5.Настройка обновления системы по правам пользователя
Система СЭД позволяет при запуске системы поддерживать обработку специального ключа, который отвечает за реакцию на наличие нового обновления.
Специальный ключ может быть трех типов:
/m:i – не обновляться (ignore; без каких-либо сообщений);
/m:n – уведомлять (notify; выводится информация о том, что есть новое обновление, но обновления не происходит);
/m:u – обновляться (upgrade; запуск обновления).
Ключи обновления могут прописываться в исполняемом bat-файле для запуска системы, либо использоваться при запуске системы из командной строки Windows. Указание данных параметров производится в зависимости от потребности в обновлении версии ППО СЭД на данном АРМ.
Внимание! Ключи обновления не будут работать, если на данном АРМ отсутствует обновление. Ключи обновления не будут работать, если использовать в одной команде сразу несколько ключей.
При запуске из командной строки следует прописывать ключи следующим образом:
<�каталог установки>\EXE\!cbank.bat /m:i –не обновляться;
<�каталог установки>\EXE\!cbank.bat /m:n– уведомлять;
<�каталог установки>\EXE\!cbank.bat /m:u– обновляться.
При внесении ключей в bat-файл задача администратора состоит в том, чтобы для разных пользователей СЭД задать различные параметры запуска системы, отвечающие за проверку наличия обновления.
Следует открыть созданный для каждого пользователя bat-файл для редактирования и прописать примерно следующую команду (параметр /m варьируется в зависимости от назначения ключа):
!.bat cbank.exe /m:n %1 %2 %3 %4 %5 %6 %7 %8 %9
и сохранить изменения.
6.Криптография
Система СЭД может использовать криптографическое шифрование при передаче пакетов данных и электронно-цифровую подпись (ЭЦП) документов, которыми абоненты СЭД обмениваются между собой. Шифрование защищает данные от НСД, ЭЦП однозначно удостоверяет авторство данных и защищает документ от изменения.
Клиент использует один или несколько комплектов ключей. Каждый комплект состоит из закрытого ключа и сертификата (открытого ключа) клиента и сертификата (открытого ключа) сервера. Клиент не может работать в системе в части приема/отправки документов на сервер, не имея комплекта ключей.
Каждый документ, передаваемый на сервер, должен быть подписан требуемым количеством (не более пяти) электронно-цифровых подписей. При приеме документа сервер проверяет верность электронных подписей.
6.1.Настройка ключей криптозащиты
Настройка ключей криптозащиты информации для клиента СЭД осуществляется в следующей последовательности:
Генерация запроса на сертификат и закрытого ключа (см. пункт 6.2);
Передача запроса на сертификат в УУЦ и получение открытого ключа ЭЦП;
Регистрация сертификатов криптоабонентов клиента СЭД;
Регистрация сертификатов криптоабонентов сервера СЭД;
6.2.Генерация закрытого ключа
Для генерации закрытого ключа выполните пункт меню «Администрирование – Криптозащита – Генерация ключей ЭЦП и запроса на сертификацию». Откроется окно «Генерация запроса на сертификат и закрытого ключа» (см. рисунок 3). В поле «Наименование абонента» вводится название владельца закрытого ключа, в поле «Криптографическая библиотека» определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0, что соответствует криптосистеме КриптоПро CSP 2.0). В параметре «Удаленный АРМ» отображается наименование АРМ клиента СЭД.
-
3. Генерация запроса на сертификат и закрытого ключа
Для перехода на следующий шаг мастера нажмите кнопку «Далее>» (см. рисунок 4).
-
4. Генерация запроса на сертификат
В появившемся окне введите значения:
«Идентификатор ключа (Фамилия Имя Отчество владельца ключа)» – вводится фамилия, имя, отчество лица, на которого генерируется закрытый ключ клиента СЭД.
-
«Фамилия» – заполняется фамилия ответственного лица. Поле заполняется автоматически после ввода значение в поле «Идентификатор ключа».
«Имя Отчество» – заполняется имя и отчество ответственного лица. Поле заполняется автоматически после ввода значение в поле «Идентификатор ключа».
«Страна» – заполняется идентификатором страны, в которой зарегистрирована организация. Значение определено по умолчанию как RU.
«Регион» – заполняется значением субъекта Российской Федерации, в котором зарегистрирована организация.
«Город» – заполняется наименованием города (населённого пункта), в котором зарегистрирована организация.
«Организация» – заполняется официальным наименованием организации.
«Подразделение 1-го уровня» – структурное подразделение 1-го уровня организации, к которой приписано ответственное лицо – владелец подписи.
«Подразделение 2-го уровня» – структурное подразделение 2-го уровня организации, к которой приписано ответственное лицо – владелец подписи.
«E-mail» – заполняется значением электронного адреса e-mail ответственного лица – владельца подписи.
«Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
Заполнив все значения диалога своими данными, нажмите кнопку «Далее>» (см. рисунок 5).
-
5. Генерация запроса на сертификат
В форме «Генерация запроса на сертификат Ms Crypto API 2.0» необходимо установить флаг в поле «Распечатать заявку на получение сертификата ключа ЭЦП», так как только с данной распечатанной формой запрос на регистрацию ключей будет приниматься ТОФК. Запрошенный документ будет выведен в форму MS Word, который далее можно распечатать стандартными средствами MS Word.
Для создания закрытого ключа и формирования запроса на сертификат нажмите кнопку «Выполнить».
Внимание! Если считыватель закрытого ключа у вас определён как дискета 3.5”, то перед нажатием кнопки «Выполнить» в дисковод необходимо вставить ключевую дискету, на которую будут записаны файлы закрытого ключа. В случае его отсутствия выведется следующее сообщение, и система будет пытаться обратиться к дисководу, пока не будет вставлена дискета.
Далее появится диалог датчика случайных чисел, формирующего комбинацию закрытого ключа и форма запроса пароля на сгенерированный ключ.
6. Запрос пароля на сгенерированный ключ
Примечание: В случае определения пароля для закрытого ключа его ввод будет необходим перед каждой операцией обращения к функциям криптозащиты, если он не был сохранён в системе. Для того чтобы не использовать пароль для доступа к ключам, следует оставить поля диалога пустыми и нажать «ОК».
Когда закрытый ключ клиента СЭД будет сгенерирован (при этом на ключевом носителе будет создан контейнер с закрытым ключом, и в него будут помещены файлы закрытого ключа header.key, masks.key masks2.key name.key primary.key primary2.key), система автоматически сгенерирует запрос на сертификат – файл с расширением *.req и отобразит путь, куда он будет помещён (см. рисунок 7).
-
7. Директория сохранения запроса на сертификат
После определения каталога с запросом на сертификат мастер генерации запроса на сертификат MS Crypto API 2.0 завершит свою работу, и для его закрытия следует нажать кнопку «Готово».
Полученный запрос на сертификат следует доставить на сервер СЭД штатными средствами, либо при помощи ЭД «Запрос на издание сертификата» (см. пункт 6.2.1 Создание запроса на издание сертификата).
На сервере СЭД клиентский запрос на сертификат в электронном виде вместе с бумажной копией доставляется в УУЦ (сеть ведомственных удостоверяющих центров) для его подтверждения, где на основе отправленного запроса на сертификат будет сформирован сертификат открытого ключа электронно-цифровой подписи (файл с расширением *.cer).
Примечание: Кроме сертификата с открытым ключом клиента СЭД для регистрации криптонастроек необходим открытый ключ корневого сертификата удостоверяющего центра. Без данного сертификата регистрация в системе подписи клиента СЭД невозможна.
Сертификат открытого ключа ЭЦП клиента (файл с расширением *.cer) доставляется с сервера СЭД на клиент СЭД, где его необходимо зарегистрировать:
В случае если ключи ЭЦП клиента еще не настроены, то производится ручная регистрация клиентских сертификатов (см. пункт 6.3.1 Ручная регистрация клиентских сертификатов).
Если на стороне клиента СЭД ключи ЭЦП существуют, то можно произвести автоматическую регистрацию клиентских сертификатов (см. пункт 6.3.2 Удаленная регистрация клиентских сертификатов с сервера).
6.2.1.Создание запроса на издание сертификата
Для создания нового ЭД «Запрос на издание сертификата» следует выбрать пункт меню «Администрирование – Криптозащита – Запросы на издание сертификата» и в открывшейся форме нажать кнопку  . Откроется форма «Запрос на издание сертификата».
В форме «Запрос на издание сертификата» необходимо заполнить следующие поля:
«Номер» – номер документа. Значение указывается вручную. При помощи кнопки  номер проставляется автоматически из принципа N+1, где N – номер последнего сохраненного документа. Доступно для редактирования.
«Дата» – дата документа. По умолчанию проставляется текущая дата.
«Имя файла запроса» – в данном поле необходимо выбрать файл запроса на сертификат при помощи кнопки «Прикрепить файл запроса». В открывшемся окне следует при помощи кнопки «Найти» указать путь к файлу запроса.
8. Выбор файла запроса на сертификат
«Содержимое файла (в текстовом виде)» – заполняется автоматически шифром запроса.
«Основание» – основание формирования документа. Поле заполняется выбором из справочника шаблонов оснований.
9. Форма «Запрос на издание сертификата»
По окончании формирования документа следует нажать кнопку «ОК». Созданный документ следует подписать ЭЦП и отправить на АРМ сервера СЭД.
На сервере СЭД запрос на сертификат доставляется в УУЦ и полученный из УУЦ сертификат открытого ключа регистрируется для криптографического профиля клиента СЭД.
|
