Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017

Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017


Скачать 159.63 Kb.
Название Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017
Тип Инструкция
rykovodstvo.ru > Руководство эксплуатация > Инструкция
Небанковская кредитная организация

закрытое акционерное общество

«НАЦИОНАЛЬНЫЙ РАСЧЕТНЫЙ ДЕПОЗИТАРИЙ»

Инструкция

по настройке рабочего места при подключении к WEB сервисам НРД с

использованием TLS соединения

Москва, 2017

Под термином «подключение к WEB сервисам НРД» имеется в виду подключение клиентов НРД для целей электронного взаимодействия (промышленный контур) или для целей тестирования (тестовый контур) с использованием локального рабочего места Системы электронного документооборота НРД (далее - ЛРМ СЭД НРД) ПО «Луч» в режиме «WEB канала» или ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «WEB-кабинет корпоративных действий (WEB-кабинет КД)» к WEB-сервису НРД т.е. программному средству, развернутому на стороне НРД, имеющему  адрес (URL) в сети Интернет через TLS соединение.

1. Для подключения к WEB-сервисам НРД через TLS соединение необходимо получить, установить и настроить средства криптографической защиты (далее - СКЗИ). Подробно процесс получения СКЗИ описан на сайте ОАО Московская Биржа в разделе «Первичное подключение к СЭД». Порядок настройки СКЗИ описан на сайте Московской Биржи в разделах «Квалифицированные сертификаты» и «Неквалифицированные сертификаты». Для работы с WEB-сервисом в тестовом и промышленном контурах НРД требуются следующие версии СКЗИ и их компоненты:
1.1 При использовании сертифицированных СКЗИ, квалифицированных сертификатов ключей проверки электронной подписи (далее – СКПЭП ГОСТ или сертификаты ГОСТ):

  • криптопровайдер "Валидата CSP" версии не ниже v.5.0.327.0. При этом обязательными для установки являются следующие опции:

- библиотека совместимости с СКЗИ СКАД Сигнатура;

- биологический ДСЧ;

- считыватель Съемный диск;

- утилита преобразования ключей;

- поддержка TLS


  • программный комплекс «АПК клиент ММВБ Справочник сертификатов» v5.0.328.0  для 32bit или 64bit в зависимости от операционной системы (далее – ОС), установленной на компьютере (для 64bit ОС устанавливаются ПК Справочник сертификатов 32bit и 64bit);

  • для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (XCS), за исключением файла xProfileOFF.reg.

Версии криптобиблиотеки Валидата-CSP и «АПК клиент ММВБ Справочник сертификатов» можно посмотреть в меню «Панель управления – программы и компоненты» для ОС Microsoft Windows 7 и выше


или «Пуск - Все программы - папка Валидата CSP - Программа конфигурации СКЗИ - окно Программа конфигурации Валидата CSP - верхний левый угол экрана (значок «Щит») – О программе..».




Вместе с криптобиблиотекой Валидата-CSP при начальной установке СКЗИ должна быть установлена программа монитора TLS.

Если она не была установлена необходимо в меню: «Панель управления – программы и компоненты» в строке «Валидата-CSP» (см. скриншот выше), выбрать пункт «изменить» и нажать кнопку «далее». У Вас появится окно «Выбор компонентов», в котором необходимо выбрать пункт «Валидата TLS», найти подпункт «Поддержка протоколов TLS и EAP-TLS» и выбрать вариант «Будет установлен на локальный жесткий диск», после этого нажать кнопку «далее».


В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот». Тестовый криптоключ получается клиентом только в НРД. Ключ криптосервера НРД (тестовая криптосессия) находится в высылаемом вам файле в папке SPR или его можно скачать с сайта НРД.

В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Председатель Правления НРД). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. СКПЭП криптосервера НРД добавляется в папку «Сертификаты» «АПК клиент ММВБ Справочник сертификатов» по установленной процедуре. Его можно скачать с сайта НРД.
1.2 При использовании несертифицированных СКЗИ, неквалифицированных сертификатов (RSA):

  • программный комплекс (ПК) «Справочник сертификатов» (RCS) v5.0.323.0;

  • для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (RCS), за исключением файла rProfileOFF.reg.

В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД (тестовая криптосессия) с областью действия «Тестовый электронный документооборот». Тестовый криптографический ключ получается клиентом только в НРД. В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Astanin Eddi Vladimirovich). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно.

2. После установки СКЗИ необходимо обеспечить перенос криптографических ключей в системное хранилище WINDOWS для организации защищённого TLS соединения с WEB сервером НРД. Для корректного добавления криптоключа в системное хранилище необходимо, используя меню программы «АПК Клиент ММВБ-справочник сертификатов», зайти в ветку справочника «Персональный справочник сертификатов» и проверить наличие сертификата удостоверяющего центра (INN=007702077840,OGRN=1027739387411,CN=Удостоверящий центр,O=ПАО Московская Биржа,L=Москва,ST=77 г.Москва,C=RU). Если есть сертификаты, помеченные красным кружком с белым крестиком, то их нужно выделить и удалить нажатием кнопки DELETE,


Далее выбрать меню «сервис-экспортировать сертификаты в системное хранилище» и согласиться со всеми задаваемыми программой вопросами.




