В настоящей статье описывается процесс настройки двухфакторной аутентификации по смарт-картам и USB-токенам JaCarta PKI на основе цифровых сертификатов X.509 в OpenVPN.

Данное решение позволяет отказаться от парольной аутентификации пользователя. Внедрение настоящего решения - это кардинальное снижение влияния человеческого фактора на безопасность системы.

Об OpenVPN

Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.

Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.

В поле cryptoapicert укажите отпечаток сертификата пользователя.

В поле ca укажите путь к сертификату Удостоверяющего центра.

Выдержка из конфигурационного файла:

# SSL/TLS parms.
# See the server config file for more
# description. It"s best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»
ca C:\ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА\ca.crt

Проверка

Если настройка выполнена правильно, появится запрос на введение ПИН-кода к токену, и VPN-соединение успешно установится.

Другие способы получения ключей и сертификатов

Для сервера сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности сервера, экспортируйте их в файл PKCS#12.

В настройках серверной части OpenVPN вместо cert и key необходимо указать pkcs12:

Ca C:\ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРА\ca.crt
pkcs12 C:\ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРА\server.p12

Корневым сертификатом ca должен быть сертификат Удостоверяющего центра.

Настройка шаблонов для выпуска ключей и сертификатов на токен описана в инструкции к «Единому Клиенту JaCarta» и «JaCarta SecurLogon». Для клиента сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности клиента. При этом импортировать на токен файл pkcs#12 не потребуется. Остальные настройки клиентской части выполняются аналогично.

Для полноценный работы в ЕГАИС требуется установить JaCarta драйвер (Единый клиент JaCatra).
JaCarta скачать (Единый клиент Jakarta скачать).
Если Вы еще не приобрели электронную подпись и Джакарту ЕГАИС закончилась или нет ЭЦП, купить в Калининграде у нас!

Купить ЕГАИС Калининград

Получить Электронную подпись ЕГАИС и JaCarta ЕГАИС в Калининграде Вы можете у нас!

Мы являемся официальными Удостоверяющего Центра "Информзащита" и имеем для передачи Джакарта ЕГАИС и Электронной подписи ЭЦП в Калининградской области.

JaCarta драйвер. Установка. Инструкция.

После того как Вы скачали драйвер JaCarta ЕГАИС необходимо определить разрядность Вашей операционной системы для дальнейней установки Джакарта драйвера. Для этого необходимо зайти в меню Пуск-Мой компьютер правой кнопкой мыши нажать свойства.

В отобразившемся окне свойствах операционной сиcтемы отобразится тип системы, либо 32, либо 64 разрядная операционная система.

В зависимости от разрядности Вашей операционной системы выберите нужный драйвер Jakarta, если 32х выбирайте x86, если 64 выбирайте z64 и запустите драйвер от имени администратора.

Выберите нужный драйвер JaCarta ЕГАИС и нажмите установить.

Появится окно инсталятора JaCarta PKI ГОСТ SE, нажмите Далее.

Для установки Единого клиента JaCarta нажмите Далее.

Нажмите на галочку Я принимаю условия лицензионного соглашения для установки дравера и нажмите Далее.

Инстралятор Единый клиент Jakarta предложит установить драйвер JaCarta в другое место, если нужно в другое нажмите Изменить и выберите куда Вам надо установить драйвер джакарты ЕГАИС, и нажмите Далее, если и так все устраивает просто нажмите Далее..

ПК "Единый Клиент JaCarta" - программный комплекс, предназначенный для настройки и работы со всеми моделями USB-токенов и смарт-карт JaCarta и eToken PRO (Java) в операционных системах семейства Microsoft Windows.

• Настройка USB-токенов и смарт-карт
• Поддержка всех устройств JaCarta и eToken PRO (Java)
• Работа с отечественными и зарубежными криптоалгоритмами в одном интерфейсе
• Удобство использования для рядовых пользователей и администраторов
• Работа с контейнерами КриптоПро CSP из единого интерфейса
• Поддержка модулей криптопровайдеров (КриптоПро CSP, Signal-COM CSP и др.)

Версия 2.11 (сертифицированная версия)

Внимание! В соответствии с требованиями к поставкам сертифицированной продукции дистрибутив сертифицированной версии ПК "Единый Клиент JaCarta" предоставляется только на физическом носителе. Для получения дистрибутива сертифицированной версии ПК "Единый Клиент JaCarta" необходимо обратиться в коммерческий департамент "Аладдин Р.Д." по электронной почте .

С ответами на наиболее популярные вопросы о сертифицированной версии продукта можно ознакомиться .

Версия 2.11.0.1754

• Microsoft Windows 10;
• Microsoft Windows 8.1;
• Microsoft Windows 8;
• Microsoft Windows 7 SP1;
• Microsoft Windows Vista SP2;
• Microsoft Windows Server 2016;
• Microsoft Windows Server 2008 SP2;
• Microsoft Windows Server 2003 SP2.

