Авторизация персональным цифровым сертификатом

Регистрация и получение персонального цифрового сертификата возможно в Microsoft Internet Explorer или Netscape и выполняется на сайте www.wmcert.com.

Рекомендуем использовать текущие версии браузеров, доступные на сайтах Microsoft и Netscape.

Для запуска серверного приложения WM Keeper Light установите сертификат и зайдите на https://light.webmoney.ru.

Инсталляция включает следующие этапы:

1. Регистрация и получение персонального сертификата.
2. Сохранение персонального сертификата и создание резервной копии.
3. Установка и использование персонального сертификата.

Секретный ключ, необходимый для доступа к WM-идентификатору, содержится в  сертификате. Во время работы персональный сертификат должен быть установлен в хранилище сертификатов.

Принципиальное новшество в области безопасности заключается в том, что критичные персональные данные больше не нужно хранить на самом компьютере. Авторизация обеспечивается за счет использования одноразовых сеансовых пар: числа-логина и числа-пароля, которые меняются каждый раз при входе в систему и не повторяются.

Сохранение персонального сертификата и создание его резервной копии

При регистрации сертификат и полученный вместе с ним секретный ключ сохраняются таким образом, чтобы их можно было экспортировать из хранилища сертификатов локального компьютера для создания резервной копии персонального сертификата клиента. При завершении операции регистрации необходимо экспортировать персональный сертификат, сделать его резервную копию и удалить его из хранилища сертификатов, поскольку нежелательно оставлять его в хранилище в экспортируемом режиме. Экспорт запускается из «Диспетчера сертификатов» (в Internet Explorer — диалог «Свойства обозревателя», закладка «Содержание», кнопка «Сертификатов»). После экспорта в файл вы можете установить персональный сертификат на любом из ваших компьютеров, щелкнув на нем мышью.

Установка и использование персонального сертификата

Наиболее приемлемым вариантом установки персонального сертификата на компьютере пользователя является режим «Сильной защиты закрытого ключа». Этот режим выставляется флагом «Enable strong private key protection» в диалоге, запрашивающем пароль при установке персонального сертификата. При этом не рекомендуется устанавливать персональный сертификат в экспортируемом режиме.

В режиме «Сильной защиты закрытого ключа» каждый раз при обращении к персональному сертификату будет отображаться диалоговое окно с запросом на разрешение программе воспользоваться закрытым ключом. Так как при SSL-соединении это обращение осуществляется только на начальном этапе, выбранный режим не будет слишком обременительным. Устанавливать более строгий режим обращения к закрытому ключу (с использованием пароля) целесообразно в том случае, если к персональному компьютеру могут в любой момент получить доступ посторонние лица.

Рекомендации по подключению и запуску WM Keeper Light

Для регистрации и запуска WM Keeper Light используется браузер. Соединение устанавливается по протоколу HTTPS, использующему безопасное соединение — 128-разрядную версию SSL). Авторизация клиента WM Keeper Light выполняется на основании персонального сертификата,  Рекомендуем пользоваться последними версиями браузеров

Использование 128-разрядного SSL

1. Браузер должен поддерживать SSL.
2. Использование SSL должно быть разрешено в настройках браузера.
3. Установление SSL-соединения для WM Keeper Light требует более высокого уровня защиты, чем тот, который возможно установлен на компьютере. Соответственно, должно быть установлено 128-разрядное обновление SSL. Его необходимо загрузить с сайта производителя браузера (для Internet Explorer можете воспользоваться «обновлением приложений» на сайте Windows Update или IE High Encryption Pack на английском языке).
4. Также, браузер должен поддерживать использование клиентских сертификатов.

Использование регистрационного сайта различными браузерами

Для Internet Explorer должен быть разрешен запуск ActiveX, подписанных издателем.

Internet Explorer под Макинтош не поддерживает используемый ActiveX, поэтому рекомендуется использование Netscape 6.

Для Netscape необходимо установить пароль к хранилищу сертификатов. Пароль устанавливается для всего хранилища сертификатов. При регистрации с использованием Netscape происходит генерация персонального сертификата и обращение к хранилищу для его сохранения (при этом запрашивается пароль хранилища).

Использование персонального сертификата

Для работы WM Keeper Light через браузер IE в хранилище сертификатов должен быть установлен персональный сертификат. Установка сертификата из файла в хранилище сертификатов Microsoft Windows запускается двойным нажатием на PFX-файле в проводнике (см. демонстрацию установки).

Выбранный для работы с WM Keeper Light персональный сертификат действует до тех пор пока не будет закрыт браузер, поэтому при завершении работы с программой необходимо закрыть все окна браузера, открытые пользователем во время работы программы.

Сертификат, который содержит только открытый ключ, (см. стандарт PKCS #7; расширение файла по умолчанию — .cer) не предоставляет доступа, так как не может аутентифицировать клиента из-за отсутствия секретного ключа, который присутствует в персональном сертификате (см.стандарт PKCS #12; расширение файла по умолчанию — .pfx).

Удаление персонального сертификата из хранилища выполняется в менеджере сертификатов (для IE — нажатием на кнопку «Удалить»). Окно менеджера сертификатов можно открыть в  IE из пункта меню «Сервис / Свойства обозревателя…» («Tools / Internet options…» в английской версии). Далее в диалоге настроек IE: закладка «Содержание», кнопка «Сертификаты».

Наличие установленных в браузере корневых сертификатов системы WebMoney Transfer является существенным для корректной работы браузера с сайтами и сервисами системы. Сертификаты устанавливаются автоматически при регистрации, если Вы отказались от установки сертификатов системы или хотите работать с другого компьютера, то сертификаты системы можно установить самостоятельно.