Небанковская кредитная организация
закрытое акционерное общество
«НАЦИОНАЛЬНЫЙ РАСЧЕТНЫЙ ДЕПОЗИТАРИЙ»
Инструкция
по настройке рабочего места при подключении к WEB сервисам НРД с
использованием TLS соединения
Москва, 2017
Под термином «подключение к WEB сервисам НРД» имеется в виду подключение клиентов НРД для целей электронного взаимодействия (промышленный контур) или для целей тестирования (тестовый контур) с использованием локального рабочего места Системы электронного документооборота НРД (далее - ЛРМ СЭД НРД) ПО «Луч» в режиме «WEB канала» или ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «WEB-кабинет корпоративных действий (WEB-кабинет КД)» к WEB-сервису НРД т.е. программному средству, развернутому на стороне НРД, имеющему адрес (URL) в сети Интернет через TLS соединение.
1. Для подключения к WEB-сервисам НРД через TLS соединение необходимо получить, установить и настроить средства криптографической защиты (далее - СКЗИ). Подробно процесс получения СКЗИ описан на сайте ОАО Московская Биржа в разделе «Первичное подключение к СЭД». Порядок настройки СКЗИ описан на сайте Московской Биржи в разделах «Квалифицированные сертификаты» и «Неквалифицированные сертификаты». Для работы с WEB-сервисом в тестовом и промышленном контурах НРД требуются следующие версии СКЗИ и их компоненты:
1.1 При использовании сертифицированных СКЗИ, квалифицированных сертификатов ключей проверки электронной подписи (далее – СКПЭП ГОСТ или сертификаты ГОСТ):
криптопровайдер "Валидата CSP" версии не ниже v.5.0.327.0. При этом обязательными для установки являются следующие опции:
- библиотека совместимости с СКЗИ СКАД Сигнатура;
- биологический ДСЧ;
- считыватель Съемный диск;
- утилита преобразования ключей;
- поддержка TLS
программный комплекс «АПК клиент ММВБ Справочник сертификатов» v5.0.328.0 для 32bit или 64bit в зависимости от операционной системы (далее – ОС), установленной на компьютере (для 64bit ОС устанавливаются ПК Справочник сертификатов 32bit и 64bit);
для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (XCS), за исключением файла xProfileOFF.reg.
Версии криптобиблиотеки Валидата-CSP и «АПК клиент ММВБ Справочник сертификатов» можно посмотреть в меню «Панель управления – программы и компоненты» для ОС Microsoft Windows 7 и выше
или «Пуск - Все программы - папка Валидата CSP - Программа конфигурации СКЗИ - окно Программа конфигурации Валидата CSP - верхний левый угол экрана (значок «Щит») – О программе..».
Вместе с криптобиблиотекой Валидата-CSP при начальной установке СКЗИ должна быть установлена программа монитора TLS.
Если она не была установлена необходимо в меню: «Панель управления – программы и компоненты» в строке «Валидата-CSP» (см. скриншот выше), выбрать пункт «изменить» и нажать кнопку «далее». У Вас появится окно «Выбор компонентов», в котором необходимо выбрать пункт «Валидата TLS», найти подпункт «Поддержка протоколов TLS и EAP-TLS» и выбрать вариант «Будет установлен на локальный жесткий диск», после этого нажать кнопку «далее».
В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД с областью действия «Тестовый электронный документооборот». Тестовый криптоключ получается клиентом только в НРД. Ключ криптосервера НРД (тестовая криптосессия) находится в высылаемом вам файле в папке SPR или его можно скачать с сайта НРД.
В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Председатель Правления НРД). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно. СКПЭП криптосервера НРД добавляется в папку «Сертификаты» «АПК клиент ММВБ Справочник сертификатов» по установленной процедуре. Его можно скачать с сайта НРД.
1.2 При использовании несертифицированных СКЗИ, неквалифицированных сертификатов (RSA):
программный комплекс (ПК) «Справочник сертификатов» (RCS) v5.0.323.0;
для корректной работы Справочника сертификатов необходимо загрузить и выполнить Файлы модификации реестра MS Windows для ПК ”Справочник сертификатов” (RCS), за исключением файла rProfileOFF.reg.