Что нового

• Поддержка JaCarta-2 ГОСТ (включая комбинированные модели) - нового поколения USB-токенов и смарт-карт с аппаратной реализацией криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 для работы с усиленной квалифицированной электронной подписью и строгой двухфакторной аутентификации.
• Поддержка USB-токенов и смарт-карт - сертифицированных устройств для строгой двухфакторной аутентификации на основе зарубежных криптоалгоритмов и совместимых с инфраструктурой для eToken PRO (Java).
• Поддержка токенов eToken PRO (Java) 72К (в том числе eToken Anywhere) без необходимости установки дополнительного программного обеспечения (ПО).
• В состав дистрибутива добавлено , позволяющее формировать запросы к Удостоверяющему центру на получение сертификата открытого ключа и записывать полученные сертификаты в память USB-токенов и смарт-карт JaCarta ГОСТ или eToken ГОСТ. При этом закрытые ключи пользователей генерируются в устройствах и никогда их не покидают.

Версия 2.9.0.1531

Требования к программному обеспечению

На компьютере должна быть установлена одна из нижеперечисленных операционных систем:

• Microsoft Windows 10 (32/64-бит);
• Microsoft Windows 8.1 (32/64-бит);
• Microsoft Windows 8 (32/64-бит);
• Microsoft Windows 7 SP1 (32/64-бит);
• Microsoft Windows Vista SP2 (32/64-бит);
• Microsoft Windows XP SP3 (32-бит), SP2 (64-бит);
• Microsoft Windows Server 2012 R2;
• Microsoft Windows Server 2012;
• Microsoft Windows Server 2008 R2 SP1;
• Microsoft Windows Server 2008 SP2 (32/64-бит);
• Microsoft Windows Server 2003 R2 SP2 (32/64-бит);
• Microsoft Windows Server 2003 SP2 (32/64-бит).

Что нового:

• Обновлена библиотека jcPKCS11-2.dll до версии 2.1.3.1900
• Обновлён МП КриптоПро CSP до версии 3.6.407.568
• Обновлён мастер технической поддержки до версии 1.0.1.28
• Исправлена проблема с установкой опции auto-update через реестр
• Исправлена проблема просмотра различных сертификатов с одинаковым серийным номером
• Добавлена поддержка токенов JaCarta WebPass
• Добавлена утилита управления JaCarta WebPass Tool для работы с токенами JaCarta WebPass версии 1.0.0.50
• Обновлено лицензионное соглашение
• Добавлена возможность синхронизации PIN-кода и пароля Active Directory
• Добавлен дистрибутив библиотек из состава "Криптотокен ЭП"
• Устранена несовместимость с алгоритмом разблокировки запрос-ответ, используемом в JC-Client
• Обновлена библиотека jcPKCS11.dll
• Добавлена выборочная установка драйверов
• Повышена надёжность работы программы установки: добавлены проверки запуска критически важных драйверов
• Повышена надёжность работы программы установки: исключены вызовы JScript и VBScript
• Добавлена возможность включения протоколирования через графический интерфейс
• Обновлена версия библиотеки для работы с файловой системой токенов (jcFS)
• Решена проблема работы на процессорах AMD Athlon 64, не поддерживающих инструкции AVX2

Версия 2.8.0.1402

Что нового:

• Добавлена поддержка Microsoft Windows 10
• Добавлена возможность покомпонентной установки и обновления продукта
• Исправлены ошибки, связанные с аварийным завершением Единого Клиента JaCarta при извлечении токенов и прочих обстоятельствах
• Добавлена возможность настройки интерфейса JaCarta SecurLogon
• Добавлен модуль поддержки для Signal-COM CSP под Microsoft Windows XP (64-бит)
• Обновлены модули поддержки для КриптоПро CSP и КриптоПро CSP с биометрией
• Добавлен мастер технической поддержки
• Оптимизирована работа С_Sign в jcpkcs11-2.dll
• Оптимизированы алгоритмы работы с токенами

Версия 2.7.0.1226

Что нового:

• Исправлен алгоритм отображения количества свободной памяти для JaCarta LT
• Улучшена поддержка некоторых серий JaCarta LT
• Добавлена поддержка КриптоПро ФКН CSP
• Добавлены операции с контейнерами КриптоПро CSP на файловой системе апплетов
• Добавлен импорт сертификатов и ключей в защищённую память апплетов
• Добавлена генерация offline-запроса на сертификат
• Добавлены библиотеки jcpkcs11.dll, jcpkcs11ds.dll (для обратной совместимости с продуктами партнёров)
• Обновлена версия единой библиотеки jcpkcs11-2.dll с поддержкой апплетов Datastore (Storage), Laser (PKI), Криптотокен (ГОСТ)
• Обновлены модули поддержки КриптоПро CSP, JCP, Signal-COM
• Обновлён инсталлятор (оптимизирован размер, поддерживается обновление драйверов)
• Добавлена возможность восстановления (repair) через панель управления Microsoft Windows
• Добавлена возможность установки Единого Клиента JaCarta в тихом режиме (либо через групповые политики) с поддержкой биометрии или с указанным способом проверки обновлений

