Перейти к содержанию

Настройки системы для работы с УНЭП, выпускаемой в Lexema-ECM#

Общие сведения#

Для того, чтобы установленная СЭД Лексема поддерживала использование ЭП, необходимо:

  1. Настроить конфигурационные файлы проекта;
  2. Установить КриптоПро;
  3. Сгенерировать гамма-последовательности;
  4. Организовать хранилище гамма-последовательностей и сертификатов ЭП;
  5. Настроить ограничение по количеству действующих ЭП у каждого пользователя.

Настройка конфигурационного файла#

Для подключения сервиса по работе с ЭП в конфигурационном файле проекта необходимо прописать:

{
  applications: {
    dss: {
      protocol: 'http',
      host: 'dss-service',
      port: 3076,
      script: 'ecosoft-lexema8-dss-service',
      lexema: {}
    }
  }
}

Установка КриптоПро на сервер#

Требуется установка КриптоПро CSP 5.0 R2 и такне необходимо установить лицензию для КриптоПро.

После этого необходимо добавить в переменную окружения (для текущего пользователя) параметр CryptoPro, в котором будет содержаться путь к исполняемым файлам csptest, cryptcp, certmgr. Для Windows по умолчанию это путь C:\Program Files (x86)\Crypto Pro\CSP, для Linux /opt/cprocsp/bin/amd64. После добавления переменной может потребоваться перезагрузка компьютера.

При поставке приложения в виде Docker образов установка крипто-про не требуется. В составе образа сервиса dss есть установленный крипто-про 5.0, для его корректной работы необходимо указать лицензию крипто-про в файле конфигурации этого сервиса import-cert.sh. Файл import-cert.sh располагается в каталоге настроек dss в сервисе конфигурации.

Генерация гамма-последовательностей#

Гамма-последовательностями в данном контексте называются последовательности случайных чисел. На их основе формируются уникальные ключи ЭП, которые не будут где-либо дублироваться.

Таким образом, возникает необходимость генерации таких последовательностей случайных чисел (гамма-последовательностей). ПАК "Соболь" является сертифицированным программным средством, обеспечивающим такую возможность.

Необходимо настроить датчик случайных чисел (ДСЧ) для КриптоПро, сгенерировав внешнюю гамму. Можно как использовать биологический генератор, что занимает очень длительное время, так и использовать другие программные средства (например, с помощью модуля Кликер в Lexema-RPA Studio или использовать ПАК "Соболь").

Примечания:

  • Сгенерированной гаммы хватает на ограниченное количество ключей. Необходимо генерировать заново, если вся гамма была использована.
  • Генерацией гаммы должен заниматься ответственный за безопасность хранения приватных ключей ЭП.
  • Сертификаты и приватные ключи ЭП по умолчанию хранятся на сервере, где разворачивается dss-service, вы можете применить любые требования безопасности и разместить этот сервис или эти каталоги в любом вашем защищенном контуре.

Пример настройки ДСЧ на Linux с помощью биологического генератора#

Для настройки ДСЧ необходимо:

  • пересоздать программный генератор:

    /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -add cpsd -name 'CPSDRNG' -level 0

  • создать папку, в которой будет сгенерирована тестовая гамма для ДСЧ;

  • сгенерировать тестовую гамму с помощью утилиты genkpim, запущенной с правами администратора:

    /opt/cprocsp/bin/amd64/genkpim y n <p>

    где y — необходимое количество случайных отрезков гаммы для записи на носитель (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте (оптимально 50—100), и, например, 1000 в реальных условиях);

    n — номер комплекта внешней гаммы (8 символов в 16-ричном коде), в общем случае любое шестнадцатеричное восьмизначное число, например 12345678;

    p — путь сохранения файлов гаммы (необходимо указывать уже существующую директорию), по которому будут записаны директории DB1 и DB2 (если путь не указан, то по умолчанию идет обращение к диску A:).

    Пример:

    /opt/cprocsp/bin/amd64/genkpim 2 00000001 /var/opt/cprocsp/dsrf/

  • зарегистрировать гамму:

    /opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -configure cpsd -add string /db1/kis_1 /путь_к_папке_с_гаммой/db1/kis_1
/opt/cprocsp/sbin/amd64/cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /путь_к_папке_с_гаммой/db2/kis_1

Организация хранилища гамма-последовательностей и сертификатов ЭП#

При запуске приложения со стандартными настройками запускаются сервисы, необходимые для работы этого приложения. При поставке в виде Docker образов сервисы запускаются в Docker контейнерах , среди которых запускается и контейнер сервиса dss. При старте контейнера сервиса dss и настройках по умолчанию создается каталог gamma в каталоге, где находится docker-compose. Полученные файлы гаммы необходимо разместить в созданный каталог gamma.

При каждом запросе на генерацию нового сертификата приложение обращается к данному каталогу gamma, а полученные сертификаты ЭП и ключи размещает в каталоги user-cert и user-keys соответственно.

Пути к каталогам описываются в файле docker-compose в разделе настроек dss-service и по умолчанию имеют следующие настройки:

- "./user-keys:/var/opt/cprocsp/keys/"
- "./user-cert:/var/opt/cprocsp/users/root/"

Проверить доступность гаммы можно путем выпуска пользовательского сертификата: Выпуск УНЭП.

Глобальные настройки#

В глобальных настройках системы можно настроить максимальное количество действующих (неотозванных) сертификатов пользователя в системе. Если лимит достигнут, сертификат не будет создан. Здесь же можно отключить подтверждение подписания сертификатом ЭП по СМС.

Чтобы изменить глобальные настройки системы, необходимо в меню выбрать пункт "Глобальные настройки".

Рисунок 1 Меню

Затем необходимо нажать на кнопку "Настройки".

Рисунок 2 Расположение кнопки "Настройки"

Настройки, касающиеся сертификатов УНЭП – это "Максимальное количество действующих сертификатов" и "Отключить подтверждение ЭП по СМС (новые сертификаты)".

В поле "Максимальное количество действующих сертификатов" указывается целое положительное число. Именно такое количество неотозванных сертификатов УНЭП может быть выпущено пользователю с использованием системы "Лексема" в качестве провайдера.

При включении опции "Отключить подтверждение ЭП по СМС (новые сертификаты)" для выполнения операций "Подписать ЭП" и "Подтвердить ознакомление ЭП" не потребуется ввод кода подтверждения из СМС, и рассылка таких сообщений будет приостановлена.

Рисунок 3 Пример глобальных настроек системы