Запрет создания сертификата из мобильного приложения

В некоторых сценариях использования мобильного приложения с Ключ SDK необходимо ограничить возможность самостоятельного создания пользователем запроса на сертификат. Данная настройка выполняется на сервере. Разработчик мобильного приложения может учесть данную настройку в пользовательском интерфейсе.

В пользовательском интерфейсе мобильного приложения КриптоПро Ключ данная настройка связана с настройкой запрета импорта сертификата с внешних носителей. На рисунке ниже рассмотрены следующие варианты доступных пользователю действий с добавлением сертификатов (слева направо):

• разрешено создавать запрос на сертификат и импортировать сертификат с внешнего носителя (NFC и USB-токена),
• разрешено только создавать запрос на сертификат,

• разрешено только импортировать сертификат с внешнего носителя.

  

Настройки на сервере (Сервис Взаимодействия с SDK)

Для разрешения или запрета создания сертификата из мобильного приложения необходимо выполнить следующие действия.

Set-MdagProperties -DisplayName <Имя экземпляра сервиса> -DisableClientInitiatedCertRequest <1 или 0>

По умолчанию создание сертификата разрешено (False). Значение параметра -DisableClientInitiatedCertRequest НЕ может быть передано при помощи REST API.

Настройки в Ключ SDK

Заданное на сервере значение параметра -DisableClientInitiatedCertRequest будет развернуто и получено в параметре clientSignEnrollmentEnabled политики взаимодействия с сервером (iOS, Android). При отсутствии данного поля создание сертификатов из мобильного приложения по умолчанию будет разрешено.

Пример:

Параметр -DisableClientInitiatedCertRequest, задаваемый на сервере, в случае его значения True запрещает создание сертификата. При этом в параметре политики взаимодействия с сервером соответствующее значение clientSignEnrollmentEnabled будет иметь значение False.