Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост




Скачать 56.87 Kb.
НазваниеИнструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост
ТипИнструкция
rykovodstvo.ru > Руководство эксплуатация > Инструкция

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении

  1. С использованием защищенного соединения по алгоритмам ГОСТ


  1. Скачать дистрибутив криптопровайдера КриптоПро JCP (http://www.cryptopro.ru/products/csp/jcp) и специального расширения КриптоПро JTLS (http://www.cryptopro.ru/products/csp/jcp/jtls). Версия КриптоПро JCP и КриптоПро JTLS должна быть не ниже 1.0.49. Внимание: требуется лицензия! Срок действия ознакомительной версии 30 дней.


  2. Скачать add-on к JRE “Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy” http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html


  3. Для выполнения последующих шагов инструкции, убедиться, что переменная среды JAVA_HOME установлена и указывает на директорию установки JDK6, используемой для работы сервера приложений «АЦК-Планирование».


  4. Установить add-on к JRE, скачанный в п.2. Для этого распаковать архив, и скопировать 4 файла из него (заменяя существующие) по пути %JAVA_HOME%\jre\lib\security.
    P.S.: Если ранее на данном сервере и данной копии JDK производилась установка и настройка ПО Mendelson, то этот security add-on уже должен быть установлен.




  5. В том случае, если на рабочей JRE была установлена более старая версия криптопровайдера КриптоПро JCP (1.0.47 или 1.0.48), ее необходимо деинсталлировать, запустив комманду:

> %путь к старой JCP%\lib\uninstall.bat %JAVA_HOME%\jre


  1. Установить криптопровайдер КриптоПро JCP версии 1.0.49 или выше. Для этого распаковать скачанный в п.1 архив с инсталлятором, и запустить команду:
    > %путь к JCP%\lib\install.bat %JAVA_HOME%\jre
    P.S.: В процессе установки инсталлятор может отображать некоторые ошибки, однако если установка завершается сообщением:
    Установка пакетов завершена успешно.
    ---- Install finished
    ---- Script SUCCEEDED
    то эти ошибки следует игнорировать – они возникают при установке необязательных компонентов, и на дальнейшую работу не повлияют.




  2. Установить расширение КриптоПро JTLS версии 1.0.49 или выше, для этого распаковать скачанный в п.1 архив с инсталлятором, и запустить команду:
    > %путь к JTLS%\lib\%JAVA_HOME%\jre\bin\java -jar cpSSL.jar


  3. Убедиться в корректной установке JCP и JTLS, запустив панель управления командой:
    > %путь к JCP%\lib\ControlPane.bat %JAVA_HOME%\jre
    В результате должно открыться окно «Настройки КриптоПро JCP», в котором, помимо прочих, должна присутствовать закладка «Сервер JTLS». Появление такого окна является признаком успешной установки JCP/JTLS. На данном этапе никаких дополнительных настроек в «панели управления» производить не требуется.


  4. ВАЖНО: при переустановке JAVA действия 3-7 нужно будет повторить.


  5. Далее необходимо получить SSL сертификат (цепочку сертификатов) сайта bus.gov.ru, которые будут использоваться для установления защищенного соединения при передаче данных на ООС. Для этого:

    1. С любой Windows-машины, на которой установлен КриптоПро CSP, c помощью Internet Explorer зайти на страницу https://bus.gov.ru/private

    2. Согласиться с запросом на подтверждение доверия сертификату безопасности для установления защищенного соединения, в случае если он всплывет.

    3. Отыскать в окне IE значок, обозначающий работу в защищенном режиме (обычно в виде желтого «замочка»; в зависимости от версии IE может располагаться либо внизу в статусной строке, либо сверху справа от адресной строки); щелкнуть на него для того чтобы открыть на просмотр сертификат безопасности.

    4. С помощью кнопки «Копировать в файл» в окне просмотра сертификата на вкладке «Состав» произвести экспорт сертификата в файл на диске в «DER-кодировке». В случае, если на закладке «Путь сертификации» при просмотре сертификата присутствуют корневой и/или промежуточные сертификаты, выполнить аналогичным образом экспорт всех сертификатов цепочки.