В тестовом контуре необходимо использовать высылаемый по вашей заявке тестовый криптографический ключ и СКПЭП криптосервера НРД (тестовая криптосессия) с областью действия «Тестовый электронный документооборот». Тестовый криптографический ключ получается клиентом только в НРД. В промышленном контуре используется собственный криптографический ключ и СКПЭП криптосервера НРД (рабочая криптосессия) с областью действия «Электронный документооборот НКО ЗАО НРД» (владелец сертификата Astanin Eddi Vladimirovich). Собственный криптографический ключ получается клиентом в ОАО «Московская Биржа» или генерируется самостоятельно.
2. После установки СКЗИ необходимо обеспечить перенос криптографических ключей в системное хранилище WINDOWS для организации защищённого TLS соединения с WEB сервером НРД. Для корректного добавления криптоключа в системное хранилище необходимо, используя меню программы «АПК Клиент ММВБ-справочник сертификатов», зайти в ветку справочника «Персональный справочник сертификатов» и проверить наличие сертификата удостоверяющего центра (INN=007702077840,OGRN=1027739387411,CN=Удостоверящий центр,O=ПАО Московская Биржа,L=Москва,ST=77 г.Москва,C=RU). Если есть сертификаты, помеченные красным кружком с белым крестиком, то их нужно выделить и удалить нажатием кнопки DELETE,
Далее выбрать меню «сервис-экспортировать сертификаты в системное хранилище» и согласиться со всеми задаваемыми программой вопросами.
Необходимо убедится, что Ваши сертификаты перенесены в системное хранилище сертификатов WINDOWS. Для этого необходимо вызвать в главном меню WINDOWS Пуск- >Панель управления->Свойства обозревателя.
На открывшейся форме необходимо выбрать закладку «Содержание» и нажать кнопку “Сертификаты”
и на вкладке «личные» найдите наименование своего ключа убедитесь, что он корректен, для этого дважды щелкните по наименованию сертификата и посмотрите на закладке «общие» внизу окна должна быть запись о том, что для данного сертификата есть закрытый ключ.
Если Вы не увидите данного поля и вместо него будет надпись, что этот сертификат не удалось проверить (см. скриншот), то это означает, что сертификат ключа добавлен некорректно.
Тогда нужно удалить сертификат из системного хранилища и экспортировать его туда заново.
Также необходимо убедится в переносе списка отозванных сертификатов в системной консоли WINDOWS. Для вызова консоли наберите mmc в командной строке WINDOWS и добавьте оснастку сертификатов. Наличие списка отозванных сертификатов можно проверить аналогично экрану ниже:
3. Для обеспечения корректной работы ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации», ПО «Луч» в режиме «WEB канала» необходимо выполнить настройки интернет-обозревателя (далее – IE):
Сбросьте настройки IE в вариант «по умолчанию»;
Очистите куки и кэш память IE;
Проверьте отсутствие галочки «прокси-сервер» (в меню:«Свойства обозревателя-Подключения-Настройки сети»);
В форме «Надежные узлы» необходимо снять галку «Для всех узлов этой зоны требуется проверка серверов (https:)», если она включена;
При подключении к «WEB-сервису» НРД, необходимо добавить URL «WEB-сервиса» в список доверенных узлов (см. таблицу внизу) в зависимости от используемого ПО ЛРМ СЭД НРД (ПО «Луч» или WEB кабинет) с учетом типа криптографии (ГОСТ или RSA). В строке «Добавить в зону следующий узел» автоматически выставится правильный адрес, соответствующий начальной части адреса страницы WEB-сервиса (например: https://cabinet.nsd.ru/repository.
На закладке «Безопасность» формы «Свойства обозревателя», куда Вы вернулись, и где выбрана зона «Надежные узлы», нажмите кнопку «Другой…» в области «Уровень безопасности для этой зоны». В открывшейся форме «Параметры безопасности - зона надежных узлов» установить флаг «Включить» для параметра «Использование элементов управления ActiveX, не помеченных как безопасные для использования». (Обратите внимание на название параметра, поскольку в перечне параметров есть похожие названия).
Нажмите кнопку «ОК». Подтвердите изменение настроек зоны в ответ на запрос (нажатием кнопки «Да»). Нажмите кнопку «Применить», затем закройте форму «Свойства обозревателя»;
На закладке «Дополнительно» убедитесь, что настройки SSL и TLS установлены как в окне ниже;
Убедитесь, что отключено блокирование всплывающих окон на вкладке «Конфиденциальность» а так же во вкладке «Безопасность» в разделе «надежные сайты (узлы)» в пункте «разное».
4. Данные для подключения ЛРМ СЭД НРД: ПО Луч (в режиме «WEB канал») или «WEB-кабинет Депозитария/Клиринговой организации» к WEB сервисам НРД через TLS соединение в тестовом или промышленном контурах приведены в таблице (эти данные имеются также в Анкете НРД для ЭДО на сайте НРД как для сертифицированных СКЗИ (ГОСТ), так и несертифицированных СКЗИ (RSA).
Приложение
|
Контур
|
Используемые ключи для соединения https
|
Версия ПО Луч
(Луч on-line)
|
URL-адрес
|
Промышленный контур
|
WEB-кабинет Депозитария/Клиринговой организации
|
ПРОМ
|
RSA
|
|
https://edor.nsd.ru/Alameda/
|
WEB-кабинет Депозитария/Клиринговой организации
|
ПРОМ
|
ГОСТ
|
|
https://edog.nsd.ru/Alameda/
|
Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии
|
ПРОМ
|
RSA
|
15.0 и выше
|
https://edor.nsd.ru/onyxpr/WslService
|
Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии
|
ПРОМ
|
ГОСТ
|
15.0 и выше
|
https://edog.nsd.ru/onyxpr/WslService
|
WEB кабинет репозитария
|
ПРОМ
|
RSA
|
|
https://cabinet.nsd.ru/repository
https://edor.nsd.ru/lkr/
|
WEB кабинет репозитария
|
ПРОМ
|
ГОСТ
|
|
https://cabinet.nsd.ru/repository
|
WEB кабинет корпоративных действий (КД)
|
ПРОМ
|
ГОСТ и RSA
|
|
https://cabinet.nsd.ru/corpactions
|
WEB-кабинет Системы управления обеспечением (СУО)
|
ПРОМ
|
ГОСТ и RSA
|
|
https://cabinet.nsd.ru/suo
|
WEB-кабинет Централизованной системы учета инвестиционных паев паевых инвестиционных фондов (ЦСУ ИП ПИФ)
|
ПРОМ
|
ГОСТ и RSA
|
|
https://cabinet.nsd.ru/pif
|
Web-сервис REST
|
ПРОМ
|
ГОСТ и RSA
|
|
Ссылки для работы из сети Интернет:
RSA https://edor.nsd.ru/WSAlameda
ГОСТ https://edog.nsd.ru/WSAlameda
|
Тестовый контур
|
WEB-кабинет Депозитария/Клиринговой организации
|
ТЕСТ
|
RSA для PL
|
|
https://rsa.nsd.ru/Alameda/
|
WEB-кабинет Депозитария/ Клиринговой организации
|
ТЕСТ
|
ГОСТ для PL
|
|
https://gost.nsd.ru/Alameda/
|
Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии
|
ТЕСТ
|
RSA для PL
|
15.0 и выше
|
https://rsa.nsd.ru/onyxpl/WslService
|
Web сервис депозитария/ репозитария для ПО «Луч» не ниже версии
|
ТЕСТ
|
ГОСТ для PL
|
15.0 и выше
|
https://gost.nsd.ru/onyxpl/WslService
|
WEB-кабинет репозитария
|
ТЕСТ
|
RSA для PL
|
|
https://rsa.nsd.ru/lkr/
|
|
|
ГОСТ для PL
|
|
https://gost.nsd.ru/lkr/
|
Web-сервис REST
|
ТЕСТ
|
RSA и ГОСТ для PL
|
|
Ссылки для тестирования из промышленного контура ОАО Московская биржа:
RSA https://rsa.ndcw.ru/WSAlamedaPL
ГОСТ
https://gost.ndcw.ru/WSAlamedaPL
|
Web-сервис REST
|
ТЕСТ
|
RSA и ГОСТ для PL
|
|
Ссылки для тестирования из сети Интернет:
RSA https://rsa.nsd.ru/WSAlamedaPL
ГОСТ
https://gost.nsd.ru/WSAlamedaPL
|
5. Для корректной работы ЛРМ СЭД НРД через TLS соединение необходимо:
Проверить доступ по Telnet соединению на адрес edog.nsd.ru - для ключей ГОСТ и edor.nsd.ru - для RSA ключей. При проверке указать порт 443 (например: telnet edog.nsd.ru 443), если соединение прошло успешно, то вы должны увидеть черный экран;
Далее необходимо проверить доступ к WEB сервису НРД при использовании ЛРМ СЭД НРД «WEB-кабинет Депозитария/Клиринговой организации» (СПО «Аламеда») по следующим ссылкам https://edog.nsd.ru/Alameda/ - для ключей ГОСТ и https://edor.nsd.ru/Alameda/ - для RSA ключей или используя другие ссылки, приведенные в таблице в зависимости от типа WEB-сервиса. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу.
Аналогичные проверки необходимо выполнить для проверки доступа к странице WEB сервиса при использовании ЛРМ СЭД НРД – ПО «Луч», используя ссылки https://edog.nsd.ru/onyxpr - для ключей ГОСТ или https://edor.nsd.ru/onyxpr - для RSA ключей. Если все настройки выполнены правильно, то вы увидите нижеприведенную страницу
В меню ПО «Луч» «Администрирование - Параметры - закладка Ввод-вывод» поставить опцию (точка) в чек-бокс «WEB канал» и в строке «Адрес (Url)» прописать ссылку соответствующую контуру, в котором будет использоваться ПО НРД (промышленный или тестовый) и типу криптографии используемой для работы с НРД (ГОСТ или RSA) из вышеуказанной таблицы (например, для сертифицированных СКЗИ (ГОСТ) в промышленном контуре см. скриншот ниже);
6. Если в результате действий описанных в Инструкции вы не добились выполнения процедур образования TLS соединения, необходимо выполнить дополнительные процедуры описанные ниже:
Одной из проблем является высокий приоритет в параметрах управления учетными записями пользователей «движок» должен находиться в положении «Никогда не уведомлять», если это не так, то переведите его в это положение.
Сбросьте настройки ДСЧ через окно криптопровайдера (см. ниже)
и войдите, например, на сайт https://mail.yandex.ru. Появление окна инициализации ДСЧ говорит о том, что компоненты TLS установлены; если отображается страница https://mail.yandex.ru, то rsa криптография работает правильно;
Включите TLS Монитор: меню «Пуск->Все программы >«Валидата CSP» >Программа монитора TLS, - появляется в трее логотип «руки» с крестиком, дважды кликаем мышкой – руки без крестика.
Если в результате включения монитора TLS у вас образовался TLS канал то можно пользоваться данным способом, и каждый раз запускать мониторинг TLS вручную, но данный метод не является корректным и его необходимо исправить, скорее всего, клиентское ПО использует протокол SSL 2.0, либо при установке СКЗИ возникла ошибка при регистрации библиотеки vdcng.dll (для ОС Windows Vista и более новых). Возможно, проблема решится принудительной перерегистрацией библиотеки:
отменяем регистрацию:
Regsvr32 /u c:\windows\system32\vdcng.dll - должно все пройти без ошибок
при этом из реестра удаляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography);
перегружаем ПК;
регистрируем:
Regsvr32 c:\windows\system32\vdcng.dll – должно все пройти без ошибок.
при этом реестр добавляются данные, связанные с криптопровайдером и используемыми шифрами (см. ветку Cryptography);
перегружаем ПК (!!!).
Обратите внимание, что «по умолчанию» не должно быть «галок» в чек боксах «Использовать TLS 1.1, TLS 1.2» нижеуказанного окна
7. Если после всех манипуляций у вас все равно не работает WEB доступ тогда необходимо включить протоколирование операций через реестр
SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter
VD_LOGMASK_CSP,
VD_LOGMASK_SSP,
VD_LOGMASK_CNG,
VD_LOGMASK_HOOKS
все значения выставить в 496 десятичное;
перезагрузка ПК (!!!);
почистите все системные протоколы (Приложения и Система);
попытайтесь подключиться ТОЛЬКО через IE к https://gost.nsd.ru - для тестового контура или https://edog.nsd.ru - для рабочего контура пару раз и пришлите системные протоколы (Приложения и Система).
Проделайте тоже самое, включив TLS Монитор, как указано выше.
После выполнения выше описанных процедур пришлите логи журналов Windows Приложения и Система, а также скриншоты, подтверждающие выполнение процедур настройки, на адрес soed@nsd.ru.
По всем возникшим вопросам необходимо обращаться к первой линии технической поддержки (адрес электронной почты soed@nsd.ru , телефон 8(495)956 09-34).
|