Аутентификация по сертификату

Идентификатор: 

http://dss.cryptopro.ru/identity/authenticationmethod/certificate

Если в качестве метода первичной аутентификации Пользователю назначен вход по сертификату, то вход в Веб-интерфейс Пользователя или личный кабинет на Центре Идентификации требуется осуществляется по двустороннему TLS-соединению с клиентской аутентификацией.

Пользователь может быть успешно аутентифицирован по сертификату при выполнении следующих условий:

  • Сертификат Пользователя является доверенным для сервера DSS.
  • Значение поля Субъект в сертификате совпадает с отличительным именем Пользователя DSS.
  • В сертификате должно содержаться расширение Enhanced Key Usage: 1.3.6.1.5.5.7.3.2 (Проверка подлинности клиента).

Для удобства выполнения второго условия аутентификации различительное имя Пользователя может быть автоматически заполнено правильными значениями из сертификата Пользователя.

Примечание

Если в качестве метода первичной аутентификации пользователю назначен вход по сертификату, то необходимо включить требование уникальности
различительного имени:

Set-DssAccountPolicy –RequireUniqueDn 1

При выполнении данного командлета будет проверена база данных на наличие дублирующихся различительных имен пользователей. Если будут найдены два и более пользователей с совпадающими различительными именами, то соответствующее требование уникальности не может быть включено.

КриптоПро DSS поддерживает выделенное хранилище издателей сертификатов аутентификации. Имя хранилища можно посмотреть в выводе параметра -ClientAuthenticationIssuersStoreName командлета Get-DssStsProperties (по умолчанию – STS Client Authentication Issuers). Использование данного хранилища регулируется параметром -IsClientAuthenticationIssuersStoreEnabled.

Для проверки подлинности сертификата веб-сервером необходимо добавить корневой сертификат издателя сертификата в хранилище «Доверенные корневые центры сертификации» локального компьютера.

(Необязательно) Для проверки подлинности сертификата со стороны КриптоПро DSS необходимо поместить корневой сертификат издателя сертификата в специализированное хранилище <Имя_веб-приложения_ЦИ> Client Authentication Issuers. Данная проверка возможна только после ее активации. Для активации проверки необходимо выполнить следующую команду:

Set-DssStsProperties –IsClientAuthenticationIssuersStoreEnabled 1