Перед началом работы с Центром сертификации Aladdin eCA и доступа к ресурсам необходимо произвести двустороннюю HTTPS‑аутентификацию пользователя для входа в учётную запись, когда веб‑клиент проверяет сертификат веб‑сервера и веб‑сервер проверяет сертификат веб‑клиента.

Аутентификация с использованием сертификата, перенесённого на жесткий диск

Полученный администратором контейнер сертификата доступа для аутентификации на веб‑сервере Центра сертификации Aladdin eCA необходимо перенести любым удобным способом на жёсткий диск СВТ для его дальнейшей установки в хранилище сертификатов веб-браузера для сохранения информации о доверенных сертификатах с целью успешного подключения к серверу на клиентской стороне.

Для установки сертификата в доверенное хранилище сертификатов вашего веб-браузера выполните нижеописанные действия. Процесс установки сертификата доступа в доверенное хранилище рассмотрим на примере веб-браузера Firefox:

  • Откройте веб-браузер Firefox – Настройки – Приватность и Защита – Сертификаты (см. Рисунок 33). Нажмите кнопку <Просмотр сертификатов>.

Рисунок 33 – Окно настроек веб-браузера

  • Выберите вкладку «Ваши сертификаты», в открывшейся вкладке нажмите кнопку <Импортировать> (см. Рисунок 34).

Рисунок 34 – Окно управления сертификатами

  • Выберите контейнер .р12, содержащий закрытый ключ и сертификат доступа, перенесённый на жесткий диск, выпущенный для учётной записи пользователя (см. Рисунок 35).

Рисунок 35 – Окно выбора импортируемого файла сертификата

  • Введите PIN‑код загружаемого контейнера .р12 в открывшемся окне и нажмите кнопку <Ок> (см. Рисунок 36). PIN‑код сертификата является атрибутом безопасности и должен быть передан администратором с контейнером закрытого ключа и сертификата.

Рисунок 36 – Окно ввода PIN‑кода сертификата

  • В таблице окна «Управление сертификатами» появится запись об импортированном сертификате (см. Рисунок 37). Нажмите кнопку <ОК>.

Рисунок 37 – Окно «Управление сертификатами»

  • В адресную строку веб-браузера введите ip‑адрес или полное доменное имя сервера, выдавшего импортированный сертификат доступа, на котором произведена установка Центра сертификации Aladdin eCA.

Например:

https://172.22.5.21
  • В открывшемся окне выберите сертификат для аутентификации на веб‑сервере Центра сертификации Aladdin eCA (см. Рисунок 38). Нажмите кнопку <ОК>.

Рисунок 38 – Окно выбора сертификата для аутентификации

  • Далее откроется страница с предупреждением системы безопасности (см. Рисунок 39). Нажмите кнопку <Дополнительно>.

Рисунок 39 – Страница с предупреждением системы безопасности

  • По нажатию кнопки <Дополнительно> на странице предупреждения системы безопасности осуществляется переход на страницу ошибки распознавания сертификата (см. Рисунок 40). Нужно принять риски, нажав кнопку <Принять риск и продолжить> на текущей странице.

Рисунок 40 – Страница ошибки распознавания сертификата

  • В случае отказа в доступе к веб‑интерфейсу Центра сертификации Aladdin eCA пользователь будет уведомлен сообщением об ошибке. Возможные причины отказа:
    • сертификат доступа пользователя не импортирован в доверенное хранилище веб-браузера;
    • отсутствие издателя сертификата доступа, импортированного в доверенное хранилище веб-браузера, в списке разрешённых издателей веб‑сервера;
    • остановка работы служб Центра сертификации Aladdin eCA на веб‑сервере;
    • срок действия сертификата доступа истёк;
    • действия сертификата было приостановлено или сертификат отозван.

В случае отказа доступа обратитесь к Администратору Центра сертификации Aladdin eCA.

Рисунок 41 – Окно «Управление сертификатами»

  • В случае успешной аутентификации пользователя будет сформировано защищённое соединение клиент – сервер и предоставлен доступ к веб‑интерфейсу Центра сертификации Aladdin eCA.

Аутентификация с использованием сертификата на ключевом носителе

Настройка СВТ для двухфакторной аутентификации администратора по сертификату на ключевом носителе

Для настройки сначала выполните установку Единого Клиента JaCarta (см. раздел 4.2.1), а затем выполните настройку веб-браузера (настройку Firefox см. в разделе 4.2.1.2, настройку Chromium в зависимости от ОС см. в подразделах 4.2.1.3 и 4.2.1.4).

Установка Единого Клиента JaCarta

  • Для поддержки ключевых носителей произведите установку Единого Клиента JaCarta, для этого:
    • Скопируйте на компьютер в одну папку файлы из дистрибутива для дальнейшей инсталляции:
      • sh;
      • jacartauc_*_ro_x64.rpm;
      • jcpkcs11‑2_*_x64.rpm;
      • jcsecurbio_*_x64.rpm;
      • RPM‑GPG‑KEY‑ALADDIN_RD‑AO.public (Открытый ключ АО "Аладдин Р.Д.").
    • Под пользователем с правами администратора запустите эмулятор терминала.
    • В эмуляторе терминала прейдите в папку с дистрибутивами, выполнив команду:
cd …/…/…
  • Установите Единый Клиент JaCarta, выполнив команду:
bash install.sh

Подробное описание процедуры установки Единого Клиента JaCarta приведено в разделе 4 RU.АЛДЕ.03.01.013‑01 32 01‑2 «Единый Клиент JaCarta. Руководства администратора «Аладдин Р.Д.».