Необходимо убедится, что Ваши сертификаты перенесены в системное хранилище сертификатов WINDOWS. Для этого необходимо вызвать в главном меню WINDOWS Пуск- >Панель управления->Свойства обозревателя.

На открывшейся форме необходимо выбрать закладку «Содержание» и нажать кнопку “Сертификаты”

и на вкладке «личные» найдите наименование своего ключа убедитесь, что он корректен, для этого дважды щелкните по наименованию сертификата и посмотрите на закладке «общие» внизу окна должна быть запись о том, что для данного сертификата есть закрытый ключ.


Если Вы не увидите данного поля и вместо него будет надпись, что этот сертификат не удалось проверить (см. скриншот), то это означает, что сертификат ключа добавлен некорректно.


Тогда нужно удалить сертификат из системного хранилища и экспортировать его туда заново.

Также необходимо убедится в переносе списка отозванных сертификатов в системной консоли WINDOWS. Для вызова консоли наберите mmc в командной строке WINDOWS и добавьте оснастку сертификатов. Наличие списка отозванных сертификатов можно проверить аналогично экрану ниже:

3. Для обеспечения корректной работы ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «Луч» в режиме «WEB канала» необходимо выполнить настройки интернет-обозревателя (далее – IE):

  • Сбросьте настройки IE в вариант «по умолчанию»;



  • Очистите куки и кэш память IE;

  • Проверьте отсутствие галочки «прокси-сервер» (в меню:«Свойства обозревателя-Подключения-Настройки сети»);



  • В форме «Надежные узлы» необходимо снять галку «Для всех узлов этой зоны требуется проверка серверов (https:)», если она включена;



  • При подключении к «WEB-сервису» НРД, необходимо добавить URL «WEB-сервиса» в список доверенных узлов (см. таблицу внизу) в зависимости от используемого ПО ЛРМ СЭД НРД (ПО «Луч» или WEB кабинет) с учетом типа криптографии (ГОСТ или RSA). В строке «Добавить в зону следующий узел» автоматически выставится правильный адрес, соответствующий начальной части адреса страницы WEB-сервиса (например: https://cabinet.nsd.ru/repository.

  • На закладке «Безопасность» формы «Свойства обозревателя», куда Вы вернулись, и где выбрана зона «Надежные узлы», нажмите кнопку «Другой…» в области «Уровень безопасности для этой зоны». В открывшейся форме «Параметры безопасности - зона надежных узлов» установить флаг «Включить» для параметра «Использование элементов управления ActiveX, не помеченных как безопасные для использования». (Обратите внимание на название параметра, поскольку в перечне параметров есть похожие названия).



Нажмите кнопку «ОК». Подтвердите изменение настроек зоны в ответ на запрос (нажатием кнопки «Да»). Нажмите кнопку «Применить», затем закройте форму «Свойства обозревателя»;

На закладке «Дополнительно» убедитесь, что настройки SSL и TLS установлены как в окне ниже;

  • Убедитесь, что отключено блокирование всплывающих окон на вкладке «Конфиденциальность» а так же во вкладке «Безопасность» в разделе «надежные сайты (узлы)» в пункте «разное».




4. Данные для подключения ЛРМ СЭД НРД: ПО Луч (в режиме «WEB канал») или «WEB-кабинет Депозитария/Клиринговой организации» к WEB сервисам НРД через TLS соединение в тестовом или промышленном контурах приведены в таблице (эти данные имеются также в Анкете НРД для ЭДО на сайте НРД как для сертифицированных СКЗИ (ГОСТ), так и несертифицированных СКЗИ (RSA).


Приложение

Контур

Используемые ключи для соединения https

Версия ПО Луч

(Луч on-line)

URL-адрес

Промышленный контур

WEB-кабинет Депозитария/Клиринговой организации

ПРОМ

RSA




https://edor.nsd.ru/Alameda/


WEB-кабинет Депозитария/Клиринговой организации

ПРОМ

ГОСТ




https://edog.nsd.ru/Alameda/

Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии

ПРОМ

RSA

15.0 и выше

https://edor.nsd.ru/onyxpr/WslService

Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии

ПРОМ

ГОСТ

15.0 и выше

https://edog.nsd.ru/onyxpr/WslService

WEB кабинет репозитария

ПРОМ

RSA




https://cabinet.nsd.ru/repository

https://edor.nsd.ru/lkr/

WEB кабинет репозитария

ПРОМ

ГОСТ




https://cabinet.nsd.ru/repository

WEB кабинет корпоративных действий (КД)

