка доступна через мережу Інтернет, була виділена для цього шлюзу безпечного обміну та налаштована на підготовчих кроках) або відповідне DNS-ім’я та натиснути на кнопку «OK». Якщо все зроблено коректно, статус сертифіката автентифікації повинен стати «в процесі реєстрації». Це означає, що запит був успішно відправлений шлюзом безпечного обміну. Наступним кроком є подача заявки на реєстрацію шлюзу безпечного обміну засобами Особистого кабінету Каталогу системи «Трембіта» (**Реєстрація ШБО в ядрі системи (Промислове середовище)**). Порядок подання зазначеної заявки вказаний в п. 7.3.4 Регламенту роботи системи «Трембіта». Адміністратор системи «Трембіта» повинен обробити заявку та підтвердити запит. Коли запит на реєстрацію буде схвалено, статус сертифікату автентифікації та сертифікату шифрування зміниться на «зареєстровано». Це може зайняти деякий час (з врахуванням часу обробки заявки), поки глобальна конфігурація не буде оновлена. Після отримання відповіді на заявку на реєстрацію шлюзу безпечного обміну можна перевірити сторінку «Ключі і сертифікати» у вебінтерфейсі шлюзу безпечного обміну. В разі необхідності можна оновлювати її. Оновлення глобальної конфігурації може зайняти декілька хвилин. Приклад вебінтерфейсу, коли всі сертифікати коректно зареєстровані: [](https://docs.trembita.gov.ua/uploads/images/gallery/2024-04/ZtzXTQmu9KSZjKYp-lFTimage.png)