Быстрый старт КриптоПро DSS | КриптоПро DSS

Adfs2 (geneva server)

Geneva Server представляет собой «облачную» платформу для корпоративной идентификации, при помощи которой пользователи могут использовать единую идентификацию не только для разных сервисов в рамках одного домена или сети, но и в разных сетях и доменах.

Главным преимуществом Geneva является поддержка спецификаций языка Security Assertion Markup Language (SAML) 2.0, позволяющих использовать разработку Microsoft в тандеме с другими средствами для идентификации, в частности с теми, что разрабатывают компании Novell, CA, SAP или Sun.

Стоит отметить, что Geneva Server базируется на Active Directory Federation Services, расширяя его дополнительными сценариями и протоколами. В отличие от предыдущих версий ADFS2 может работать с клиентским сервисом Geneva CardSpace, совместимым с Windows Vista и Windows 7. Использование Geneva Server, реализующую технологию CBA, позволит:

Cardspace

Windows CardSpace представляет собой основанное на отраслевых стандартах решение для управления идентификацией при работе в Интернет. Windows CardSpace – это способ простой и безопасной идентификации пользователей при перемещении между ресурсами Интернет, не требующий повторного ввода имен и паролей.

Идентификация на основе утверждений, принятая многими крупными поставщиками программного обеспечения, может стать большим шагом вперед. В отличие от более ранних технологий унифицированной идентификации (например, Microsoft Passport) Windows CardSpace управляет непосредственно пользователями и приложениями, с которыми устанавливается контакт.

Windows identity foundation (wif)

Windows Identity Foundation – компонент .NET Framework, который поможет разработчикам обеспечить безопасный и удобный доступ пользователей к приложениям на серверах и в облаке. Windows Identity Foundation упрощает аутентификацию на веб-сервисах и приложениях, реализуя модель аутентификации на основе утверждений. Также используя WIF RTM, разработчики могут создать собственные Центры Идентификации.

Для поддержки российской криптографии необходим продукт КриптоПро Sharpei.

Адрес службы штампов времени

• DssTspServiceurl — Адрес тестовой службы TSP. По умолчанию переменная имеет значение false, что отключает добавление тестовой службы TSP.
• DssTspServicename — Отображаемое имя тестовой службы TSP.

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS.

Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

Ввод лицензии

Скрипт поддерживает ввод следующих лицензий с возможностью указания действующей (при наличии) или Демонстрационной лицензии, активируемой по умолчанию:

• На Сервис Подписи
• На компоненты Центра Идентификации:

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.

Загрузка скрипта и необходимых файлов

Вам понадобится:

1. Установить КриптоПро CSP и настроить считыватель тестовой гаммы, развернуть необходимые компоненты веб-сервера (IIS)
   и установить Microsoft .NET Framework 4.6.1. Требуется перезагрузка!
2. Установить SQL Server Express. Если БД развернута на другом сервере, требуются права администратора для доступа к данному серверу.
3. Установить КриптоПро DSS (рекомендуется установить все компоненты для обеспечения полной работоспособности скрипта) и дополнительное ПО (из папки redist комплекта КриптоПро DSS). Требуется перезагрузка!

4. Распаковать содержимое скрипта в папку, из которой будет производиться последующий запуск скрипта. ВНИМАНИЕ: При запуске скрипта убедитесь, что все файлы архива dss_quickstart.zip находятся в одной папке.

5. Настроить веб-сервер (IIS). Данные действия могут быть выполнены при помощи скрипта для быстрого старта.

6. Создать и установить необходимые сервисные сертификаты, развернуть и настроить экземпляры компонентов КриптоПро DSS. Данные действия могут быть выполнены при помощи скрипта для быстрого старта.

Подробнее об установке КриптоПро DSS

Задание имен экземпляров сервисов вручную

• $namemode — Режим задания имен экземпляров создаваемых сервисов:
  • avto — имена сервисов и БД генерируются автоматически из ключевого имени (задается один раз в диалоговом меню скрипта);
  • manual — имена сервисов и БД необходимо вводить вручную.

Изменение сайтапорта для веб-приложений dss

• $SiteName — Позволяет изменить веб-сайт, на котором разворачиваются сервисы DSS. По умолчанию $SiteName = "Default Web Site".
• $sslport — Позволяет изменить порт, по которому будут доступны сервисы DSS.