ПРОМ

ГОСТ и RSA




https://cabinet.nsd.ru/corpactions

WEB-кабинет Системы управления обеспечением (СУО)

ПРОМ

ГОСТ и RSA




https://cabinet.nsd.ru/suo

WEB-кабинет Централизованной системы учета инвестиционных паев паевых инвестиционных фондов (ЦСУ ИП ПИФ)

ПРОМ

ГОСТ и RSA




https://cabinet.nsd.ru/pif

Web-сервис REST

ПРОМ

ГОСТ и RSA




Ссылки для работы из сети Интернет:

RSA https://edor.nsd.ru/WSAlameda

ГОСТ  https://edog.nsd.ru/WSAlameda


Тестовый контур

WEB-кабинет Депозитария/Клиринговой организации

ТЕСТ

RSA для PL




https://rsa.nsd.ru/Alameda/

WEB-кабинет Депозитария/ Клиринговой организации

ТЕСТ

ГОСТ для PL




https://gost.nsd.ru/Alameda/

Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии

ТЕСТ

RSA для PL

15.0 и выше

https://rsa.nsd.ru/onyxpl/WslService

Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии

ТЕСТ

ГОСТ для PL

15.0 и выше

https://gost.nsd.ru/onyxpl/WslService

WEB-кабинет репозитария

ТЕСТ

RSA для PL




https://rsa.nsd.ru/lkr/







ГОСТ для PL




https://gost.nsd.ru/lkr/

Web-сервис REST

ТЕСТ



RSA и ГОСТ для PL






Ссылки для тестирования из промышленного контура ОАО Московская биржа:

RSA https://rsa.ndcw.ru/WSAlamedaPL 

ГОСТ 

https://gost.ndcw.ru/WSAlamedaPL  


Web-сервис REST

ТЕСТ

RSA и ГОСТ для PL




Ссылки для тестирования из сети Интернет:

RSA https://rsa.nsd.ru/WSAlamedaPL

ГОСТ 

https://gost.nsd.ru/WSAlamedaPL


5. Для корректной работы ЛРМ СЭД НРД через TLS соединение необходимо:

  • Проверить доступ по Telnet соединению на адрес edog.nsd.ru - для ключей ГОСТ и edor.nsd.ru - для RSA ключей. При проверке указать порт 443 (например: telnet edog.nsd.ru 443), если соединение прошло успешно, то вы должны увидеть черный экран;

  • Далее необходимо проверить доступ к WEB сервису НРД при использовании ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации» (СПО «Аламеда») по следующим ссылкам https://edog.nsd.ru/Alameda/ - для ключей ГОСТ и https://edor.nsd.ru/Alameda/ - для RSA ключей или используя другие ссылки, приведенные в таблице в зависимости от типа WEB-сервиса. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу.





  • Аналогичные проверки необходимо выполнить для проверки доступа к странице WEB сервиса при использовании ЛРМ СЭД НРД – ПО «Луч», используя ссылки https://edog.nsd.ru/onyxpr - для ключей ГОСТ или https://edor.nsd.ru/onyxpr - для RSA ключей. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу





  • В меню ПО «Луч» «Администрирование - Параметры - закладка Ввод-вывод» поставить опцию (точка) в чек-бокс «WEB канал» и в строке «Адрес (Url)» прописать ссылку соответствующую контуру, в котором будет использоваться ПО НРД (промышленный или тестовый) и типу криптографии используемой для работы с НРД (ГОСТ или RSA) из вышеуказанной таблицы (например, для сертифицированных СКЗИ (ГОСТ) в промышленном контуре см. скриншот ниже);




6. Если в результате действий описанных в Инструкции вы не добились выполнения процедур образования TLS соединения, необходимо выполнить дополнительные процедуры описанные ниже:

  • Одной из проблем является высокий приоритет в параметрах управления учетными записями пользователей «движок» должен находиться в положении «Никогда не уведомлять», если это не так, то переведите его в это положение.





  • Сбросьте настройки ДСЧ через окно криптопровайдера (см. ниже)


и войдите, например, на сайт https://mail.yandex.ru. Появление окна инициализации ДСЧ говорит о том, что компоненты TLS установлены; если отображается страница https://mail.yandex.ru, то rsa криптография работает правильно;

  • Включите TLS Монитор: меню «Пуск->Все программы >«Валидата CSP» >Программа монитора TLS, - появляется в трее логотип «руки» с крестиком, дважды кликаем мышкой – руки без крестика.