  6. Подготовить контейнер доверенных сертификатов для использования сервером приложений с помощью JCP. Для этого:

    1. Запустить «Панель управления JCP» (см. п.7).

    2. На закладке «Хранилища ключей и сертификатов» в нижнем окне выбрать «Хранилища сертификатов» и нажать кнопку «Найти / Создать».

    3. В появившемся окне указать пусть до файла, в который будет сохранен вновь создаваемый контейнер сертификатов (например, C:\trust.store).

    4. На запрос «Создать новое хранилище» ответить «Да».

    5. Задать пароль к контейнеру (пароль должен быть непустым!)

    6. Не обращать внимания на ошибку, выдаваемую в момент создания хранилища в java-консоли панели управления JCP. Для того, чтобы вновь созданное хранилище отобразилось в списке, необходимо повторно дважды щелкнуть пункт «Хранилища сертификатов».

    7. Открыть вновь созданное хранилище в дереве, дважды щелкнув на его имя и введя пароль.

    8. С помощью кнопки «Добавить» осуществить добавление всех сертификатов, сохраненных в п. 8d, начиная с корневого, в созданное хранилище.


  7. Провести настройку сервера приложений, файл Azk2Server.properties, следующая секция:
    # ---------------------------------------------------
    # Настройки хранилища ключей доверенных сертификатов
    # ---------------------------------------------------
    javax.net.ssl.trustStoreType=HDImageStore # всегда такое значение
    javax.net.ssl.trustStore=C:\\trust.store # путь к хранилищу, п.9c
    javax.net.ssl.trustStorePassword=111 # пароль к хранилищу, п.9e
    javax.net.ssl.supportGVO=true # всегда такое значение


  8. В случае необходимости, если доступ в Интернет со стороны сервера приложений осуществляется не напрямую, а через прокси-сервер, произвести настройку прокси-сервера для доступа по протоколу https в соответствующем разделе файла Azk2Server.properties:
    # ------------------------------------------------------------
    # Настройка прокси для доступа по защищенному протоколу HTTPS
    # (как правило, должны задаваться
    # те же настройки что и для HTTP)
    # ------------------------------------------------------------
    https.proxySet=true
    https.proxyHost=proxy.bftcom.com
    https.proxyPort=8080
    https.proxyUser=user
    https.proxyPassword=pass

  1. С использованием защищенного соединения по алгоритму RSA1


  1. При использовании защищенного соединения с ООС по алгоритму RSA, необходимо использовать JDK без установленного на него КриптоПро JCP / JTLS. Для этого

    1. (Предпочтительный вариант) Установить значение системной переменной JAVA_HOME на путь к отдельной инсталляции JDK6, на которую не устанавливалось КриптоПро JCP / JTLS. При этом установка add-on’а к JRE “Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy” по прежнему требуется!

    2. Либо использовать настроенную согласно разделу I JDK, с установленными КриптоПро JCP / JTLS. В этом случае необходимо закомментировать две последние строчки в файле %JAVA_HOME%\jre\lib\security\java.security:
      #ssl.SocketFactory.provider=ru.CryptoPro.ssl.SSLSocketFactoryImpl
      #ssl.ServerSocketFactory.provider=ru.CryptoPro.ssl.SSLServerSocketFactoryImpl


  2. Загрузить SSL сертификат сайта bus.gov.ru с алгоритмом ключа RSA. Для этого следовать действиям, аналогичным п. 8 раздела I, но вместо Internet Explorer в качестве браузера использовать Google Chrome (при этом наличие КриптоПро CSP не требуется). Нужен только конечный сертификат bus.gov.ru, корневой сертифтикат УЦ ФК загружать не нужно. (Можно использовать уже загруженный сертификат, приложен к инструкции: oos.cer)




  3. Добавить загруженный ssl-сертификат в хранилище доверенных сертификатов Java, для этого:

