Cryptopro web authentication какой логин
Идентификатор:
http://dss.cryptopro.ru/identity/authenticationmethod/password Аутентификация по паролю является основным методом аутентификации локальных Пользователей Центра Идентификации DSS.
К настройке аутентификации по паролю отностится следующий набор параметров, задаваемых через командлет Set-DssPasswordPolicy:
| Параметр | Описание |
|---|---|
| PasswordType | Тип паролей, генерируемых сервером: Парольные фразы ( Phrase ); Символьные пароли ( Symbolic ). |
| PasswordSource | Источник паролей: Только Пользователь задаёт пароль ( ClientOnly ); Пароль генерируется только на стороне сервера ( ServerOnly ); Смешанный режим ( ClientAndServer ). |
| PasswordComplexity | Сложность символьных паролей: Цифры и буквы нижнегшо регистра ( Weak ); Цифры и буквы разного регистра ( Fair ); Все вышеперчисленное, включая спецсимволы ( Strong) . |
| PasswordLength | Длина символьных паролей. |
| PasswordPhraseComplexity | Сложность парольной фразы: Из трех слов ( Common ); Из четырех слов( Strong ). |
| InvalidPasswordAttempts | Количество попыток ввода пароля. |
| PasswordLifetime | Срок действия пароля Пользователя. |
| ChangePasswordAfterReset | Требование смены пароля Пользователя при первом входе. |
Параметр PasswordType определяет тип паролей, генерируемых ТОЛЬКО на сервере. Данный параметр влияет на поведение кабинета Оператора на Центре Идентификации DSS. В зависимости от значения параметра PasswordType будет генерироваться тот или иной тип пароля Пользователя, когда Оператор:
- сбрасывает пароль для существующей учётной записи Пользователя.
- создаёт учётную запись Пользователя и назначает аутентификацию по логину и паролю;
Если в качестве паролей используются парольные фразы, то при вводе пароля Пользователем должен соблюдать следующие правила:
- Разрешается вводить не менее трёх букв от каждого слова.
- Введённые слова или части слов должны быть разделены пробелами.
- Разрешается вводить парольную фразу полностью.
- Парольная фраза нечувствительна к регистру букв.
- Парольная фраза нечувствительна к языку ввода.
По умолчанию значение PasswordType предполагает использование парольных фраз. При изменении данной настройки, а также любых других настроек по умолчанию, необходимо данное действие согласовывать с руководителем подразделения, а также внести запись в соответствующий журнал с указанием причины изменения настроек.
Параметр PasswordSource влияет на поведение Веб-интерфейса Центра Идентификации при работе от имени Пользователя. Если задано значение ServerOnly (пароли генерируются только на сервере), то при самостоятельной смене пароля Пользователь может только запросить новый пароль с сервера. Сгенерированный сервером пароль будет отображен Пользователю в веб-интерфейсе. Если задано значение ClientOnly , то при смене пароля Пользователю будет предложено самостоятельно придумать новый пароль. Пользователь может самостоятельно задать только символьный пароль. Пароль должен соответствовать требованиям длины и сложности заданными администраратором. Соответствующие требования к паролю отображаются Пользователю в веб-интерфейсе. Если включен смешанный режим ( ClientAndServer ), то Пользователь может как придумать пароль самостоятельно, так и запросить пароль на сервере.
Параметры PasswordComplexity и PasswordLength определяют сложности и длину символьных паролей. Для сложности пароля определены следующие значения:
- Weak – цифры и заглавные латинские буквы. Минимально возможная длина пароля – 2.
- Fair – цифры, заглавные и строчные латинские буквы. Минимально возможная длина пароля – 3.
- Strong – цифры, заглавные и строчные латинские буквы, спецсимволы. Минимально возможная длина пароля – 4.
Данные параметры задают требования к символьным паролям, генерируемым на сервере, и паролям, задаваемым Пользователем при смене пароля.
Параметр InvalidPasswordAttempts задаёт количество неверных попыток ввода пароля. Если значение параметра установлено на 0, то отключается контроль количества неверных попыток ввода пароля. Если значение данного параметра больше 0, то при превышении количества неверных попыток ввода долговременного пароля учётная запись Пользователя будет заблокирована. Разблокировать учётную запись может только Оператор DSS.
Параметр PasswordLifetime задаёт срок действия пароля Пользователя. Если значение параметра установлено в 0, то срок действия пароля не контролируется. Если срок действия пароля установлен, то после его истечения Пользователь должен сменить пароль.
Параметр ChangePasswordAfterReset отвечает за требование смены пароля Пользователя при первом входе. Данное правило применяется только в том случае, если учётная запись Пользователя была создана Оператором DSS или пароль Пользователя был сброшен Оператором DSS.
Cryptopro web authentication какой логин
КриптоПро DSS поддерживает несколько методов аутентификации Пользователей DSS. Все методы аутентификации делятся на следующие группы:
- Первичная аутентификация.
- Аутентификация по логину и паролю
- Аутентификация по сертификату
- Подтверждение операций при помощи мобильного приложения myDSS
- Подтверждение операций при помощи апплета на SIM-карте
Первичная аутентификация используется при входе в Веб-интерфейс Пользователя и личный кабинет Пользователя на веб-интерфейсе Центре Идентификации.
Подтверждение операций может использоваться как при входе в указанные веб-интерфейсы, так и во время выполнения других операций, требующих доступа к закрытому ключу Пользователя (например, подписи документа).
Вторичная аутентификация в КриптоПро DSS является вспомогательной и может дополнять первичную в качестве дополнительной меры безопасности. При этом вторичная аутентификация не ослабляет требований первичной.
Примечание
При настройке вторичной аутентификации необходимо обратить особое внимание на регистрацию Сервиса Подписи в качестве доверенной стороны на Центре Идентификации при помощи параметра -BackChannelUrl командлета Add-DssRelyingPartyTrust.
Список доступных методов аутентификации приводится в выводе командлета Get-DssAuthenticationMethod. Включение/отключение метода аутентификации по идентификатору производится при помощи параметра -Uri командлетов Enable-DssAuthenticationMethod и Disable-DssAuthenticationMethod. Все неиспользуемые методы аутентификации должны быть отключены.
Внимание!
Идентификаторы методов аутентификации, описанных в данном разделе, приведены в начале каждого подраздела.
Пример включения метода аутентификации по логину и паролю:
Enable-DssAuthenticationMethod -Uri http://dss.cryptopro.ru/identity/authenticationmethod/passwordНастройка двухфакторной аутентификации в VPN КриптоПро NGate
В статье описывается настройка NGate для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
- Мобильное приложение MultiFactor
- Telegram
- СМС
- Аппаратные OTP токены
- Приложения OTP: Google Authenticator или Яндекс.Ключ
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter. Настройка шлюза NGate, LDAP-сервера так же должны быть произведены заранее.
может быть полезно
Доступна настройка второго фактора в режиме диалога с пользователем.
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в VPN-клиенте CryptoPro NGate;
- Шлюз NGate проверяет логин и пароль пользователя в LDAP-каталоге;
- Шлюз NGate по протоколу RADIUS запрашивает второй фактор в MultiFactor Radius Adapter;
- Пользователь подтверждает запрос на телефоне и подключается к VPN.
Настройка MULTIFACTOR
- Зайдите в систему управления MULTIFACTOR, далее в раздел Ресурсы и создайте новый ресурс типа «Сетевой экран» -> » NGate»;
- Заполните «Название» и «Адрес» по вашему усмотрению. Параметры «Перед проверкой второго фактора» и «Язык» отвечают за возможность настроить второй фактор непосредственно в клиенте NGate при подключении пользователя без настроенного второго фактора доступа;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Установите и настройте MultiFactor Radius Adapter.
Настройка NGate VPN
Откройте панель упраления NGate.
- В разделе «Кластеры» -> «Все конфигурации» выберите вашу конфигурацию.
Настройка LDAP клиента
- В настраиваемой конфигурации перейдите на вкладку «Внешние службы». В разделе «LDAP-сервер» нажмите «Привязать»» для перехода на страницу настройки LDAP-серверов;
- Если LDAP сервер отсутствует, то добавьте новый LDAP-сервер нажатием кнопки «+» (Создание LDAP-сервера);
- Задайте параметры LDAP-сервера, нажмите «галочку» (Сохранить);
- Выполните привязку LDAP-сервера к конфигурации.
Настройка RADIUS клиента
- В настраиваемой конфигурации перейдите на вкладку «Внешние службы». В разделе «RADIUS-сервер» нажмите «Привязать» для перехода на страницу настройки RADIUS-серверов;
- Нажмите «+» (Создание RADIUS-сервера);
- Задайте параметры подключения к Multifactor Radius Adapter:
- RADIUS name: Multifactor;
- RADIUS server address: адрес компонента MultiFactor Radius Adapter;
- RADIUS server port: порт из настроек компонента MultiFactor Radius Adapter;
- Secret: radius shared secret из настроек компонента MultiFactor Radius Adapter;
- Нажмите «галочку» (Сохранить);
- Выполните привязку RADIUS-сервера Multifactor к конфигурации;
Настройка портала NGate
- В настраиваемой конфигурации перейдите на вкладку «Порталы». Нажмите иконку «Редактирование http портала» в строке с вашим порталом.
