Аутентификация по сертификату
Идентификатор:
http://dss.cryptopro.ru/identity/authenticationmethod/certificate
Если в качестве метода первичной аутентификации Пользователю назначен вход по сертификату, то вход в Веб-интерфейс Пользователя или личный кабинет на Центре Идентификации требуется осуществляется по двустороннему TLS-соединению с клиентской аутентификацией.
Пользователь может быть успешно аутентифицирован по сертификату при выполнении следующих условий:
- Сертификат Пользователя является доверенным для сервера DSS.
- Значение поля Субъект в сертификате совпадает с отличительным именем Пользователя DSS.
- В сертификате должно содержаться расширение Enhanced Key Usage:
1.3.6.1.5.5.7.3.2
(Проверка подлинности клиента).
Для удобства выполнения второго условия аутентификации различительное имя Пользователя может быть автоматически заполнено правильными значениями из сертификата Пользователя.
Примечание
Если в качестве метода первичной аутентификации пользователю назначен
вход по сертификату, то необходимо включить требование уникальности
различительного имени:
Set-DssStsProperties –RequireUniqueDn
При выполнении данного командлета будет проверена база данных на наличие дублирующихся различительных имён пользователей. Если будут найдены два и более пользователей с совпадающими различительными именами, то соответствующее требование уникальности не может быть включено.
КриптоПро DSS поддерживает выделенное хранилище издателей сертификатов
аутентификации. Имя хранилища можно посмотреть в выводе параметра
-ClientAuthenticationIssuersStoreName
командлета Get-DssStsProperties
(по умолчанию – STS Client Authentication Issuers
). Использование
данного хранилища регулируется параметром -IsClientAuthenticationIssuersStoreEnabled
.
Для проверки подлинности сертификата веб-сервером необходимо добавить корневой сертификат издателя сертификата в хранилище «Доверенные корневые центры сертификации» локального компьютера.
(Необязательно) Для проверки подлинности сертификата со стороны КриптоПро
DSS необходимо поместить корневой сертификат издателя сертификата в
специализированное хранилище <Имя_веб-приложения_ЦИ> Client Authentication Issuers
.
Данная проверка возможна только после ее активации. Для активации проверки
необходимо выполнить следующую команду:
Set-DssStsProperties –IsClientAuthenticationIssuersStoreEnabled 1