Версия 2.6.6.929

• Первый коммерческий релиз Единого Клиента JaСarta

JaCarta - это официальный клиент от разработчика Аладдин РД, предназначенный для работы со смарт-картами одноименного семейства. Подобные девайсы получили широкое распространение на предприятиях России и стран СНГ. Чаще всего они используются для авторизации владельца рабочего места и позволяют установить защищенный канал для передачи данных как внутри коммерческой сети, так и для обмена с внешними серверами. Представленное программное обеспечение и физический ключ соответствует всем нормативным актам действующего законодательства.

Назначение

Основным назначением JaCarta является обеспечение доступа к различным ресурсам, содержащим конфиденциальную или же коммерческую информацию. Например, установка данного ПО необходима для использования единой государственной автоматизированная информационной системы (). Кроме того, приложение выполняет установку драйверов смарт-карты, без наличия которых последняя просто не будет функционировать. То есть ПО отвечает за то, чтобы пользователь мог получить доступ к рабочему месту на предприятиях, использующих популярные системы криптозащиты вроде .

Состав и возможности

Концепция единого клиента состоит в том, что в его состав входят непосредственно драйвера JaCarta, а также приложение SecurLogon. Кроме того, клиент включает в себя все необходимые библиотеки, удобный мастер технической поддержки, утилиту JaCarta WebPass Tool, которая служит для работы с новыми токенами серии WebPass и подробную документацию. Она, как и сам клиент, доступна на русском языке.

Программное обеспечение не выдвигает высоких требований ни к программной, ни к аппаратной составляющей компьютера, на который выполняется инсталляция. JaCarta работает на самом слабом "железе" и на самых старых версиях операционной системы Windows.

Ключевые особенности

• необходим для работы смарт-карт одноименной серии;
• является официальным решением от производителя;
• работает с различными системами криптографической защиты;
• устанавливает все необходимые драйвера в автоматическом режиме;
• работает на любых версиях операционной системы Windows.

После того, как вы получили ЭЦП в УЦ Squaretrade, есть необходимость установить сертификат локально на ваш компьютер. Способ установки зависит от криптопровайдера:

КриптоПро CSP

1. Установить КриптоПро CSP (c сайта КриптоПро https://www.cryptopro.ru/).
2. Вставить токен JaCartа.
3. Запустить КриптоПро от имени администратора (либо запустить КриптоПро CSP и на вкладке "Общие" нажать кнопку "Запустить с правами администратора").
4. Перейти на вкладку "Сервис" и нажать кнопку "Просмотреть сертификаты в контейнере...".
5. Нажать "Обзор".
6. Выбрать из списка "Список ключевых контейнеров пользователя" свой ключевой контейнер (обычно его имя начинается со знака подчеркивания). И обычно ключевой контейнер находится на Считывателе ARDS ZAO JaCarta LT0. Жмем "ОК"
7. Жмем "Далее" --> Жмём "Установить" --> "OK"

VipNet CSP

• Установить ViPNet CSP (желательно не ниже версии 3.2)
• Вставить JaCarta-у в USB-разьем компьютера и подождать автоматической установки драйвера.
  (Внимание(!): драйвера для смарт-карты не должны устанавливаться при этой авто-установки)
• Открыть программу ViPNet CSP. Зайти на вкладку "Устройства". Кликнуть на появившуюся строчку типа "JCDS(ххххххх)" в окошечке "Подключенные устройства".
• Далее увидите в окошечке "Контейнеры ключей на устройстве" ваш контейнер. Кликните на него один раз. Нажмите кнопку "Просмотреть".
  • В открывшемся окне должно быть видно, что Закрытых ключей и Сертификатов по одному.
  • Жмите кнопку "Сертификат". Далее появится "Сертификат". НУЖНО тут на вкладке "Общие" нажать кнопку "Установить сертификат".
  • "Далее"
  • Отметьте "Установить сертификаты издателей" и "Установить СОС" и кнопку "Далее"
  • Отметьте, если нет, галочкой "Указать контейнер с закрытым ключом", "Далее"
  • Введите пароль от криптоносителя JaCarta тот, который вы вводили при получении ЭЦП.
    При этом лучше не сохранять ПИН-код.
  • Далее соглашаетесь установить(удалить) сертификат из корневого хранилища. Два раза при необходимости.
• Сертификат готов к использованию на порталах