5.4.7. Настройка метода ЭП/сертификат - Avanpost FAM/MFA+

Общие сведения 

ЭП/сертификат – один из методов 2FA/MFA аутентификации в веб-приложениях, интегрированных с системой Avanpost FAM, при помощи криптографического сертификата или электронной подписи (ЭП). 

Системные требования:

  • Сервер Avanpost FAM 1.3.0 или выше;
  • КриптоПро CSP: 
    - для установки на сервер Avanpost FAM: 5.0 и выше;
    - для установки на клиентское устройство: 4.0 и выше.


Схема компонентов Решения при выполнении аутентификации в Avanpost FAM (или веб-приложении, интегрированном с Системой) по ЭП/сертификату

Настройка фактора ЭП/сертификат

Этап 1. Установка криптопровайдера (КриптоПро CSP) на сервер Avanpost FAM

Для установки КриптоПро CSP на сервер Avanpost FAM необходимо:

  1. Скачать дистрибутив КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads, выбрав нужную версию продукта в зависимости от архитектуры ОС (x86/ x64). 
  2. Разархивировать файл на сервер FAM.
  3. Для запуска установки перейти в директорию хранения КриптоПро CSP и выполнить команду:

    sudo ./linux-amd64_deb/install.sh
  4. Для активации лицензии:

    4.1. Перейти в папку с конфигом:

    cd /opt/cprocsp/sbin/amd64/

    4.2. Добавить лицензию с помощью команды:

    ./cpconfig -license -set 4040B-70000-01QYN-MTZF3-0RWTC

    где "4040B-70000-01QYN-MTZF3-0RWTC" – значение лицензионного ключа.

    Серийный номер следует вводить с соблюдением регистра символов

    4.3. Для отображения информации о текущей установленной лицензии CSP выполнить: 

    ./cpconfig -license -view
  5. Вписать в config.json сервера FAM настройку:

    "cryptoprovider": {
      "pathToCProCspDir": "/opt/cprocsp/bin/amd64",
    }

Этап 2. Установка криптопровайдера (КриптоПро CSP) на ARM пользователя.

Для установки КриптоПро CSP на ARM пользователя необходимо:

  1. Cкачать нужную версию дистрибутива КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads
  2. Запустить установочный файл и следовать инструкциям установщика.

Этап 3. Установка КриптоПро ЭЦП Browser plug-in 

Для установки КриптоПро ЭЦП Browser plug-in необходимо:

  1. Скачать установочный файл плагина для соответствующей операционной системы пользователя (Windows, Linux, macOS) с официального сайта: https://docs.cryptopro.ru/cades/plugin 
  2. Запустить установочный файл и следовать инструкциям мастера установки.

  3. Запустить браузер. Дальнейшие настройки отличаются в зависимости от используемого браузера:
    Google Chrome: после запуска браузера выйдет оповещение об установленном расширении CryptoPro Extension for CAdES Browser Plug-in. Нажать "Включить расширение".

    Актуально только для первичной загрузки. В случае, если установка расширения выполнялась ранее и впоследствии оно было удалено, необходимо загрузить CryptoPro Extension for CAdES Browser Plug-in из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome


    Chromium Edge: загрузить и установить расширение из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome
    Opera или Яндекс.Браузер: загрузка расширения доступна по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Opera/Яндекс.Браузер (Рисунок).


    Firefox:
    1. Скачать расширение по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Firefox.
    2. Перейти в настройки браузера с помощью кнопки "шестеренка" () Управление дополнительными настройками ⟶ Расширения и темы ⟶ Установить дополнение из файла (Рисунок).

    3. Выбрать загруженный файл в формате xpi и подтвердить добавление расширения в браузер с помощью кнопки "Добавить".
    Microsoft Internet Explorer: дополнительная установка расширения не требуется.

  4. Проверить корректность загруженного плагина на странице проверки.