- Нажмите кнопку «Расширенные настройки», настройте конфигурацию следующим образом:
- Метод аутентификации пользователей: Логин/пароль (LDAP);
- Использовать RADIUS: включите;
- Использование пароля:
- Отправлять пароль в LDAP: включите;
- Отправлять пароль в RADIUS: выключите;
- Запрашивать OTP: включите, если планируете использовать OTP.
Настройка пользовательской машины
Настройте пользовательскую машину по инструкции вендора
Подключение
- Откройте клиент CryptoPro NGate;
- Введите имя вашего шлюза;
- Нажмите «Подключить»;
- Введите логин и пароль пользователя из LDAP-каталога;
- Подтвердите второй фактор выбранным способом;
- Соединение установлено!
- Портал для самостоятельной регистрации 2fa;
- Настройка Radius Adapter для Linux;
- Настройка двухфакторной аутентификации на сервере CentOS.
Как настроить цифровую подпись для «Личного кабинета ИП» за 10 минут?
Подозреваю, что многие ИП в скором времени будут сильно озадачены подписанием всевозможных важных заявлений для ФНС в «Личном Кабинете ИП» цифровой подписью.
Да, новый способ оплаты налогов (я про ЕНС и ЕНП) подразумевает очень плотную работу с цифровыми подписями. Но далеко не все ИП сразу справляются с настройкой окружения для работы связки ЛК ИП + цифровая подпись.
Я проводил опрос в своем телеграмм-канале, перед тем, как начать писать эту статью, и 70% читателей проголосовали за то, что статья с подробной инструкцией нужна.
Кстати, очень советую подписаться на мой телеграмм-канал. Там очень много интересных обсуждений. Много опытных ИП (скоро 4000 подписчиков), которые делятся своим опытом:
Итак, начнем. Статья большая, но, на самом деле, все это занимает примерно 10 минут. Да, еще отмечу, что это инструкция для Windows.
Шаг №0. Получение цифровой подписи
У меня есть очень подробная статья, в которой я пошагово, с картинками, описываю как можно получить цифровую подпись в ФНС.
И еще раз подчеркну, что крайне важно сразу защитить свою цифровую подпись паролем (PIN-кодом). В статье по ссылке выше, я рассказываю как это можно сделать.
Если у вас уже есть цифровая подпись (далее «ЭЦП»), то переходим к шагу №1.
Шаг №1. Установка браузера для входа в ЛК ИП
Я сразу посоветую установить Яндекс.Браузер, так как с ним меньше всего проблем при работе с ЛК ИП + цифровая подпись.
Если у вас уже установлен Яндекс.Браузер, то двигаемся дальше. Если нет, то его можно скачать по этой ссылке:
Установка очень простая, справитесь. Вся дальнейшая работа будет происходить именно в этом браузере.
Шаг №2. Проверяем доступность ЛК ИП
Переходим по этой ссылке в Яндекс.Браузере:
Вставляем цифровую подпись в компьютер и нажимаем кнопку «Проверить».
Если вы видите оранжевую кнопку «Войти в Личный Кабинет», то можете войти в ЛК ИП, так как у вас все уже настроено.
Но, скорее всего, вы увидите примерно такую картину:
Она сигнализирует вам о том, что придется повозиться с настройкой входа в ЛК ИП, так как у вас ничего не настроено.
Шаг №3. Устанавливаем КриптоПро
Если у вас уже установлена программа КриптоПро CSP, то можете перейти к следующему шагу.
Если нет, то придется установить КриптоПро CSP. Переходим на официальный сайт разработчика КриптоПро и в разделе «Скачать»
выбираем КриптоПро CSP.
Вам будет сразу предложено пройти регистрацию, думаю, что справитесь:
Сразу после регистрации откроется страница, где будет предоставлена возможность скачать КриптоПро CSP на ваш компьютер.
Скачиваете файл установки КриптоПро CSP и устанавливаете, как любую другую программу.
Ничего сложного нет. Запускаете установочный файл КриптоПро и следуете подсказкам на экране, со всем соглашаетесь.
Во время установки вам будет предложено установить плагин для браузера:
Лучше согласиться, это избавит от множества проблем. В самом конце установки вы увидите сообщение, что все прошло успешно.
Все, программу КриптоПро CSP мы установили. Это бесплатная версия, которая будет работать 90 дней.
После 90 дней, придется ее продлевать на платной основе (если она будет вам нужна для дальнейшей работы)
Шаг №4. Перезапускаем Яндекс.Браузер и включаем плагин
Перезапускаем Яндекс.Браузер и видим вот такое сообщение:
Обязательно жмем на кнопку «Включить расширение»! Это важно!
