Общие сведения
ЭП/сертификат – один из методов 2FA/MFA аутентификации в веб-приложениях, интегрированных с системой Avanpost FAM, при помощи криптографического сертификата или электронной подписи (ЭП).
Системные требования:
- Сервер Avanpost FAM 1.3.0 или выше;
- КриптоПро CSP:
- для установки на сервер Avanpost FAM: 5.0 и выше;
- для установки на клиентское устройство: 4.0 и выше.
Схема компонентов Решения при выполнении аутентификации в Avanpost FAM (или веб-приложении, интегрированном с Системой) по ЭП/сертификату
Настройка фактора ЭП/сертификат
Этап 1. Установка криптопровайдера (КриптоПро CSP) на сервер Avanpost FAM
Для установки КриптоПро CSP на сервер Avanpost FAM необходимо:
- Скачать дистрибутив КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads, выбрав нужную версию продукта в зависимости от архитектуры ОС (x86/ x64).
- Разархивировать файл на сервер FAM.
Для запуска установки перейти в директорию хранения КриптоПро CSP и выполнить команду:
sudo ./linux-amd64_deb/install.sh
Для активации лицензии:
4.1. Перейти в папку с конфигом:
cd /opt/cprocsp/sbin/amd64/
4.2. Добавить лицензию с помощью команды:
./cpconfig -license -set 4040B-70000-01QYN-MTZF3-0RWTC
где "4040B-70000-01QYN-MTZF3-0RWTC" – значение лицензионного ключа.
Серийный номер следует вводить с соблюдением регистра символов
4.3. Для отображения информации о текущей установленной лицензии CSP выполнить:
./cpconfig -license -view
Вписать в config.json сервера FAM настройку:
"cryptoprovider": {
"pathToCProCspDir": "/opt/cprocsp/bin/amd64",
}
Этап 2. Установка криптопровайдера (КриптоПро CSP) на ARM пользователя.
Для установки КриптоПро CSP на ARM пользователя необходимо:
- Cкачать нужную версию дистрибутива КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads.
Запустить установочный файл и следовать инструкциям установщика.
Этап 3. Установка КриптоПро ЭЦП Browser plug-in
Для установки КриптоПро ЭЦП Browser plug-in необходимо:
- Скачать установочный файл плагина для соответствующей операционной системы пользователя (Windows, Linux, macOS) с официального сайта: https://docs.cryptopro.ru/cades/plugin
Запустить установочный файл и следовать инструкциям мастера установки.
Запустить браузер. Дальнейшие настройки отличаются в зависимости от используемого браузера:
Google Chrome: после запуска браузера выйдет оповещение об установленном расширении CryptoPro Extension for CAdES Browser Plug-in. Нажать "Включить расширение".Актуально только для первичной загрузки. В случае, если установка расширения выполнялась ранее и впоследствии оно было удалено, необходимо загрузить CryptoPro Extension for CAdES Browser Plug-in из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome
Chromium Edge: загрузить и установить расширение из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome
Opera или Яндекс.Браузер: загрузка расширения доступна по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Opera/Яндекс.Браузер (Рисунок).
Firefox:
1. Скачать расширение по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Firefox.
2. Перейти в настройки браузера с помощью кнопки "шестеренка" ()⟶ Управление дополнительными настройками ⟶ Расширения и темы ⟶ Установить дополнение из файла (Рисунок).
3. Выбрать загруженный файл в формате xpi и подтвердить добавление расширения в браузер с помощью кнопки "Добавить".
Microsoft Internet Explorer: дополнительная установка расширения не требуется.- Проверить корректность загруженного плагина на странице проверки.
Этап 3. Получение тестового сертификата от УЦ CRYPTO-PRO Test Center 2
Для получения тестового сертификата необходимо:
- Перейти на страницу расширенного запроса сертификата: https://www.cryptopro.ru/certsrv/certrqma.asp.
- Указать имя сертификата и нажать "Выдать".
- В открывшемся окне выбрать "Реестр" и нажать "Ок" (Рисунок).
- Установить сертификат после его выдачи (Рисунок).
- Открыть меню "Пуск" и в строке поиска ввести "Сертификаты" (Рисунок).
- Перейти в раздел "Сертификаты - текущий пользователь" ⟶ "Личное" ⟶ "Реестр" ⟶ "Сертификаты" (Рисунок).
- Выбрать созданный сертификат и нажать «Копировать в файл» (Рисунок).
- Установить переключатель в положение исключения экспорта закрытого ключа вместе с сертификатом (Рисунок).
- Выбрать формат экпортируемого файла (Рисунок).
Указать имя файла и путь выгрузки сертификата.
Открыть сертификат любым редактором текста, например, Notepad++.
Скопировать код сертификата (Рисунок).
Этап 4. Добавление УЦ CRYPTO-PRO Test Center 2 в доверенные
Для добавления УЦ в доверенные на примере CRYPTO-PRO Test Center 2 необходимо:
- Перейти на страницу загрузки сертификата ЦС: https://www.cryptopro.ru/certsrv/certcarc.asp.
- Установить метод шифрования.
- Выбрать пункт «Загрузка сертификата ЦС» (Рисунок).
Перенести сертификат в любое место на устройство с развернутой средой FAM.
Установить сертификат в системное хранилище корневых сертификатов с помощью команды:
/opt/cprocsp/bin/amd64/certmgr -install -store uRoot -file certnew.cer Дождаться сообщения:
Подпись проверена. [ErrorCode: 0x00000000]
Этап 5. Добавление сертификата в карточку пользователя
Для добавления сертификата в карточку пользователя необходимо:
- Перейти в консоль администратора Avanpost FAM.
- В карточке пользователя выбрать "Дополнительно" ⟶ "Сертификаты".
- Для добавления сертификата нажать , вставить скопированный ранее код сертификата в окно терминала и нажать "Сохранить".
- Добавленный сертификат появится в списке (Рисунок).
Этап 6. Определение сертификата через атрибут пользователя
В последних версиях Системы появилась возможность настройки привязки RDN субъекта сертификата к дополнительному атрибуту пользователя, что позволяет связывать идентификационную информацию, указанную в поле RDN сертификата, с информацией, хранящейся в других атрибутах пользователя. В этом случае поиск пользователя осуществляется через доп. атрибут, если сертификат не был внесен в карточку пользователя напрямую.
Для привязки сертификата к атрибуту пользователя необходимо осуществить настройку config.json сервера FAM по примеру:
"cryptoprovider": { |
В поле certSubjectRdnOid необходимо указать OID RDN поля из Субъекта сертификата, который будет сопоставлен с атрибутом пользователя, указанном в поле userAttributeName.
Примеры certSubjectRdnOid:
- Для СНИЛС - 1.2.643.100.3
- Для ИНН - 1.2.643.3.131.1.1
Этап 7. Настройка аутентификации по сертификату
Для активации фактора аутентификации ЭП/сертификат в веб-приложении необходимо:
- Перейти в консоль администратора Avanpost FAM.
- В карточке нужного приложения перейти на вкладку "MFA".
- В списке шагов выбрать "Сертификат" и установить переключатель в положение "Активно" (Рисунок).
Во время авторизации выбрать фактор «Сертификат» (Рисунок).
После подтверждения доступа выбрать из списка нужный сертификат (Рисунок).
Ввести пароль, указанный ранее во время выдачи сертификата, и нажать «Ок» (Рисунок).
Проверка настройки:
- Инициировать вход в веб-приложение по сертификату.
- Выбрать нужный сертификат из списка.
Результат: выполнена успешная аутентификация в веб-ресурсе.