Подключение к веб-интерфейсу
Веб‑интерфейс представляется собой графический интерфейс в виде совокупности динамических веб‑страниц, отображаемых в веб‑браузере. Веб‑интерфейс реализован клиентским компонентом Центра регистрации Aladdin eRA и предназначен для управления серверным компонентом Центра регистрации Aladdin eRA (выполнения доступных пользователю в рамках его полномочий действий).
Подключение к веб‑интерфейсу Центра регистрации Aladdin eRA выполняется из веб‑браузера удаленно по сети передачи данных с компьютера получателя сертификатов (субъекта РС). Учетная запись получателя сертификатов автоматически активируется (регистрируется) после первой успешной авторизации в Центре регистрации Aladdin eRA.
Канал управления является защищенным — организован по протоколу HTTPS/TLS с односторонней аутентификацией и шифрованием передаваемых данных. Для проверки подлинности сертификата веб-сервера Центра регистрации Aladdin eRA получите у администратора и установите в хранилище «Доверенные корневые центры сертификации» корневой сертификат издающего Центра сертификации eCA, к которому подключен Центр регистрации Aladdin eRA.
Получатели сертификатов (субъекты РС) (пользователи с доменными учётными записями [1]) могут проходить идентификацию и аутентификацию в Центре регистрации Aladdin eRA по комбинации доменного имени и пароля или по Kerberos‑билету. Для успешной аутентификации в веб-браузере должна быть настроена Kerberos-аутентификации (инструкция по настройке приведена в разделе 3.2). Информация о домене отображена в окне авторизации в поле «Домен».
Порядок подключения к веб‑интерфейсу Центра регистрации Aladdin eRA:
- Запустите веб‑браузер и в адресной строке введите IP‑адрес или доменное имя компьютера, на котором установлен Центр регистрации Aladdin eRA (например, https://172.22.5.21).
- На открывшейся странице с предупреждением системы безопасности (см. Рисунок 1) нажмите кнопку <Дополнительно>, примите риск и продолжите подключение.
Рисунок 1 – Страница с предупреждением системы безопасности
- После установки TLS‑соединения для неаутентифицированного пользователя отображается интерфейс для прохождения процедуры идентификации и аутентификации (см. Рисунок 2).
Рисунок 2 – Окно авторизации
- Для идентификации и аутентификации по комбинации доменного имени и пароля введите в соответствующих полях доменное имя и пароль учетной записи получателя сертификатов (субъекта РС), нажмите на кнопку <Войти>.
- Для идентификации и аутентификации с помощью Kerberos-билету нажмите кнопку .
Если у пользователя отсутствовала [2] учётная запись в Центре регистрации Aladdin eRA, то она будет автоматически создана с ролью «Получатель сертификатов».
В результате получателю сертификатов (субъекту РС) будет предоставлен доступ к веб-интерфейсу Центра регистрации Aladdin eRA (описание см. в разделе 3.3).
При аутентификации по доменному имени и паролю могут возникать ошибки, приведенные в таблице ниже (Таблица 1).
Таблица 1 – Типовые ошибки при аутентификации по доменному имени и паролю
Ошибка | Описание |
|---|---|
«Аккаунт заблокирован» | Доменная учётная запись или учётная запись заблокирована в программе |
«Достигнуто предельное число сессий аккаунта» | Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в Центре регистрации Aladdin eRA. |
При аутентификации по Kerberos‑билету могут возникать ошибки, приведенные в таблице ниже
(Таблица 2).
Таблица 2 – Типовые ошибки при аутентификации по Kerberos‑билету
Ошибка | Описание |
|---|---|
«Full authentication is required to access this resource» | Браузер не был настроен для аутентификации по Kerberos‑билету – необходимо выполнить инструкцию по настройке браузера. |
«Срок действия Kerberos‑билета истек» | Срок действия Kerberos‑билета истек – необходимо получить новый билет или продлить срок его действия. |
«Аккаунт заблокирован» | Доменная учётная запись или учётная запись в программе заблокирована. |
«Достигнуто предельное число сессий аккаунта» | Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в программе. |
[1] Учётные записи, находящиеся в домене, к которому подключён Центр регистрации Aladdin eCA.
[2] Проверка связи осуществляется путём сравнения идентификатора учётной записи в домене с идентификаторами учётных записей в базе данных Центра регистрации Aladdin eRA.
Настройка Kerberos в веб-браузере
Для того, чтобы в браузере получателя сертификатов при работе с Центром регистрации Aladdin eRA была доступна аутентификация по Kerberos-билету необходимо внести доменное имя Центра регистрации Aladdin eRA в список доверенных URI, для которых используется аутентификация по Kerberos-билету в соответствии с инструкциями ниже.
Настройка веб-браузера Mozilla Firefox
Далее в примере:
- sambadc.host– доменное имя Центра регистрации Aladdin eRA;
- host– домен, (SAMBADC.HOST – realm в Kerberos);
- Версия браузера: 78.12.0esr (64‑bit).
