WEB-приложение Сведение отчетности (21.01.2025) | |
Аутентификация клиентскими SSL сертификатами | |
Если вы планируете разрешить удаленным пользователям аутентифицироваться с помощью клиентских SSL сертификатов, установите соответствующий флажок. Разрешить регистрацию SSL сертификатов пользователей: Разрешает или запрещает удаленным пользователям самостоятельно регистрировать свои SSL сертификаты для связывания их со своими учетными записями Парус 8. Наименование и примечание внешнего поставщика информационных услуг: указанный поставщик будет использоваться для ассоциации учетных записей пользователей с отпечатками (thumbprint) клиентских SSL сертификатов. В случае отсутствия указанного поставщика в БД, он будет создан во время сохранения конфигурации. Посмотреть существующие поставщики можно в интерфейсе Парус 8: Администратор -> Учет -> Внешние поставщики информационных услуг. Посмотреть информацию о привязанных SSL сертификатах к текущему пользователю сервиса, а также удалить некоторые из них, можно в Web-интерфейсе: Первичные отчеты -> Действия (или контекстное меню) -> Расширения -> Логины внешних провайдеров. Сертификаты доверенных центров сертификации: Укажите путь к файлу в PEM-формате, содержащий публичные сертификаты доверенных центров сертификации, клиентские сертификаты которых необходимо проверять. Клиентские сертификаты могут быть выпущены не только напрямую указанными центрами, но и их дочерними центрами, а также и их дочерними, в свою очередь. Каждый такой промежуточный центр сертификации считается довренным на том основании, что он выпущен доверенным корневым центром. Соответственно, нет необходимости включать их (промежуточные центры) в файл доверенных центров сертификации. В случае необходимости доверять нескольким центрам сертификации, то их сертификаты можно сохранить в один файл, в котором раcположить их друг за другом, т.е. обычной конкатенацией. Список отозванных сертификатов: При необходимости, укажите путь к файлу в PEM-формате, содержащий отозванные сертификаты (признаваемые недействительными раньше срока своего окончания). Получение CRL файла в PEM формате. Если используется собственный центр сертификации на основе инфраструктуры OpenSSL: openssl ca -gencrl -out ca.crlВ результате будет сформирован CRL файл в PEM формате, содержащий список отозванных сертификатов на основе данных внутреннего хранилища сертификатов OpenSSL. В случае использования клиентских сертификатов полученных от стороннего центра сертификации, необходимо получить URL по которому можно скачать CRL файл данного центра сертификации. Данный URL обычно присутствует в любом из публичных сертификатов. Просмотр с помощью OpenSSL, при условии, что файл сертификата в PEM формате (в примере просматривается сертификат c:\ca.pem): openssl x509 -noout -text -in c:\ca.pemСреди всех свойств сертификата найти с именем X509v3 CRL Distribution Points - в нем будет указано необходимое значение URI:http://... Просмотр с помощью средств Windows (файл сертификата может быть в любом формате, но должен иметь раширение.crt):
После скачивания CRL файла по полученному URL, его необходимо сконвертировать в PEM формат (в примере исходный файл в DER формате - crl.der, итоговый файл в PEM формате - crl.pem): openssl crl -inform DER -in crl.der -outform PEM -out crl.pem Глубина проверки в цепочке сертификатов: Укажите глубину проверки в цепочке сертификатов. Глубина проверки устанавливает лимит на количество сертификатов между конечным сертификатом пользователя и доверенным центром, находящимся в файле доверенных центров сертификации. Если цепочка сертификатов, необходимая для получения доверенного эмитента, длиннее указанной глубины + 2, то пользовательский сертификат будет признан недействительным. Как осуществляется проверка: На каждом уровне проверки цепочки сертификата проверяется действительность этого сертификата. Если будет обнаружен хоть 1 просроченный, недействительный, недоверенный сертификат (отсутствует связь с сертификатами из файла доверенных центров сертификации) или отозванный (присутствующий в файле Список отозванных сертификатов), или будет превышена указанная глубина проверки, то пользовательский сертификат также будет считаться недействительным. |