Общие сведения

ЭП/сертификат – один из методов 2FA/MFA аутентификации в веб-приложениях, интегрированных с системой Avanpost FAM, при помощи криптографического сертификата или электронной подписи (ЭП).

Системные требования:

  • Сервер Avanpost FAM 1.3.0 или выше;
  • КриптоПро CSP:
    - для установки на сервер Avanpost FAM: 5.0 и выше;
    - для установки на клиентское устройство: 4.0 и выше.


Схема компонентов Решения при выполнении аутентификации в Avanpost FAM (или веб-приложении, интегрированном с Системой) по ЭП/сертификату

Настройка фактора ЭП/сертификат

Этап 1. Установка криптопровайдера (КриптоПро CSP) на сервер Avanpost FAM

Для установки КриптоПро CSP на сервер Avanpost FAM необходимо:

  1. Скачать дистрибутив КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads , выбрав нужную версию продукта в зависимости от архитектуры ОС (x86/ x64).
  2. Разархивировать файл на сервер FAM.
  3. Для запуска установки перейти в директорию хранения КриптоПро CSP и выполнить команду:

    sudo ./linux-amd64_deb/install.sh
  4. Для активации лицензии:

    4.1. Перейти в папку с конфигом:

    cd /opt/cprocsp/sbin/amd64/

    4.2. Добавить лицензию с помощью команды:

    ./cpconfig -license -set 4040B-70000-01QYN-MTZF3-0RWTC

    где "4040B-70000-01QYN-MTZF3-0RWTC" – значение лицензионного ключа.

    Серийный номер следует вводить с соблюдением регистра символов

    4.3. Для отображения информации о текущей установленной лицензии CSP выполнить:

    ./cpconfig -license -view
  5. Вписать в config.json сервера FAM настройку:

    "cryptoprovider": {
    "pathToCProCspDir": "/opt/cprocsp/bin/amd64",
    }

Этап 2. Установка криптопровайдера (КриптоПро CSP) на ARM пользователя.

Для установки КриптоПро CSP на ARM пользователя необходимо:

  1. Cкачать нужную версию дистрибутива КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads .
  2. Запустить установочный файл и следовать инструкциям установщика.

Этап 3. Установка КриптоПро ЭЦП Browser plug-in

Для установки КриптоПро ЭЦП Browser plug-in необходимо:

  1. Скачать установочный файл плагина для соответствующей операционной системы пользователя (Windows, Linux, macOS) с официального сайта: https://docs.cryptopro.ru/cades/plugin
  2. Запустить установочный файл и следовать инструкциям мастера установки.

  3. Запустить браузер. Дальнейшие настройки отличаются в зависимости от используемого браузера :
    Google Chrome : после запуска браузера выйдет оповещение об установленном расширении CryptoPro Extension for CAdES Browser Plug-in. Нажать "Включить расширение".

    Актуально только для первичной загрузки. В случае, если установка расширения выполнялась ранее и впоследствии оно было удалено, необходимо загрузить CryptoPro Extension for CAdES Browser Plug-in из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome


    Chromium Edge : загрузить и установить расширение из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome
    Opera или Яндекс.Браузер : загрузка расширения доступна по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Opera/Яндекс.Браузер ( Рисунок ).


    Firefox:
    1. Скачать расширение по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Firefox .
    2. Перейти в настройки браузера с помощью кнопки "шестеренка" ( ) Управление дополнительными настройками ⟶ Расширения и темы ⟶ Установить дополнение из файла ( Рисунок ).

    3. Выбрать загруженный файл в формате xpi и подтвердить добавление расширения в браузер с помощью кнопки "Добавить".
    Microsoft Internet Explorer : дополнительная установка расширения не требуется.

  4. Проверить корректность загруженного плагина на странице проверки .

