Тема от Екатерина Б.

  • Екатерина Б.
  • Посетитель
  • Неактивен

Использование Rutoken S для web-аутентификации.

Добрый день.
Для аутентификации на нашем web-сервисе используются клиентские сертификаты. Предполагается, что клиентам будет выдаваться rutoken, с установленным на него соответствующим сертификатом.
Дальнейшая схема аутентификации видится следующим образом:
1. Клиент устанавливает  ПО.
2. Подключает Usb-token, сертификат копируется в хранилище сертификатов.
3. При доступе к web-сервису выбирается сертификат.
4. После изъятия usb-tokena, доступ становится не возможным (т.к. закрытые ключи должны храниться только на token'е)

В ходе тестирование данной возможности получили следующие результаты:
1. В браузере IE Explorer
- при аутентификации (при наличии token) запрашивается pin, аутентификация проходит успешно.
- при отключенном token'е , появляется сообщение с необходимостью вставить token с соответствующим контейнером.

2. В Firefox
- аутентификация с token - выполнятся
- при отключенном token - сертификатов в хранилище нет.

3. Проблема с работой в Google Chrome
аутентификация - выполняется как с подключенным token' ом, так и без него.
При этом очищали cookies, cache. Ситуация одна - если сертификат был скопирован в хранилище, доступ к web сервису осуществляется даже без rutoken.
Тестировали на своем web-сервисе и на webmoney.

Просьба объяснить данную ситуацию.

Ответ от Алексей Несененко

  • Алексей Несененко
  • Посетитель
  • Неактивен

Re: Использование Rutoken S для web-аутентификации.

Здравствуйте.

Мы пробуем воспроизвести Вашу проблему.

Вы использовали Rutoken S для хранения сертификатов?
Какая версия Google Chrome используется ?
Пробовали ли Вы на других версиях?

Ответ от Екатерина Б.

  • Екатерина Б.
  • Посетитель
  • Неактивен

Re: Использование Rutoken S для web-аутентификации.

Алексей Несененко пишет:

Здравствуйте.

Мы пробуем воспроизвести Вашу проблему.

Вы использовали Rutoken S для хранения сертификатов?
Какая версия Google Chrome используется ?
Пробовали ли Вы на других версиях?

Использовался Rutoken S.
Chrome последней версии: 31.0.1650.63 m
ОС: Windows 7 и Windows 8

Ответ от Алексей Несененко

  • Алексей Несененко
  • Посетитель
  • Неактивен

Re: Использование Rutoken S для web-аутентификации.

Екатерина Б. пишет:

Ситуация одна - если сертификат был скопирован в хранилище, доступ к web сервису осуществляется даже без rutoken.


Что значит был скопирован?


Мы протестировали описанную схему и при отключенном  Рутокене хром тоже не пускает на WEB

Ответ от Екатерина Б.

  • Екатерина Б.
  • Посетитель
  • Неактивен

Re: Использование Rutoken S для web-аутентификации.

Алексей Несененко пишет:
Екатерина Б. пишет:

Ситуация одна - если сертификат был скопирован в хранилище, доступ к web сервису осуществляется даже без rutoken.


Что значит был скопирован?


Мы протестировали описанную схему и при отключенном  Рутокене хром тоже не пускает на WEB

Добрый день.
Описанную ситуацию можно воспроизвести следующим образом.
1. В систему устанавливается сертификат с помощью Мастера импорта сертификата. (в папках Users\%username%\AppData\Roaming\ Microsoft\SystemCertificates\My\Certificates и Users\%username%\AppData\Roaming\ Microsoft\SystemCertificates\My\Keys - создаются соответствующие файлы)
2. Сертификат удаляется из системы с помощью оснастки (при этом файл, соответствующий сертификату -удаляется, а приватному ключу - нет -http://serverfault.com/questions/280778 … -windows-7)
3. При установке Rutoken - создается новый файл сертификата, но файл приватного ключа остается прежним.
4. Доступ осуществляется без предъявления Rutoken

Протестировано в версиях Windows7/Windows 8/8.1

Ответ от Алексей Несененко

  • Алексей Несененко
  • Посетитель
  • Неактивен

Re: Использование Rutoken S для web-аутентификации.

Екатерина Б. пишет:

Добрый день.
Дальнейшая схема аутентификации видится следующим образом:
1. Клиент устанавливает  ПО.
2. Подключает Usb-token, сертификат копируется в хранилище сертификатов.
3. При доступе к web-сервису выбирается сертификат.
4. После изъятия usb-tokena, доступ становится не возможным (т.к. закрытые ключи должны храниться только на token'е)

В описанной Вами в начале схеме нет никакого копирования(импорта) сертификатов

и именно такой вариант мы и тестировали