Управление сервисными сертификатами

Установление отношений доверия между компонентами КриптоПро DSS и Центром Идентификации необходимо для проверки издателя маркера безопасности, с которым аутентифицируется Пользователь. Только маркеры безопасности, подписанные доверенным издателем, будут приняты на компонентах СЭП.

В связи с этим каждому из компонентов КриптоПро DSS требуется сервисный сертификат.

На рисунке ниже изображена настройка сервисных сертификатов в компонентах КриптоПро DSS. Рисунок иллюстрирует следующие требования к настройке и взаимодействию компонентов КриптоПро DSS:

  1. Каждому компоненту КриптоПро DSS назначается сервисный сертификат. Назначение сервисных сертификатов осуществляется с помощью командлетов вида Set-...Properties.
  2. Между Центром Идентификации и остальными компонентами КриптоПро DSS необходимо установить отношения доверия. Установка отношений доверия осуществляется путем регистрации сервисного сертификата ЦИ в компонентах КриптоПро DSS (используются командлеты вида Add-...RelyingPartyTrust).
  3. Центр Идентификации должен быть зарегистрирован на остальных компонентах КриптоПро DSS как доверенный издатель маркеров безопасности (используются командлеты вида Add-...ClaimsProviderTrust, см. сценарии настройки компонентов).
  4. Для некоторых компонентов (Сервис Аудита, Веб-интерфейс Пользователя) должны быть настроены требования аутентификации доверенной стороны.
Внимание!

Если регистрация доверенной стороны производилась через метаданные, аутентификация доверенной стороны была настроена автоматически. Смена аутентификационных данных доверенной стороны описана в соответствующем разделе.

image052.png

Внимание!

Сертификат веб-сервера, на котором разворачивается MDAG, должен удовлетворять следующим требованиям:

  • выдан аккредитованным УЦ либо УЦ https://tlsca.cryptopro.ru/tls-center.htm (только для мобильных приложений DSS Client и myDSS 2.0);
  • подписан с использованием алгоритма, определенного в ГОСТ Р 34.10-2012;
  • содержит расширение Extended Key Usage со значением проверки подлинности сервера;
  • содержит расширение Subject Alternative Name с указанием адреса сервера, на котором разворачивается mDAG.

Также в этом разделе: