Как добавить новую эцп на сбербанк аст. IIS - Сопоставление клиентских сертификатов учетным записям пользователей. Что необходимо для сопоставления онлайн-сертификата и личного кабинета

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня... Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

Олеся Михайловна - генеральный директор ООО "ВКС"

От имени предприятия ГУП "Севастопольское авиационное предприятие" выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Гуськова Лилия Ивановна - менеджер. ГУП "САП"

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

Надия Шамильевна - предприниматель ИП Аношкина

От лица компании "АКБ-Авто" и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Насибуллина Альфира - Старший менеджер "АКБ-Авто"

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом!!! Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех.поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо!!!

Ольга Севостьянова.

Приобретение ключа оказалось очень лёгким и, даже, приятным. Огромная благодарность за содействие менеджеру Михаилу. Объясняет сложные и массивные для понимания вещи ёмко, но очень понятно. К тому же я позвонил на горячую бесплатную линию и в режиме он-лайн, вместе с Михаилом оставил заявку. Мне изготовили ключ через 2 рабочих дня. В общем, рекомендую если экономите своё время, но в тоже время хотите иметь понимание - что покупаете и за что платите. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Стоянова Н.Л. - главный бухгалтер ООО "СИТЕКРИМ"

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

Дмитрий Фомин

ООО "Эксперт Система" благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Суханова М.С. - Оценщик ООО "Эксперт Система", г. Волгоград

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Леонид Некрасов

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Если ваша организация ранее не была зарегистрирована на sberbank-ast.ru, то необходимо пройти аккредитацию. Для этого можно воспользоваться .

Если уже работали на данной площадке, то необходимо выполнить регистрацию нового, ранее не использовавшегося на площадке, сертификата. Для этого необходимо выполнить следующие действия:

2. Заполнить заявление на регистрацию пользователя (часть данных заполняется из сертификата автоматически по нажатию кнопки «Заполнить регистрационную форму» ), придумать логин-пароль для входа(если ранее уже использовали логин для входа на Сбербанк-АСТ, то придумать новый, отличный от предыдущего) и кодовую фразу.

3. Прикрепить и подписать скан документа, подтверждающего полномочия сотрудника, на которого выдан сертификат.

4. Заполнить капчу(текст с картинки) и нажать «Подписать и отправить» .

После прохождения регистрации нового сертификата на торговой площадке можно повторить попытку входа уже по новому сертификату.

Была ли полезна информация? Да Нет

Для проверки подлинности пользователей, входящих в систему с клиентским сертификатом, можно сопоставить данные, содержащиеся в сертификате, с учетной записью пользователя Windows. Есть два способа сопоставления сертификатов: и . Оба эти способа можно применить в оснастке IIS.

Важно!

  • Сопоставление сертификатов возможно только при наличии установленного серверного сертификата. Дополнительные сведения об установке серверного сертификата см. в разделе Получение сертификата сервера .
  • Чтобы гарантировать вступление в силу изменений, внесенных в правила сопоставления сертификатов, нужно остановить и заново запустить веб-узел. Для этого: В оснастке IIS выделите веб-узел и либо выберите команду Остановить в меню Действие , либо нажмите кнопку Остановка объекта на панели инструментов. Затем выберите команду Пуск в меню Действие или нажмите кнопку Запуск объекта на панели инструментов.

Общие сведения о сопоставлении

Сопоставление «один-к-одному»

При сопоставлении «один-к-одному» учетным записям сопоставляются отдельные клиентские сертификаты. Сервер сравнивает имеющуюся у него копию клиентского сертификата с клиентским сертификатом, отправляемым обозревателем. Для успешного сопоставления эти два сертификата должны быть абсолютно идентичными. Если клиент получит другой сертификат, содержащий те же сведения о пользователе, то нужно будет заново выполнить сопоставление.

Сопоставление «многие-к-одному»

При сопоставлении «многие-к-одному» используются правила сопоставления с помощью подстановочных знаков , которые позволяют выяснить, содержит ли клиентский сертификат определенную информацию, например имя издателя или тему. Этот способ сопоставления не сравнивает сами клиентские сертификаты, а принимает все сертификаты, удовлетворяющие определенным критериям. Если клиент получит другой сертификат, содержащий те же сведения о пользователе, то существующее сопоставление будет по-прежнему действительно.

Сопоставление службы каталогов (DS)

Сопоставление сертификатов службы каталогов (DS) использует встроенные в Windows 2000 средства активных каталогов для проверки подлинности пользователей с клиентскими сертификатами. Этот способ сопоставления имеет как преимущества, так и недостатки. Например, преимуществом является то, что сведения клиентского сертификата могут совместно использоваться большим числом серверов. Недостаток состоит в том, что проверка соответствия с использованием подстановочных знаков менее развита по сравнению с имеющейся в средстве сопоставления IIS. Дополнительные сведения о сопоставлении службы каталогов см. в документации Windows 2000.

Включить сопоставление службы каталогов можно только на уровне основных свойств и только будучи членом домена Windows 2000. Включение сопоставления службы каталогов отменяет использование сопоставления «один-к-одному» и «многие-к-одному» для всей веб-службы.

Стратегии сопоставления

Сопоставление клиентских сертификатов очень гибко: можно использовать любой из трех способов сопоставления сертификатов учетным записям пользователей. Можно сопоставить один клиентский сертификат любому числу учетных записей пользователей и любое число клиентских сертификатов одной учетной записи. Сопоставление сертификатов можно использовать в различных ситуациях, в том числе:

  • Большие сети. В сетях с большим числом клиентских сертификатов используется сопоставление «многие-к-одному» или сопоставление службы каталогов. Администратор имеет возможность задать одно или несколько правил для сопоставления сертификатов одной или нескольким учетным записям Windows.
  • Малые сети. В сетях с малым количеством пользователей можно использовать сопоставление «один-к-одному» для обеспечения лучшего контроля за использованием и отзывом сертификатов, или сопоставление «многие-к-одному» для упрощения администрирования.
  • Дополнительная безопасность. Для ресурсов, доступных лишь нескольким пользователям и требующих дополнительной защиты, используйте сопоставление «один-к-одному». Это позволит гарантировать допустимость лишь конкретных сертификатов. Кроме того, этот способ обеспечивает поддержку лучших политик отзыва сертификатов.
  • Интернет. Узлы Интернета, проверяющие подлинность с помощью сертификатов, могут использовать сопоставление «многие-к-одному», принимая различные сертификаты и сопоставляя их все учетной записи, имеющей права, аналогичные правам учетной записи IUSR_имя_компьютера .
  • По службе сертификации. Для разрешения доступа в систему всем пользователям, входящим в систему с клиентским сертификатом, выданным определенной организацией, можно использовать сопоставление «многие-к-одному» и задать правило для автоматического сопоставления любого сертификата, выданного этой организацией, учетной записи пользователя.

Примечание. Если требуется более гибкий механизм проверки соответствия с помощью подстановочных знаков, воспользуйтесь возможностями средства сопоставления IIS. Если сопоставление используется для интеграции веб-узлов в домен Windows, то средство Windows DS подойдет лучше. Дополнительные сведения см. в документации Windows.

Экспорт сертификата

Некоторые сертификаты необходимо экспортировать , чтобы их можно было использовать в сопоставлении «один-к-одному». Для сопоставления «многие-к-одному» экспортировать сертификаты не требуется. Дополнительные сведения можно получить у службы сертификации.

Чтобы экспортировать сертификат с помощью обозревателя Internet Explorer версии 4.0 или новее.

Примечание. Этой процедурой можно также воспользоваться для создания резервной копии сертификата.

  1. В обозревателе Internet Explorer откройте меню Сервис и выберите команду Свойства обозревателя .
  2. В диалоговом окне Свойства обозревателя откройте вкладку Содержание .
  3. На вкладке Содержание нажмите кнопку Личные (Internet Explorer версии 4.0), либо нажмите кнопку Сертификатов и откройте вкладку Личные (Internet Explorer версии 5).
  4. Выберите сертификат из списка и нажмите кнопку Экспорт .
  5. В мастере нажмите кнопку Далее , выберите флажок Нет, не экспортировать закрытый ключ и нажмите кнопку Далее .
  6. На следующей странице выберите формат Вase-64 шифрование X.509 (.CER) и нажмите кнопку Далее . Завершите процедуру, следуя указаниям мастера.

    7. Теперь сертификат готов к сопоставлению «один-к-одному». Для каждого сертификата эту процедуру нужно выполнить всего один раз.

Сопоставление сертификатов

При сопоставлении «один-к-одному» учетным записям сопоставляются отдельные клиентские сертификаты. При сопоставлении «многие-к-одному» используются правила сопоставления с помощью подстановочных знаков , которые позволяют выяснить, содержит ли клиентский сертификат определенную информацию, например имя издателя или тему.

Чтобы сопоставить конкретный клиентский сертификат учетной записи пользователя (сопоставление «один-к-одному»)
  1. На вкладке Безопасность каталога в группе Безопасные подключения нажмите кнопку Изменить .
  2. В диалоговом окне Безопасные подключения установите флажок Изменить .
  3. На вкладке 1-к-1 диалогового окна добавьте новый сертификат, нажав кнопку Добавить , либо измените существующее сопоставление, выделив его и нажав кнопку Изменить .
  4. Для добавления сертификата, найдите его файл и откройте его.

    5. Примечание. Если найти файл сертификата не удается, то, возможно, его нужно экспортировать.

  5. В диалоговом окне Сопоставление с учетной записью введите имя сопоставления. Это имя будет выводиться в списке диалогового окна Сопоставление с учетными записями .
  6. Введите имя учетной записи Windows или перейдите к ней. Введите пароль учетной записи, с которой сопоставляется сертификат.
  7. Нажмите кнопку OK .
  8. Повторите эти шаги для сопоставления других сертификатов или для сопоставления этого же сертификата с другими учетными записями.
Чтобы сопоставить клиентский сертификат с помощью правила, использующего подстановочные знаки (сопоставление «многие-к-одному»)

Примечание. Для сопоставления «многие-к-одному» экспортировать сертификаты не нужно.

  1. В оснастке IIS выделите веб-узел, для которого нужно настроить проверку подлинности, и откройте окно его свойств.
  2. На вкладке Безопасность каталога в группе Безопасные подключения нажмите кнопку Изменить .
  3. В диалоговом окне Безопасные подключения установите флажок Разрешить сопоставление сертификатов клиентов , если он еще не установлен. Нажмите кнопку Изменить .
  4. На вкладке Многие к 1 диалогового окна Сопоставление с учетными записями нажмите кнопку Добавить .
  5. В диалоговом окне Общие введите имя правила. Это имя будет выводиться в списке диалогового окна Сопоставление с учетными записями . Можно создавать правила на будущее или отключать правила, не удаляя их; для этого предназначен флажок Включить данное правило . Нажмите кнопку Далее .
  6. В диалоговом окне Правила нажмите кнопку Создать .
  7. В диалоговом окне Изменение элемента правила выберите соответствующий критерий и нажмите кнопку OK .

    8. Примечание. Повторите шаги 6 и 7, если нужно задать более конкретное правило.

  8. По завершении нажмите клавишу Далее .
  9. В диалоговом окне Сопоставление введите имя учетной записи пользователя Windows или перейдите к ней. Введите пароль учетной записи, с которой сопоставляется данное правило.

    10. Примечание. Если учетная запись, с которой сопоставляется правило, расположена на компьютере, являющемся членом рабочей группы, нужно будет указать имя компьютера и имя учетной записи. Например, если сопоставление выполняется с учетной записью «RegionalSales» на компьютере с именем «Sales1», то имя будет выглядеть следующим образом: Sales1\RegionalSales.

  10. Нажмите кнопку OK .
  11. Повторите эти шаги для создания других правил сопоставления.
  12. Порядком применения правил можно управлять с помощью кнопок Вниз и Вверх . Приоритет имеют правила, расположенные выше.
Чтобы изменить существующее правило сопоставления с использованием подстановочных знаков (сопоставление «многие-к-одному»)
  1. В оснастке IIS выделите веб-узел, для которого нужно настроить проверку подлинности, и откройте окно его свойств.
  2. На вкладке Безопасность каталога в группе Безопасные подключения нажмите кнопку Изменить .
  3. В диалоговом окне Безопасные подключения установите флажок Разрешить сопоставление сертификатов клиентов , если он еще не установлен. Нажмите кнопку Изменить .
  4. На вкладке Многие-к-1 диалогового окна Сопоставление с учетными записями выделите правило и нажмите кнопку Изменить .
  5. Внесите нужные изменения.
  6. По завершении нажмите кнопку OK .

Примечания

  • Сопоставления конкретных клиентских сертификатов всегда имеют преимущество над сопоставлениями с помощью подстановочных знаков.
  • Некоторые клиентские сертификаты могут содержать большое количество идентификационных данных и могут включать дополнительные, нестандартные поля. Сведения о форматах сертификатов можно получить у сертификационной службы.
  • Используйте как можно более точно сформулированные правила. Хорошее правило, использующее подстановочные знаки, проверяет содержимое нескольких различных полей и дополнительных полей. Например, названия «Бухгалтерия», «Доставка» и «Сбыт» могут появляться в дополнительном поле нескольких клиентских сертификатов организации. Правило, задающее сопоставление сертификатов только по значению этого дополнительного поля, может привести к неверному сопоставлению.


Пользователи, работающие с ЭЦП и не до конца понимающие принцип взаимодействия ЭЦП с порталами госзакупок и тендеров, сталкиваются с ошибками, связанными с неправильной установкой сертификатов и временно неработоспособными сайтами. Одна из наиболее часто встречающихся ошибок - "Данный сертификат не сопоставлен с пользователем системы", появляется наиболее часто на портале Сбербанк АСТ. Как ее решить? Попробуем перебрать имеющиеся способы решения этой ошибки и ситуации, по которым она может появляться.

Сертификат не сопоставлен с пользователем - Сбербанк АСТ. В чем причина?

Причин может быть несколько, как и в любой другой ситуации при работе с техникой. Перечислим наиболее часто встречающиеся:
  • 1. Работы на сайте . Техническое обслуживание сайта Сбербанк АСТ сопровождается очень часто с отключением от базы данных зарегистрированных ЭЦП. Если говорить простыми словами - проверяя принадлежность вашей ЭЦП пользователю, зарегистрированному на портале при отключенной базе данных портал Сбербанк АСТ вероятнее всего выдаст ошибку, что ваш сертификат не сопоставлен с пользователем системы.
  • 2. Незарегистрированный или не аккредитованный пользователь ЭТП (Электронной Торговой Площадки). Как пройти регистрацию или аккредитацию мы напишем подробно в следующей статье, эта информация также легко ищется в Интернете. Для того чтобы зарегистрироваться на Сбербанк АСТ надо пройти по этой ссылке и действовать по инструкциям: заполнить реквизиты фирмы, придумать логин, пароль, кодовую фразу, приложить отсканированный документ, подтверждающий ваши полномочия, подписать имеющимся сертификатом и отправить на рассмотрение.
  • 3. Не подходящий для ЭТП сертификат . Если сертификат был выпущен не для проведения электронных торгов, но у вас есть зарегистрированный аккаунт для работы с порталом - может появляться ошибка "Данный сертификат не сопоставлен с пользователем системы". Здесь лучшим выходом будет позвонить в тот удостоверяющий центр (УЦ), который выпустил ваш сертификат для решения вопроса. В большинстве случаев специалисты технической поддержки вам помогут удаленно через специальную программу.
  • 4. Сертификат был перевыпущен по истечению срока действия или другой причине. В данном случае через личный кабинет надо прописать новый сертификат.

    • Привязка нового сертификата может быть связана с разными ситуациями. Например, у него истёк срок действия, который составляет 1 год. Или старый сертификат потерялся. Есть случаи, когда нужна внеплановая замена и привязка. Если старый сотрудник перестал заниматься проектами на ЭТП , а появился новый человек.

    Вход в ЛКС на Сбербанк-АСТ производиться по сертификату ЭП. Если войти в ЛК нельзя, система выдаёт что пользователь системы и сертификат клиента не сопоставимы, то привязать нужно новый.

    Инструкция по привязке нового сертификата на сайте Сбербанк-АСТ :

    1. Нужно заполнить и подать заявку на регистрацию нового пользователя. Зайти в открытую часть площадки, найти в меню «Участникам». Развернуть этот раздел и нажать на «Регистрация». После нажимаете кнопку «Выбрать» и «Подать заявку». Находиться кнопка в поле «Регистрация пользователя участника».
    2. Выбираете из предложенного списка конкретно Ваш сертификат ЭП. Затем, заполняете поля форму. Некоторые поля заполняются автоматически (ИНН, ОГРН и т. д.), а логин и пароль указываются новые.
    3. Подписать заявку на аккредитацию новой ЭП. Дождаться подтверждения, что она успешно работает.
    4. В течение пяти минут новая ЭП станет активной. Можно будет зайти заново в ЛК и продолжить работу.