Этап 3. Получение тестового сертификата от УЦ CRYPTO-PRO Test Center 2

Для получения тестового сертификата необходимо:

  1. Перейти на страницу расширенного запроса сертификата: https://www.cryptopro.ru/certsrv/certrqma.asp .
  2. Указать имя сертификата и нажать " Выдать" .
  3. В открывшемся окне выбрать " Реестр" и нажать " Ок" ( Рисунок ).
  4. Установить сертификат после его выдачи ( Рисунок ).
  5. Открыть меню " Пуск" и в строке поиска ввести "Сертификаты" ( Рисунок ).
  6. Перейти в раздел " Сертификаты - текущий пользователь" "Личное" "Реестр" "Сертификаты" ( Рисунок ).
  7. Выбрать созданный сертификат и нажать «Копировать в файл» ( Рисунок ).
  8. Установить переключатель в положение исключения экспорта закрытого ключа вместе с сертификатом ( Рисунок ).
  9. Выбрать формат экпортируемого файла ( Рисунок ).
  10. Указать имя файла и путь выгрузки сертификата.

  11. Открыть сертификат любым редактором текста, например, Notepad++.

  12. Скопировать код сертификата ( Рисунок ).

Этап 4. Добавление УЦ CRYPTO-PRO Test Center 2 в доверенные

Для добавления УЦ в доверенные на примере CRYPTO-PRO Test Center 2 необходимо:

  1. Перейти на страницу загрузки сертификата ЦС: https://www.cryptopro.ru/certsrv/certcarc.asp .
  2. Установить метод шифрования.
  3. Выбрать пункт « Загрузка сертификата ЦС» ( Рисунок ).

  4. Перенести сертификат в любое место на устройство с развернутой средой FAM.

  5. Установить сертификат в системное хранилище корневых сертификатов с помощью команды:

    /opt/cprocsp/bin/amd64/certmgr -install store -uRoot -file certnew.cer
  6. Дождаться сообщения:

    Подпись проверена.
    [ErrorCode: 0x00000000]

Этап 5. Добавление сертификата в карточку пользователя

Для добавления сертификата в карточку пользователя необходимо:

  1. Перейти в консоль администратора Avanpost FAM.
  2. В карточке пользователя выбрать "Дополнительно" "Сертификаты" .
  3. Для добавления сертификата нажать , вставить скопированный ранее код сертификата в окно терминала и нажать "Сохранить".
  4. Добавленный сертификат появится в списке ( Рисунок ).

Этап 6. Определение сертификата через атрибут пользователя

В последних версиях Системы появилась возможность настройки привязки RDN субъекта сертификата к дополнительному атрибуту пользователя, что позволяет связывать идентификационную информацию, указанную в поле RDN сертификата, с информацией, хранящейся в других атрибутах пользователя. В этом случае поиск пользователя осуществляется через доп. атрибут, если сертификат не был внесен в карточку пользователя напрямую.

Для привязки сертификата к атрибуту пользователя необходимо осуществить настройку config.json сервера FAM по примеру:

"cryptoprovider": {
"pathToCProCspDir": "/opt/cprocsp/bin/amd64",
"certToUserLink": {
"certSubjectRdnOid": "1.2.643.100.3",
"userAttributeName": "snils"
}
}

В поле certSubjectRdnOid необходимо указать OID RDN поля из Субъекта сертификата, который будет сопоставлен с атрибутом пользователя, указанном в поле userAttributeName .

Примеры certSubjectRdnOid :

  • Для СНИЛС - 1.2.643.100.3
  • Для ИНН - 1.2.643.3.131.1.1

Этап 7. Настройка аутентификации по сертификату

Для активации фактора аутентификации ЭП/сертификат в веб-приложении необходимо:

  1. Перейти в консоль администратора Avanpost FAM.
  2. В карточке нужного приложения перейти на вкладку "MFA".
  3. В списке шагов выбрать "Сертификат" и установить переключатель в положение "Активно" ( Рисунок ).
  4. Во время авторизации выбрать фактор «Сертификат» ( Рисунок ).

  5. После подтверждения доступа выбрать из списка нужный сертификат ( Рисунок ).



  6. Ввести пароль, указанный ранее во время выдачи сертификата, и нажать «Ок» ( Рисунок ).

Проверка настройки:

  1. Инициировать вход в веб-приложение по сертификату.
  2. Выбрать нужный сертификат из списка.
    Результат: выполнена успешная аутентификация в веб-ресурсе.