КриптоПро и электронная подпись

ℹ️ О разделе

В этом разделе описывается, как использовать электронную подпись (ЭП) с сертификатами КриптоПро для входа в систему IDENTYX. Аутентификация через электронную подпись обеспечивает высокий уровень безопасности и соответствует требованиям российского законодательства.

Общие сведения

IDENTYX поддерживает аутентификацию пользователей с использованием электронной подписи на базе КриптоПро CSP. Это позволяет организациям использовать уже имеющиеся сертификаты электронной подписи для входа в систему без необходимости запоминать логины и пароли.

Требования к сертификатам

Для использования аутентификации через электронную подпись необходимо:

  • Наличие сертификата — у пользователя должен быть действующий сертификат электронной подписи
  • КриптоПро CSP — на компьютере пользователя должен быть установлен КриптоПро CSP версии 4.0 или выше
  • Плагин для браузера — установленный плагин КриптоПро ЭЦП Browser plug-in
  • Срок действия — сертификат должен быть действующим (не просроченным)
  • Закрытый ключ — сертификат должен иметь связь с закрытым ключом
⚠️ Важно

Система автоматически проверяет срок действия сертификата при каждом входе. Просроченные сертификаты не могут быть использованы для аутентификации.

Поддерживаемые алгоритмы

IDENTYX поддерживает следующие алгоритмы электронной подписи:

Алгоритм подписи Алгоритм хэширования OID
ГОСТ Р 34.10-2001 ГОСТ Р 34.11-94 1.2.643.2.2.9
ГОСТ Р 34.10-2012 (256 бит) ГОСТ Р 34.11-2012 (256 бит) 1.2.643.7.1.1.2.2
ГОСТ Р 34.10-2012 (512 бит) ГОСТ Р 34.11-2012 (512 бит) 1.2.643.7.1.1.2.3

Включение аутентификации через подпись

Прежде чем пользователи смогут входить через электронную подпись, администратор должен включить эту функцию в настройках системы:

  1. Перейдите в раздел НастройкиПараметры системы
  2. Найдите параметр signature_auth_enabled
  3. Установите значение true для включения аутентификации через подпись
  4. Сохраните изменения
ℹ️ Примечание

После включения функции на странице входа появится дополнительная кнопка для входа через электронную подпись.

Привязка сертификата к учетной записи

Перед тем как использовать электронную подпись для входа, пользователь должен привязать свой сертификат к учетной записи в IDENTYX.

Шаги привязки сертификата

  1. Войдите в систему используя логин и пароль
  2. Перейдите в Профиль пользователя (нажмите на своё имя в правом верхнем углу)
  3. Найдите раздел Методы аутентификации
  4. Найдите карточку Электронная подпись
  5. Нажмите кнопку Привязать
  6. Система инициализирует плагин КриптоПро CSP
  7. В открывшемся окне выберите нужный сертификат из списка доступных
  8. Подтвердите выбор сертификата
  9. Система создаст и подпишет тестовое сообщение для проверки
  10. После успешной проверки подписи сертификат будет привязан к вашей учетной записи
✅ Успешно

После привязки сертификата статус в профиле изменится на "Привязано", и вы сможете использовать электронную подпись для входа в систему.

Извлекаемая информация из сертификата

При привязке сертификата система автоматически извлекает и сохраняет следующую информацию:

  • ФИО пользователя — фамилия, имя и отчество из поля Subject сертификата
  • СНИЛС — при наличии в сертификате
  • ИНН — при наличии в сертификате
  • Email — при наличии в сертификате
  • Организация — название организации из сертификата
  • Должность — должность пользователя
  • Отпечаток SHA1 — уникальный идентификатор сертификата
  • Серийный номер — серийный номер сертификата
  • Срок действия — дата начала и окончания действия сертификата
⚠️ Уникальность сертификата

Один сертификат может быть привязан только к одной учетной записи в системе. Попытка привязать уже используемый сертификат к другому аккаунту приведет к ошибке: "Электронная подпись уже привязана к другой учетной записи".

Вход через электронную подпись

После привязки сертификата пользователь может входить в систему используя электронную подпись.

Шаги входа

  1. Откройте страницу входа в IDENTYX
  2. Найдите кнопку с иконкой сертификата в разделе "или войдите с помощью"
  3. Нажмите на кнопку входа через электронную подпись
  4. Система инициализирует плагин КриптоПро CSP
  5. В открывшемся окне выберите сертификат, который вы ранее привязали к учетной записи
  6. Подтвердите выбор сертификата
  7. Система создаст случайное сообщение и попросит вас его подписать
  8. После создания подписи система проверит её корректность
  9. При успешной проверке вы будете автоматически аутентифицированы
ℹ️ Автоматическое определение пользователя

Система автоматически определяет пользователя по отпечатку (SHA1 hash) сертификата, который был привязан к учетной записи. Вводить логин или пароль не требуется.

Проверка подписи

При каждом входе через электронную подпись IDENTYX выполняет следующие проверки:

Этапы проверки

  1. Корректность подписи — проверяется соответствие подписи алгоритмам ГОСТ
  2. Срок действия сертификата — проверяется, что текущая дата находится в диапазоне действия сертификата
  3. Связь с закрытым ключом — проверяется наличие доступа к закрытому ключу
  4. Привязка к учетной записи — проверяется, что сертификат привязан к учетной записи в системе
  5. Разрешение входа — проверяется, что для пользователя разрешен вход через электронную подпись
  6. Проверка цепочки сертификатов — опционально, проверяется вся цепочка доверия до корневого УЦ
  7. Проверка CRL — опционально, проверяется что сертификат не отозван
✅ Успешная проверка

При успешной проверке всех параметров пользователь получает доступ к системе. В журнале событий создается запись: "Пользователь успешно аутентифицирован через электронную подпись".