Если не видите это сообщение, то в настройках Яндекс.Браузера включите вот это дополнение:
Шаг №5. Входим в ЛК ИП
Снова перезапускаем Яндекс.Браузер и снова переходим по ссылке:
Опять жмем на кнопку «Начать проверку»:
В процессе проверки у вас появится вот такое окно, в котором следует нажать на кнопку «да».
Затем вам будет предложено выбрать сертификат.
Обратите внимание, что может быть предложено выбрать из нескольких сертификатов. Такое может быть, когда в один компьютер вставляли другие цифровые подписи (например, родственников).
Вам важно выбрать, тот сертификат, который нужен =)
Затем КриптоПро потребует ввести пароль (PIN-код) к цифровой подписи.
Надеюсь, вы его помните, так как ошибиться при вводе пароля можно только 9 раз (в случае с Рутокен).
Система подумает и … снова предложит выбрать сертификат.
И снова вводим пароль =)
Если все сделали верно, то должны увидеть такую картину:
Остается только нажать на кнопку «Войти в личный кабинет» и наслаждаться работой в ЛК ИП=)
При следующем входе с цифровой подписью в ЛК ИП переходите по ссылке:
и заходите через пункт «Ключ ЭП».
Как подписывать заявления в ЛК ИП?
Если будете входить в ЛК ИП именно таким способом (через «Ключ ЭП»), то необходимые заявления и документы для ФНС будете подписывать нажатием одной кнопки. Но не забывайте свой пароль для цифровой подписи (PIN-код).
Дополнение. Возможные проблемы с антивирусом
Некоторые антивирусы могут создавать проблемы со входом в «Личный кабинет ИП». Когда я впервые настраивал цифровую подпись в 2017 году, то никак не мог понять, почему ничего не работает.
В конце-концов, путем проб и ошибок я выяснил, что проблема заключается в настройках антивируса Касперского (но эта проблема может возникнуть с любым антивирусом, в котором есть проверка https-протокола).
В 2017 году не было подсказок, как на скриншоте выше, приходилось разбираться и искать причину самостоятельно. А работать с ЛК ИП было возможно только через древний браузер Internet Explorer, что создавало еще больше проблем при настройке.
Поэтому, если вы используете замечательные антивирусы этой компании (без иронии говорю), на время работы с ЛК ИП следует временно отключить проверку защищенных соединений. А потом включить эту настройку снова.
В антивирусе Касперского это делается так (в других антивирусах есть аналогичные настройки, но не во всех):
Если в процессе работы увидите вот такое сообщение от антивируса Касперского:
то лучше нажать на «Добавить в исключения» для домена lkipgost2.nalog.ru
Вот теперь точно конец статьи =)
Вместо итога
Я потратил на написание этой статьи несколько часов, но уверен, что она пригодится многим ИП. Особенно в свете последних событий с запуском ЕНС и ЕНП.
Если есть вопросы и дополнения, то пишите в комментах ниже.
С уважением, Дмитрий Робионек.
Новые статьи на закрытом сайте для подписчиков:
- Обновление калькулятора УСН. Теперь данные для декларации УСН «доходы» считаются автоматически
- Как посчитать и оплатить налог по УСН 6% «доходы» за 1 квартал 2024 года? Три примера на калькуляторе УСН. (часть №1)
- Как посчитать и оплатить налог по УСН 6% «доходы» за 1 квартал 2024 года? Алгоритм действий для ИП без сотрудников(часть №2)
Как не пропустить важные новости для ИП и самозанятых?
Если хотите быть в курсе изменений, то советую подписаться на мой Телеграмм-канал. Там уже более 10000 предпринимателей, которые делятся своим опытом.
Новый проект для подписчиков
Я запустил специальный закрытый клуб для подписчиков, в котором рассказываю про волнующие ИП вопросы. В нем я даю очень подробные алгоритмы и инструкции. О моем новом проекте можно узнать здесь:
Узнать больше!
Я создал этот сайт для всех, кто хочет открыть свое дело в качестве ИП или самозанятого, но не знает с чего начать. И постараюсь рассказать о сложных вещах максимально простым и понятным языком.
32 комментария к “Как настроить цифровую подпись для «Личного кабинета ИП» за 10 минут?”
Здравствуйте, Дмитрий! Спасибо большое за статью и за вашу работу! Подскажите пожалуйста, на сайте фнс огромная инструкция с установкой разных сертификатов минцифры и тд, выстраивание цепочки сертификатов, это не надо делать?
Для рутокенп надо еще установить драйвера ? Ответить