  • Только для ОС Astra Linux Special Edition 1.7 произведите подготовку операционной системы, установив дополнительную библиотеку службы сетевой безопасности, выполнив команду от имени текущего пользователя:
apt install libnss3‑tools

Текущий локальный пользователь должен иметь права на файлы к папке ~/.pki/nssdb/.

  • Рекомендуется очистить кэш веб-браузера и ранее применённые решения по аутентификации в веб-браузере (для веб-браузера Firefox: Настройки ‑> Приватность и защита ‑> Сертификаты ‑> Просмотр сертификатов).

Настройка веб-браузера Firefox для РЕД ОС 7.3, Альт 8 СП релиз 10, Astra Linux Special Edition 1.7

  • Выполните настройку веб-браузера Firefox, если подключение к серверу Центра сертификации Aladdin eCA будет выполнено в этом веб-браузере:
    • откройте Настройки ‑> Приватность и защита ‑> Сертификаты ‑> Устройства защиты;
    • в диалоговом окне нажмите кнопка <Загрузить>;
    • в окне загрузки драйвера нажмите кнопку <Обзор> и выберите файл модуля libjcPKCS11‑2.so[1] (см. Рисунок 42) и подтвердите загрузку модуля, нажав кнопку <ОК>;

Рисунок 42 – Настройка веб-браузера Firefox

    • перезапустите веб-браузер.

Настройка веб-браузера Chromium для РЕД ОС 7.3 и Альт 8 СП релиз 10

  • Выполните настройку веб-браузера Chromium, если подключение к серверу Центра сертификации Aladdin eCA будет выполнено в этом веб-браузере посредством ОС РЕД ОС 7.3 или Альт 8 СП, релиз 10:
    • удалите каталог локальной библиотеки сертификатов, выполнив команду:
rm ‑rf ~/.pki
    • cоздайте каталог локальной библиотеки сертификатов, выполнив команду под текущим пользователем:
mkdir ~/.pki/nssdb
    • инициализируйте локальную библиотеку сертификатов, выполнив команду под текущим пользователем:
certutil ‑‑empty‑password ‑d ~/.pki/nssdb ‑N
    • подключите модуль к локальной библиотеке сертификатов nssdb, выполнив команду под текущим пользователем:
modutil ‑dbdir sql:.pki/nssdb/ ‑add “JaCarta” ‑libfile /usr/lib64/libjcPKCS11‑2.so
    • перезапустите веб-браузер.

Настройка веб-браузера Chromium для Astra Linux Special Edition 1.7

  • Выполните настройку веб-браузера Chromium, если подключение к серверу Центра сертификации Aladdin Enterprise Certification Authority будет выполнено в этом веб-браузере посредством Astra Linux Special Edition 7:
    • подключите модуль nssdb для работы с сертификатами, выполнив команду:
modutil ‑dbdir sql:.pki/nssdb/ ‑add “JaCarta” ‑libfile /lib/libjcPKCS11‑2.so
    • перезапустите веб-браузер.

[1] Файл модуля libjcPKCS11-2.so создается при успешной установке Единого Клиента JaCarta (описание установки было выше в 4.2.1). В зависимости от операционной системы файл модуля может находиться в каталогах /lib, /usr/lib, /lib64, /usr/lib64. Для поиска можно использовать команду: find {/lib,/usr/lib,/lib64,/usr/lib64} -name libjcPKCS11-2.so. В примере файл модуля находится в каталоге /usr/lib64 (Рисунок 42).

Двухфакторная аутентификация администратора по сертификату на ключевом носителе

  • Полученный оператором ключевой носитель с записанным на нём сертификатом доступа для аутентификации на веб‑сервере Центра сертификации Aladdin eCA необходимо подключить в USB‑порт предварительного настроенного средства вычислительной техники – рабочего места оператора/администратора для его дальнейшей аутентификации с целью успешного подключения к серверу на клиентской стороне.
  • Откройте веб-браузер, для которого была выполнена первичная настройка двухфакторной аутентификации (согласно раздел 2.1 настоящего руководства), и введите в адресную строку IP‑адрес или полное доменное имя сервера (в зависимости от SAN, указанного в сертификате веб‑сервера), выдавшего импортированный сертификат доступа, на котором произведена установка Центра сертификации Aladdin eCA.

Например:

https://172.22.5.21
  •  В появившемся окне введите PIN‑код ключевого носителя.

Рисунок 43 – Окно ввода PIN‑кода ключевого носителя

  • В появившемся окне выберите сертификат с подключенного ключевого носителя.

Рисунок 44 – Окно выбора сертификата пользователя для аутентификации на сервере

Время действия токена доступа – 3 минуты.

Время действия токена обновления – 24 часа, то есть по истечению времени действия токена обновления будет требоваться повторная аутентификация пользователя для доступа к серверу Центра сертификации Aladdin eCA.