Если в результате включения монитора TLS у вас образовался TLS канал то можно пользоваться данным способом, и каждый раз запускать мониторинг TLS вручную, но данный метод не является корректным и его необходимо исправить, скорее всего, клиентское ПО использует протокол SSL 2.0, либо при установке СКЗИ возникла ошибка при регистрации библиотеки vdcng.dll (для ОС Windows Vista и более новых). Возможно, проблема решится принудительной перерегистрацией библиотеки:

  • отменяем регистрацию:
    Regsvr32 /u c:\windows\system32\vdcng.dll  - должно все пройти без ошибок
    при этом из реестра удаляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography);

  • перегружаем ПК;

  • регистрируем:
    Regsvr32 c:\windows\system32\vdcng.dll – должно все пройти без ошибок.
    при этом реестр добавляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography);

  • перегружаем ПК (!!!).

Обратите внимание, что «по умолчанию» не должно быть «галок» в чек боксах «Использовать  TLS 1.1,  TLS 1.2» нижеуказанного окна

7. Если после всех манипуляций у вас все равно не работает WEB доступ тогда необходимо включить протоколирование операций через реестр

  • SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter

VD_LOGMASK_CSP,

VD_LOGMASK_SSP,

VD_LOGMASK_CNG,
VD_LOGMASK_HOOKS

все  значения выставить в  496 десятичное;

  • перезагрузка ПК (!!!);

  • почистите все системные протоколы (Приложения и Система);

  • попытайтесь подключиться ТОЛЬКО через IE к https://gost.nsd.ru - для тестового контура или https://edog.nsd.ru - для рабочего контура пару раз и пришлите системные протоколы (Приложения и Система).

Проделайте тоже самое, включив TLS Монитор, как указано выше.
После выполнения выше описанных процедур пришлите логи журналов Windows Приложения и Система, а также скриншоты, подтверждающие выполнение процедур настройки, на адрес soed@nsd.ru.

По всем возникшим вопросам необходимо обращаться к первой линии технической поддержки (адрес электронной почты soed@nsd.ru , телефон 8(495)956 09-34).

Похожие:

Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по взаимодействию с нрд через Web-сервис в рамках обмена...
Инструкция) является техническим документом Небанковской кредитной организации акционерного общества «Национальный расчетный депозитарий»...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по подключению к web сервисам нрд репозитария Шаг 1

Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Технические рекомендации по использованию Web-сервиса нрд
Настоящие рекомендации являются техническим документом Небанковской кредитной организации закрытого акционерного общества «Национальный...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по настройке рабочего места Листов
Настоящий документ представляет собой Инструкцию по настройке рабочего места пользователя Единой информационной системы в сфере закупок...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon По «Луч» Версия по 1 Москва, 2013
Настоящее Руководство пользователя лрм сэд нрд (по «Луч») описывает возможности клиентского рабочего места Системы электронного документооборота...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по настройке рабочего места предприятия для работы с ccо
Для функционирования системы web-сбора в режиме on-line необходимо подключение к Интернет и должно быть установлено следующее программное...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по настройке рабочего места фис «фрдо» для отдела (управления) образования
Перед началом работы в фис «фрдо» Вам необходимо произвести настройку рабочего места
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Руководство по эксплуатации рабочего места пользователя
Црт и разработана с использованием web – технологий. На рис. 1 представлена схема реализации режима онлайн
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по настройке автоматизированного рабочего места для работы...
Инструкция по настройке автоматизированного рабочего места для работы с электронной подписью
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкции по настройке защищенного соединения с помощью установки Клиента Континент tls
Съемный usb-носитель с сертификатом и закрытым ключем эп пользователя (Это может быть usb флеш-накопитель или токен)
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Закупки, извещение об осуществлении которых планируется разместить в 2017, 2018, 2019 годах; 2
Перейдите на рабочее место «Закупки по 44-фз» (см. Рисунок 1). Путем выбора рабочего места слева, или выбора рабочего места из выпадающего...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Пошаговая инструкция по настройке рабочего места пользователя еис
Проверка доступности еис при использовании различных вариантов подключения к защищенной сети
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по установке корневых сертификатов при подключении к подсистеме исполнения бюджета
Инструкция предназначена для пользователей автоматизированного рабочего места (далее арм) пбс-веб (веб-клиент пбс) подсистемы исполнения...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по настройке и работе с Web-Сервис «Холтеровское мониторирование» (холмс)
Сервис «Холтеровское мониторирование» (далее сервис холмс) предоставляет возможность создать заявку для получения дистанционной расшифровки...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon По «Луч» Версия по 0 Москва, 2013
Настоящее Руководство пользователя лрм сэд нрд (по «Луч») описывает возможности клиентского рабочего места Системы электронного документооборота...
Инструкция по настройке рабочего места при подключении к web сервисам нрд с использованием tls соединения Москва, 2017 icon Инструкция по настройке рабочего места и работе с программой “Формы...
Инструкция по настройке рабочего места и работе с программой “Формы статотчетности (предприятие)” по заполнению отчетов организациями...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск