ПК "Единый Клиент JaCarta". Единый клиент Джакарта от Аладдин Р.Д Единый клиент jacarta

В настоящей статье описывается процесс настройки двухфакторной аутентификации по смарт-картам и USB-токенам JaCarta PKI на основе цифровых сертификатов X.509 в OpenVPN.

Данное решение позволяет отказаться от парольной аутентификации пользователя. Внедрение настоящего решения - это кардинальное снижение влияния человеческого фактора на безопасность системы.

Об OpenVPN

OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.

Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.

Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.

В поле cryptoapicert укажите отпечаток сертификата пользователя.

В поле ca укажите путь к сертификату Удостоверяющего центра.

Выдержка из конфигурационного файла:

# SSL/TLS parms.
# See the server config file for more
# description. It"s best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»
ca C:\ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА\ca.crt

Проверка

Запустите OpenVPN на сервере и клиенте.

Если настройка выполнена правильно, появится запрос на введение ПИН-кода к токену, и VPN-соединение успешно установится.

Другие способы получения ключей и сертификатов

Наиболее популярным способом генерации ключей и выпуска сертификатов является использование Удостоверяющего центра, например, на базе Microsoft Certification Authority. Для настройки OpenVPN этот способ генерации ключей и выпуска сертификата также подойдет.

Для сервера сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности сервера, экспортируйте их в файл PKCS#12.

В настройках серверной части OpenVPN вместо cert и key необходимо указать pkcs12:

Ca C:\ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРА\ca.crt
pkcs12 C:\ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРА\server.p12

Корневым сертификатом ca должен быть сертификат Удостоверяющего центра.

Настройка шаблонов для выпуска ключей и сертификатов на токен описана в инструкции к «Единому Клиенту JaCarta» и «JaCarta SecurLogon». Для клиента сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности клиента. При этом импортировать на токен файл pkcs#12 не потребуется. Остальные настройки клиентской части выполняются аналогично.

После того, как вы получили ЭЦП в УЦ Squaretrade, есть необходимость установить сертификат локально на ваш компьютер. Способ установки зависит от криптопровайдера:

КриптоПро CSP

Установить КриптоПро CSP (c сайта КриптоПро https://www.cryptopro.ru/).
Вставить токен JaCartа.
Запустить КриптоПро от имени администратора (либо запустить КриптоПро CSP и на вкладке "Общие" нажать кнопку "Запустить с правами администратора").
Перейти на вкладку "Сервис" и нажать кнопку "Просмотреть сертификаты в контейнере...".
Нажать "Обзор".
Выбрать из списка "Список ключевых контейнеров пользователя" свой ключевой контейнер (обычно его имя начинается со знака подчеркивания). И обычно ключевой контейнер находится на Считывателе ARDS ZAO JaCarta LT0. Жмем "ОК"
Жмем "Далее" --> Жмём "Установить" --> "OK"

VipNet CSP

Установить ViPNet CSP (желательно не ниже версии 3.2)
Вставить JaCarta-у в USB-разьем компьютера и подождать автоматической установки драйвера.
(Внимание(!): драйвера для смарт-карты не должны устанавливаться при этой авто-установки)
Открыть программу ViPNet CSP. Зайти на вкладку "Устройства". Кликнуть на появившуюся строчку типа "JCDS(ххххххх)" в окошечке "Подключенные устройства".
Далее увидите в окошечке "Контейнеры ключей на устройстве" ваш контейнер. Кликните на него один раз. Нажмите кнопку "Просмотреть".
- В открывшемся окне должно быть видно, что Закрытых ключей и Сертификатов по одному.
- Жмите кнопку "Сертификат". Далее появится "Сертификат". НУЖНО тут на вкладке "Общие" нажать кнопку "Установить сертификат".
- "Далее"
- Отметьте "Установить сертификаты издателей" и "Установить СОС" и кнопку "Далее"
- Отметьте, если нет, галочкой "Указать контейнер с закрытым ключом", "Далее"
- Введите пароль от криптоносителя JaCarta тот, который вы вводили при получении ЭЦП.
  При этом лучше не сохранять ПИН-код.
- Далее соглашаетесь установить(удалить) сертификат из корневого хранилища. Два раза при необходимости.
Сертификат готов к использованию на порталах

Для полноценный работы в ЕГАИС требуется установить JaCarta драйвер (Единый клиент JaCatra).
JaCarta скачать (Единый клиент Jakarta скачать).
Если Вы еще не приобрели электронную подпись и Джакарту ЕГАИС закончилась или нет ЭЦП, купить в Калининграде у нас!

Купить ЕГАИС Калининград

Получить Электронную подпись ЕГАИС и JaCarta ЕГАИС в Калининграде Вы можете у нас!

Мы являемся официальными Удостоверяющего Центра "Информзащита" и имеем для передачи Джакарта ЕГАИС и Электронной подписи ЭЦП в Калининградской области.

JaCarta драйвер. Установка. Инструкция.

После того как Вы скачали драйвер JaCarta ЕГАИС необходимо определить разрядность Вашей операционной системы для дальнейней установки Джакарта драйвера. Для этого необходимо зайти в меню Пуск-Мой компьютер правой кнопкой мыши нажать свойства.

В отобразившемся окне свойствах операционной сиcтемы отобразится тип системы, либо 32, либо 64 разрядная операционная система.

В зависимости от разрядности Вашей операционной системы выберите нужный драйвер Jakarta, если 32х выбирайте x86, если 64 выбирайте z64 и запустите драйвер от имени администратора.

Выберите нужный драйвер JaCarta ЕГАИС и нажмите установить.

Появится окно инсталятора JaCarta PKI ГОСТ SE, нажмите Далее.

Для установки Единого клиента JaCarta нажмите Далее.

Нажмите на галочку Я принимаю условия лицензионного соглашения для установки дравера и нажмите Далее.

Инстралятор Единый клиент Jakarta предложит установить драйвер JaCarta в другое место, если нужно в другое нажмите Изменить и выберите куда Вам надо установить драйвер джакарты ЕГАИС, и нажмите Далее, если и так все устраивает просто нажмите Далее..

Семейства JaCarta получили широкое распространение в качестве индивидуальных средств, обеспечивающих защищённый доступ к различным конфиденциальным информационным ресурсам.

Для обеспечения полноценной работы данных устройств на компьютере пользователя необходимо установить соответствующие .

Данным примером предлагаем к ознакомлению процесс установки вышеперечисленного ПО из состава дистрибутива Единого клиента JaCarta и JaCarta SecurLogon версии 2.8.0.1402. Установку пакета будем производить на компьютер с предустановленной операционной системой Microsoft Windows 10 Корпоративная редакция, 64-битная версия.

Установка драйвера и ПО JaCarta на компьютер, функционирующий под управлением иных версий операционных систем семейства Microsoft Windows (из перечня поддерживаемых Единым клиентом), производится аналогичным образом.

После того, как скачан, приступаем к установке:

Закройте все открытые приложения
От имени Администратора запустите на выполнение файл JaCartaUnifiedClient_2.8.0.1402_win-x64_ru-Ru.msi, входящий в состав дистрибутива
В случае работы компьютера под управлением 32-битной ОС из состава поддерживаемых Единым клиентом JaCarta операционных систем, инсталляцию следует начинать с запуска файла JaCartaUnifiedClient_2.8.0.1402_win-x86_ru-Ru.msi

В появившемся окне приветствия нажмите кнопку "Далее" для перехода к следующему окну процесса установки

Ознакомьтесь с лицензионным соглашением на использование программного продукта. При согласии с его условиями отметьте пункт "Я принимаю условия лицензионного соглашения" и нажмите кнопку "Далее"
В ином случае откажитесь от установки нажатием кнопки "Отмена"

Переходим к выбору места и вида установки Единого клиента
Кнопкой "Изменить" укажите место на диске, куда будет производиться установка, либо оставьте предложенный путь без изменений
Укажите вид установки. При "Стандартной" будет установлен полный пакет ПО, включая и Единый клиент JaCarta и JaCarta SecurLogon. При желании произвести выборочную установку компонентов отметьте пункт "Выборочная"
Для продолжения процесса установки нажмите кнопку "Далее"

Для большей наглядности, в предыдущем окне был выбран "Выборочный" вид установки, согласно которому получаем текущее окно выбора компонентов
Отметьте необходимые вам составляющие установочного пакета и нажмите кнопку "Далее"

Следующим пунктом меню установки будет выбор способа автоматического обновления продукта
Если вы ведёте полный контроль над устанавливаемыми на вашем компьютере приложениями, то отметьте пункт, предложенный на текущем рисунке, и нажмите кнопку "Установить"

На данном этапе вы ещё можете вернуться назад для изменения тех или иных пунктов установки. Для этого воспользуйтесь кнопкой "Назад"
В случае если вас всё устраивает, и вы готовы приступить к инсталляции выбранных компонентов, нажмите кнопку "Установить"

Процесс установки начнётся, и будет сопровождаться до своего полного завершения увеличением шкалы прогресса

По окончании установки вы получите соответствующее окно с уведомлением
Для выхода из программы нажмите кнопку "Готово"

Для того чтобы внесённые в систему изменения вступили в силу, остаётся лишь перезагрузить компьютер

Простое и удобное администрирование устройств JaCarta и eToken

ПК "Единый Клиент JaCarta" - программный комплекс, предназначенный для настройки и работы со всеми моделями USB-токенов и смарт-карт JaCarta и eToken PRO (Java) в операционных системах семейства Microsoft Windows.

Настройка USB-токенов и смарт-карт
Поддержка всех устройств JaCarta и eToken PRO (Java)
Работа с отечественными и зарубежными криптоалгоритмами в одном интерфейсе
Удобство использования для рядовых пользователей и администраторов
Работа с контейнерами КриптоПро CSP из единого интерфейса
Поддержка модулей криптопровайдеров (КриптоПро CSP, Signal-COM CSP и др.)

Назначение ПК "Единый Клиент JaCarta"

ПК "Единый Клиент JaCarta" объединяет в себе все необходимые инструменты для настройки и работы с устройствами (USB-токенами и смарт-картами) семейств JaCarta и eToken PRO (Java). С его помощью можно быстро и легко:

установить или изменить PIN-коды пользователя и администратора;
получить полную информацию об устройстве (название, модель, серийный номер, хэш-алгоритм подписи, объём свободной памяти и т.д.);
разблокировать устройство;
инициализировать (персонализировать) устройство с заданными настройками;
просмотреть, импортировать или экспортировать хранимые в устройстве объекты (цифровые сертификаты, пароли, лицензии и т.д.);
провести диагностику работы устройств.

Поддерживается работа с известными криптопровайдерами (CSP) без установки дополнительного программного обеспечения, например, с КриптоПро CSP, Signal-COM CSP, ViPNet CSP и др.

ПК "Единый Клиент JaCarta" может работать в двух режимах.

Режим пользователя позволяет просматривать краткие сведения о подсоединённых USB-токенах/смарт-картах и предоставляет доступ к базовым операциям с ними.
Режим администрирования позволяет просматривать полные сведения о подсоединённых USB-токенах/смарт-картах и предоставляет доступ ко всем операциям с ними.

Преимущества ПК "Единый Клиент JaCarta"

Дополнительные опции

Возможности ПК "Единый Клиент JaCarta" могут быть расширены при активации платной опции JaCarta SecurLogon , позволяющей быстро осуществить переход от однофакторной аутентификации с использованием пары логин/пароль к усиленной двухфакторной аутентификации с помощью USB-токенов и смарт-карт JaCarta.

При этом разворачивать инфраструктуру открытых ключей (PKI) или Active Directory не обязательно - в устройства записывается сложный пароль, используемый в процессе аутентификации в информационной системе в момент предъявления USB-токена/смарт-карты и ввода PIN-кода пользователя.