Для внесения доменного имени в список доверенных URI, для которых будет использоваться аутентификация Kerberos выполните следующие шаги:
- Запустите веб-браузер Mozilla Firefox.
- В адресной строке введите about:config и нажмите Enter.
- Нажмите на кнопку Принять риск и продолжить.
- В поле «Поиск» (Filter) введите negotiate, чтобы ограничить список опций.
- Выполните двойное нажатие мышью на строке с параметром negotiate‑auth.trusted‑uris.
- В диалоговом окне введите:
- Чтобы разрешить SPNEGO аутентификацию только по конкретной ссылке, введите полностью домен из ссылки (например, sambadc.host);
- Чтобы разрешить SPNEGO аутентификацию для целого домена, введите имя домена с точкой в начале (например, .sambadc.host);
- Чтобы разрешить SPNEGO аутентификацию для нескольких доменов, введите их через запятую (например, sambadc.host,ra246.sambadc.host).
- После запятой можно ставить пробел.
- Продублируйте введённое значение параметра negotiate‑auth.trusted‑uris в параметр network.negotiate‑auth.delegation‑uris.
- При необходимости удалите cookie, связанные с доменом Центра регистрации Aladdin eRA.
Настройка веб браузера Chromium
Далее в примере:
- sambadc.host– доменное имя Центра регистрации Aladdin eRA;
- host– домен, (SAMBADC.HOST – Realm в Kerberos);
- Версия браузера: Version 130.0.6723.69 (Official Build) (64‑bit).
Для внесения доменного имени в список доверенных URI, для которых будет использоваться аутентификация Kerberos выполните следующие шаги:
- Кликните правой кнопкой мыши на ярлыке "Chromium".
- Выберите "Свойства".
- В поле "Объект" к строке запуска браузера допишите
- Чтобы разрешить SPNEGO аутентификацию только по конкретной ссылке, введите полностью домен из ссылки:
- ‑‑args ‑‑auth‑server‑whitelist="ra246.sambadc.host";
- Чтобы разрешить SPNEGO аутентификацию для целого домена, введите имя домена со звёздочкой и точкой в начале:
- ‑‑args ‑‑auth‑server‑whitelist="*.sambadc.host";
- Чтобы разрешить SPNEGO аутентификацию для нескольких доменов, введите их через запятую:
- ‑‑args ‑‑auth‑server‑whitelist="ra246.sambadc.host,ra247.sambadc.host ".
- При необходимости удалите cookie, связанные с доменом Центра регистрации Aladdin eRA.
Пример консольной команды: chromium ‑‑args ‑‑auth‑server‑whitelist="ra246.sambadc.host"
Описание элементов веб-интерфейса
Главный экран веб-интерфейса Центра регистрации Aladdin eRA для получателя сертификатов (субъекта РС) представлен на рисунке ниже (Рисунок 3).
Рисунок 3 – Основные элементы веб-интерфейса
Цифрами на рисунке обозначены:
1 Верхняя панель (заголовок)
Заголовок отображается на всех страницах веб-интерфейса ViPNet TIAS и содержит следующие инструменты:
- Меню авторизованного получателя сертификатов (Рисунок 4).
Название меню соответствует имени учетной записи пользователя. Меню предназначено завершения рабочей сессии текущего пользователя. Для этого выберите в меню пункт <Выход>.
Рисунок 4 – Завершение рабочей сессии
- - значок предназначен для предоставления сведении о текущей версии программы, контактной информация разработчика, правах на программное обеспечение (Рисунок 5).
Рисунок 5 – Информация о программе
2 Боковая панель (панель навигации)
Боковая панель закреплена и отображается на любом шаге или переходе между разделами при ширине окна браузера больше или равной 1200 px. При ширине окна браузера менее 1200 px боковая панель скрыта и отображается только при нажатии на кнопку , которая отображается только в данном режиме.
Полный вид боковой панели показан на рисунке ниже (Рисунок 6). Скрытый вид боковой панели показан на рисунке выше (Рисунок 3. Выбор вида боковой панели происходит по нажатию кнопки , расположенной внизу данной панели.
Рисунок 6 – Полный и скрытый виды боковой панели
Для получателя сертификатов боковая панель состоит из одного раздела «Заявки», предоставляющего следующие возможности:
- Просмотр списка заявок в табличном виде.
- Просмотр карточки заявки.
- Создание заявки на выпуск сертификата на основании запроса.
- Создание заявки на выпуск сертификата с закрытым ключом PKCS#12.
- Создание заявки на выпуск сертификата на ключевом носителе.
- Отмена заявки.
- Выгрузка сертификата.
- Импорт сертификата на ключевой носитель.
- Выгрузка цепочки сертификатов.
- Выгрузка контейнера закрытого ключа PKCS#12.
- Выгрузка CRL издателя.
- Выгрузка цепочки сертификатов издателя.
- Отзыв сертификата.
3 Панель инструментов
Панель предназначена для размещения элементов управления информацией, представленной на панели просмотра (кнопки, поле поиска, меню).
4 Панель просмотра
Панель предназначена для отображения информации раздела (списка заявок и карточки выбранной заявки).