Этап 3. Получение тестового сертификата от УЦ CRYPTO-PRO Test Center 2  

Для получения тестового сертификата необходимо: 

  1. Перейти на страницу расширенного запроса сертификата: https://www.cryptopro.ru/certsrv/certrqma.asp.
  2. Указать имя сертификата и нажать "Выдать".
  3. В открывшемся окне выбрать "Реестр" и нажать "Ок" (Рисунок).
  4. Установить сертификат после его выдачи (Рисунок).
  5. Открыть меню "Пуск" и в строке поиска ввести "Сертификаты" (Рисунок).
  6. Перейти в раздел "Сертификаты - текущий пользователь" "Личное" "Реестр" "Сертификаты" (Рисунок).
  7. Выбрать созданный сертификат и нажать «Копировать в файл» (Рисунок).
  8. Установить переключатель в положение исключения экспорта закрытого ключа вместе с сертификатом (Рисунок).
  9. Выбрать формат экпортируемого файла (Рисунок).
  10. Указать имя файла и путь выгрузки сертификата.

  11. Открыть сертификат любым редактором текста, например, Notepad++.

  12. Скопировать код сертификата (Рисунок).

Этап 4. Добавление УЦ CRYPTO-PRO Test Center 2 в доверенные

Для добавления УЦ в доверенные на примере CRYPTO-PRO Test Center 2 необходимо:

  1. Перейти на страницу загрузки сертификата ЦС: https://www.cryptopro.ru/certsrv/certcarc.asp
  2. Установить метод шифрования. 
  3. Выбрать пункт «Загрузка сертификата ЦС» (Рисунок).

  4. Перенести сертификат в любое место на устройство с развернутой средой FAM.

  5. Установить сертификат в системное хранилище корневых сертификатов с помощью команды:

    /opt/cprocsp/bin/amd64/certmgr -install -store uRoot -file certnew.cer
  6. Дождаться сообщения: 

    Подпись проверена.
    [ErrorCode: 0x00000000]

Этап 5. Добавление сертификата в карточку пользователя

Для добавления сертификата в карточку пользователя необходимо: 

  1. Перейти в консоль администратора Avanpost FAM.
  2. В карточке пользователя выбрать "Дополнительно" "Сертификаты".
  3. Для добавления сертификата нажать  , вставить скопированный ранее код сертификата в окно терминала и нажать "Сохранить".
  4. Добавленный сертификат появится в списке (Рисунок).

Этап 6. Определение сертификата через атрибут пользователя

В последних версиях Системы появилась возможность настройки привязки RDN субъекта сертификата к дополнительному атрибуту пользователя, что позволяет связывать идентификационную информацию, указанную в поле RDN сертификата, с информацией, хранящейся в других атрибутах пользователя. В этом случае поиск пользователя осуществляется через доп. атрибут, если сертификат не был внесен в карточку пользователя напрямую.

Для привязки сертификата к атрибуту пользователя необходимо осуществить настройку config.json сервера FAM по примеру:

"cryptoprovider": {
  "pathToCProCspDir": "/opt/cprocsp/bin/amd64",
  "certToUserLink": {
    "certSubjectRdnOid": "1.2.643.100.3",
    "userAttributeName": "snils"
  }
}

В поле certSubjectRdnOid необходимо указать OID RDN поля из Субъекта сертификата, который будет сопоставлен с атрибутом пользователя, указанном в поле userAttributeName.

Примеры certSubjectRdnOid:

  • Для СНИЛС - 1.2.643.100.3
  • Для ИНН - 1.2.643.3.131.1.1

Этап 7. Настройка аутентификации по сертификату

Для активации фактора аутентификации ЭП/сертификат в веб-приложении необходимо: 

  1. Перейти в консоль администратора Avanpost FAM.
  2. В карточке нужного приложения перейти на вкладку "MFA".
  3. В списке шагов выбрать "Сертификат" и установить переключатель в положение "Активно" (Рисунок).
  4. Во время авторизации выбрать фактор «Сертификат» (Рисунок).

  5. После подтверждения доступа выбрать из списка нужный сертификат (Рисунок).



  6. Ввести пароль, указанный ранее во время выдачи сертификата, и нажать «Ок» (Рисунок).

Проверка настройки: 

  1. Инициировать вход в веб-приложение по сертификату.
  2. Выбрать нужный сертификат из списка.
    Результат: выполнена успешная аутентификация в веб-ресурсе.


Обсуждение