    1. Выполнить в командной строке (cmd.exe) команду
      > %JAVA_HOME%\jre\bin\keytool.exe -import -alias oos -keystore %JAVA_HOME%\jre\lib\security\cacerts -file <путь к файлу сертификата, например C:\oos.cer>

    2. При запросе пароля к хранилищу использовать пароль по умолчанию (если не менялся): changeit

    3. При запросе, доверяете ли вы сертификату, набрать yes




  4. При переустановке JAVA п.3 ч. II необходимо будет повторить



  1. Дополнительные настройки хранилища ключей доверенных сертификатов в Server.properties для данного режима не требуется (если они вносились при настройке согласно п. 11 раздела I, их необходимо закомментировать).


  2. Настройки прокси осуществляются аналогично п. 12 раздела I.

1 Использование соединения по данному алгоритму является альтернативным, не основным вариантом. При его использовании транспорт по доставке сообщений «АЦК-Планирование» может работать нестабильно, время от времени выдавая в системных событиях ошибку javax.net.ssl.SSLException: Server selected disabled ciphersuite SSL_NULL_WITH_NULL_NULL. Ошибка, как правило, исчезает сама через некоторое время.

Похожие:

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция пользователя сертификатов ключей подписей в формате единого...
Обеспечение регистрации пользователей и пользования официальным сайтом Российской Федерации в сети «Интернет» для размещения информации...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по настройке интеграции между рис «web -торги-кс» и оос...
Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг (далее – оос) в соответствии...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по настройке беспроводного соединения для студентов и...
Инструкция по настройке беспроводного соединения для студентов и сотрудников вгуэс в ms windows 7

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconРуководство по интеграции. Быстрый старт. Содержание
Битрикс: Управление сайтом. В документе подробно рассматривается процедура интеграции продукта в новый или уже существующий сайт....

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconРуководство пользователя для управляющей компании Оглавление 1Начало...
Личный кабинет. Содержит разделы для работы с пользователями и смены информации об организации; 6

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по настройке работы Yandex с сайтом https://service alcolicenziat ru

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по настройке работы Mozilla Firefox с сайтом https://service alcolicenziat ru

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconТехническое задание на установку, настройку и ввод в эксплуатацию...
Имальную для работы 5 (Пяти) пользователей в программе 1С: Предприятие с помощью технологии RemoteApp. Доступ к программе должен...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconТехнологическая инструкция по работе
Администратор безопасности информации (АБ) лицо, выполняющее функции по настройке и сопровождению всех программных и технических...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconМоей дипломной работы посвящена разработке прототипа защищенного...
Когда съемный носитель информации используется для хранения конфиденциальной информации, то возникает вопрос: как защитить ту информацию,...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по использованию системы управления сайтом для внутреннего пользователя
Заказчика, действия которых повлекли возникновение возможности получения информации, предназначенной исключительно для внутреннего...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconРуководство пользователя скзи «Континент-ап»
Для создания защищенного соединения между автоматизированным рабочим местом (далее – арм) Клиента Системы электронного документооборота...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по настройке vpn-соединения с сервером асу тп «Контейнер»...
Описанные ниже действия следует производить, имея права администратора компьютера

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconПрограммно-аппаратный комплекс защищенного хранения информации «Секрет...
Программно-аппаратный комплекс защищенного хранения информации «Секрет Особого Назначения»

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconИнструкция по настройке рабочего места при подключении к web сервисам...
М сэд нрд) по «Луч» в режиме «web канала» или лрм сэд нрд «web-кабинет Депозитария/Клиринговой организации», по «web-кабинет корпоративных...

Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении с использованием защищенного соединения по алгоритмам гост iconПриложение 8 «Утверждаю»
Администратор безопасности информации (АБ) лицо, выполняющее функции по настройке и сопровождению всех программных и технических...


Руководство, инструкция по применению






При копировании материала укажите ссылку © 2018
контакты
rykovodstvo.ru
Поиск