В дальнейшем в память устройства можно записать цифровой сертификат пользователя и соответствующий закрытый ключ, обеспечив быстрый и незаметный для пользователей переход от усиленной аутентификации к строгой двухфакторной аутентификации с PKI.

Поддержка новых ГОСТов 2012 года

ПК "Единый Клиент JaCarta" поддерживает новое поколение USB-токенов и смарт-карт JaCarta-2 ГОСТ , в которых аппаратно реализованы как старые криптографические алгоритмы ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 , так и новые алгоритмы ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 .

Применение JaCarta-2 ГОСТ позволяет обеспечить совместимость с существующими прикладными системами и сервисами, использующими старые стандарты электронной подписи (ЭП), и плавно перейти на использование новых стандартов формирования ЭП.

Технические подробности

Требования к процессору рабочего места	Минимальные требования: Intel Pentium IV Рекомендуется: Intel Core 2 Duo и выше
Поддерживаемые операционные системы	Microsoft Windows 10; Microsoft Windows 8.1; Microsoft Windows 8; Microsoft Windows 7 SP1; Microsoft Windows Vista SP2; Microsoft Windows XP SP3 (32-бит), SP2 (64-бит); Microsoft Windows Server 2016; Microsoft Windows Server 2012 R2; Microsoft Windows Server 2012; Microsoft Windows Server 2008 R2 SP1; Microsoft Windows Server 2008 SP2; Microsoft Windows Server 2003 SP2.
Необходимые аппаратные средства	Для USB-токенов - USB-порт. Для смарт-карт необходимо наличие подключённого считывателя смарт-карт. Для электронных ключей в форм-факторе microSD можно использовать следующее оборудование: разъём microSD; разъём SD через переходник microSD-to-SD; USB-порт через переходник microSD-to-USB. Для электронных ключей в форм-факторе microUSB можно использовать USB-порт через переходник microUSB-to-USB.
Поддерживаемые модели USB-токенов и смарт-карт
Требуемый объём дискового пространства	Не менее 100 Мбайт
Дополнительное ПО	Для использования электронных ключей JaCarta CryptoPro и eToken CryptoPro необходимо, чтобы на компьютере было установлено Программное обеспечения для работы с СКЗИ КриптоПро ФКН CSP.
Состав программного комплекса	Единый Клиент JaCarta Программное решение JaCarta SecurLogon (платное расширение функциональности Единого Клиента JaCarta)

Основные отличия ПК "Единый Клиент JaCarta" 2.11 от предыдущей версии (2.9):

поддержка устройств JaCarta-2 ГОСТ (включая комбинированные модели) - нового поколения USB-токенов и смарт-карт с аппаратной реализацией криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 для работы с усиленной квалифицированной электронной подписью и строгой двухфакторной аутентификации;
поддержка USB-токенов и смарт-карт JaCarta PRO - сертифицированных устройств для строгой двухфакторной аутентификации на основе зарубежных криптоалгоритмов и совместимых с инфраструктурой для eToken PRO (Java);
поддержка USB-токенов и смарт-карт eToken PRO (Java) 72К (в том числе eToken Anywhere) без необходимости установки дополнительного программного обеспечения (ПО);
в состав дистрибутива добавлено ПО JaCarta АРМ УЦ , позволяющее формировать запросы к Удостоверяющему центру на получение сертификата открытого ключа и записывать полученные сертификаты в память USB-токенов и смарт-карт JaCarta ГОСТ или eToken ГОСТ. При этом закрытые ключи пользователей генерируются в устройствах и никогда их не покидают.

Сертификат соответствия ФСТЭК России № 3449 подтверждает, что ПК "JaCarta" версии 1.5 в составе USB-токенов, смарт-карт и программного обеспечения "Единый Клиент JaCarta" соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля и технических условий.

ПК "JaCarta" версии 1.5 предназначен для защиты информации, не содержащей сведений, составляющих государственную тайну, и может применяться в автоматизированных системах до класса защищённости 1Г включительно, в государственных информационных системах до 1 класса защищённости включительно, а также в информационных системах персональных данных до 1 уровня защищённости включительно.