❌ Ошибки проверки

При неудачной проверке доступ запрещается. Возможные ошибки:

  • Не удалось проверить подпись
  • Сертификат просрочен
  • Сертификат не привязан к учетной записи
  • Пользователю не разрешен вход через подпись

Проверка списков отзыва (CRL)

По умолчанию IDENTYX проверяет сертификаты на отзыв, обращаясь к спискам отозванных сертификатов (CRL). Это дополнительная мера безопасности, которая предотвращает использование скомпрометированных сертификатов.

Отключение проверки CRL

В некоторых случаях (например, в изолированных сетях без доступа к серверам CRL) может потребоваться отключить проверку отзыва сертификатов:

  1. Перейдите в раздел НастройкиПараметры системы
  2. Найдите параметр medo_dont_check_certs_crl
  3. Установите значение true для отключения проверки CRL
  4. Сохраните изменения
⚠️ Безопасность

Отключение проверки CRL снижает уровень безопасности системы, так как позволяет использовать потенциально скомпрометированные сертификаты. Используйте эту опцию только при необходимости и понимании рисков.

Управление разрешениями на вход

Администратор может контролировать, какие пользователи могут использовать вход через электронную подпись.

Включение для пользователя

После привязки сертификата вход через электронную подпись автоматически разрешается для пользователя. Однако администратор может управлять этим разрешением:

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Откройте карточку нужного пользователя
  3. В разделе настроек найдите параметр "Разрешить вход через электронную подпись"
  4. Установите или снимите флажок для включения/отключения
  5. Сохраните изменения
ℹ️ Примечание

Даже если сертификат привязан к учетной записи, пользователь не сможет войти через электронную подпись, если для него отключено соответствующее разрешение.

Отвязка сертификата

Пользователь или администратор может отвязать сертификат от учетной записи в любое время.

Шаги отвязки

  1. Войдите в систему и перейдите в Профиль пользователя
  2. Найдите раздел Методы аутентификации
  3. Найдите карточку Электронная подпись со статусом "Привязано"
  4. Нажмите кнопку Отвязать
  5. Подтвердите действие в диалоговом окне
  6. Сертификат будет удален из учетной записи

После отвязки:

  • Пользователь больше не сможет входить через этот сертификат
  • Сертификат можно будет привязать к другой учетной записи
  • В журнале событий создается соответствующая запись

Устранение проблем

Распространенные проблемы

🔧 Плагин не инициализируется

Проблема: При попытке входа появляется ошибка "Не удалось активировать плагин КриптоПро CSP"

Решение:

  • Убедитесь, что КриптоПро CSP установлен на компьютере
  • Установите плагин КриптоПро ЭЦП Browser plug-in
  • Перезапустите браузер после установки
  • Проверьте, что плагин включен в настройках браузера
🔧 Сертификат просрочен

Проблема: При входе появляется ошибка "Сертификат просрочен"

Решение:

  • Проверьте срок действия сертификата
  • Обратитесь в удостоверяющий центр для получения нового сертификата
  • Привяжите новый действующий сертификат к учетной записи
🔧 Сертификат уже привязан

Проблема: При попытке привязки появляется ошибка "Электронная подпись уже привязана к другой учетной записи"

Решение:

  • Этот сертификат уже используется другим пользователем
  • Обратитесь к администратору для отвязки сертификата от другой учетной записи
  • Используйте другой сертификат для своей учетной записи
🔧 Нет доступа к закрытому ключу

Проблема: При выборе сертификата появляется ошибка о недоступности закрытого ключа

Решение:

  • Убедитесь, что закрытый ключ установлен на компьютере
  • Если ключ на токене/смарт-карте — убедитесь, что устройство подключено
  • Проверьте PIN-код для доступа к закрытому ключу
  • Переустановите контейнер закрытого ключа

Вопросы безопасности

Рекомендации по безопасности

  • Храните закрытый ключ в безопасности — используйте защищенные носители (токены, смарт-карты)
  • Не передавайте закрытый ключ — никогда не копируйте закрытый ключ на незащищенные носители
  • Следите за сроком действия — заблаговременно продлевайте сертификаты до истечения срока
  • Используйте PIN-код — защитите доступ к закрытому ключу надежным PIN-кодом
  • Своевременно отзывайте — при компрометации немедленно отзывайте сертификат
  • Включайте проверку CRL — не отключайте проверку отзыва без крайней необходимости

Журналирование событий

Все события, связанные с использованием электронной подписи, автоматически записываются в журнал безопасности:

  • Успешная аутентификация через электронную подпись
  • Неудачная попытка аутентификации
  • Привязка сертификата к учетной записи
  • Отвязка сертификата от учетной записи
  • Отказ в доступе (просроченный сертификат, отозванный и т.д.)

Для просмотра событий перейдите в раздел Журнал событий и используйте фильтр по типу события "Внешняя аутентификация".

Интеграция с OIDC приложениями

Пользователи, аутентифицированные через электронную подпись, могут входить в подключенные OIDC приложения так же, как и при использовании других методов аутентификации. Данные из сертификата (ФИО, СНИЛС, ИНН) передаются в приложения через ID Token и UserInfo endpoint.

✅ Готовы продолжить?

Теперь вы знаете, как использовать электронную подпись для входа в IDENTYX. Переходите к разделу WebAuthn (биометрия и ключи) для изучения современных методов аутентификации без паролей.