Интеграция посредством soap

1. Пользователь отправляет сформированный платежный документ в систему ДБО.
2. Система ДБО, используя штатные документированные механизмы КриптоПро DSS (SOAP), передает подписываемый документ и подписанный маркер доступа (SAML-токен), содержащий информацию о пользователе (имя пользователя, номер мобильного телефона и т.п.).
3. Для подтверждения подписания документа КриптоПро DSS направляет пользователю SMS-сообщение, содержащее код подтверждения подписания и значимые поля документа (например, получатель, сумма и т.п.), на номер мобильного телефона полученный в маркере доступа.
4. Пользователь вводит полученный код подтверждения в поле формы веб-интерфейса системы ДБО.
5. Система ДБО передает полученный код подтверждения КриптоПро DSS.
6. КриптоПро DSS, используя документированные функции ПАКМ «КриптоПро HSM», отправляет запрос на подписание документа с использованием закрытого ключа пользователя и получает подписанный документ.
7. КриптоПро DSS передает подписанный документ в систему ДБО.

Использование google в качестве стороннего ци

Для примера подключим в качестве стороннего ЦИ Google.

Сначала необходимо зарегистрировать DSS, как Oauth-клиент в сервисе Google.
Для этого требуется зайти в консоль разработчика Google
и создать новый проект, нажав на кнопку Create Project:

Использование готовых сервисных сертификатов

• $manualcert — Режим использования заранее подготовленных сервисных сертификатов. По умолчанию переменная имеет значение false, что означает, что сервисные сертификаты генерируются автоматически. В случае если значение переменной true, во время работы скрипта будет предложено вручную задавать отпечатки сертификатов для каждого из создаваемых сервисов.

• $noaudit — Позволяет отключить развертывание Сервиса Аудита (значение true). По умолчанию значение переменной равно false.
• $auditreserve — Позволяет включить резервирование аудита (значение true). По умолчанию значение переменной равно false.
• $auditreport — Добавляет отчеты аудита (значение true). По умолчанию значение переменной равно true.

Криптопровайдеры

Настройка криптопровайдеров типа GostWithMasterKey.

• $ProviderType — Тип криптопровайдера. По умолчанию имеет значение 80.
• $ProviderName — Имя криптопровайдера. По умолчанию имеет значение Crypto-Pro GOST R 34.10-2022 Cryptographic Service Provider.

Лицензия на компоненты центра идентификации

Компоненты ЦИ, лицензия на которые может быть введена в файле DeployConfig.ps1:

• Модуль аутентификации myDSS
  • $SerialNumberMydssLicense — серийный номер лицензии
  • $CompanyNameMydssLicense — имя компании, использующей лицензию
• Модуль аутентификации DSS Client
  • $SerialNumberDSSClient — серийный номер лицензии
  • $CompanyNameMydssLicense — имя компании, использующей лицензию
• Модуль доступа Cloud CSP
  • $SerialNumberCloudLicense — серийный номер лицензии
  • $CompanyNameCloudLicense — имя компании, использующей лицензию

По умолчанию конфигурационный файл DeployConfig.ps1 не содержит введенных лицензий на компоненты ЦИ,
что активирует Демонстрационную лицензию на 10 пользователей.

Лицензия на сервис подписи

• $DssSignServerLicense — Режим лицензирования Сервиса Подписи:
  • demo — Активация демо-лицензии на 10 Пользователей. Используется в качестве режима по умолчанию;
  • lic — Ввод собственной лицензии. Требует заполнения переменных $SerialNumberSignServerLicense и $CompanyNameSignServerLicense.
• $SerialNumberSignServerLicense — Серийный номер лицензии на Сервис Подписи.
• $CompanyNameSignServerLicense — Имя компании, использующей лицензию.

По умолчанию конфигурационный файл DeployConfig.ps1 содержит значение переменной $DssSignServerLicense = «demo»,
что активирует Демонстрационную лицензию на Сервис Подписи.

Масштабируемость и отказоустойчивость

Для повышения производительности и отказоустойчивости сервиса электронной подписи на базе КриптоПро DSS может использоваться как вертикальное (увеличение производительности каждого сервера путем наращивания вычислительной мощности), так и горизонтальное (увеличение количества серверов и балансировка сетевой нагрузки) масштабирование. Поддерживается также отказоустойчивая конфигурация КриптоПро HSM.

Мониторинг функционирования и доступности

В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.

Сервис электронной подписи ООО «КРИПТО-ПРО»

Тестовый сервис электронной подписи

Приобрести ПАК «КриптоПро DSS 2.0»

Загрузить ПАК «КриптоПро DSS 2.0»

Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2.0» для работы с квалифицированной электронной подписью

Учебный курс по ПАК «КриптоПро DSS 2.0»

Учебный курс по «КриптоПро Центр мониторинга 1.0»

Настройка sms- и email-оповещений

Добавление записи «SMS-сообщений» в папку C:inetpubwwwrootfakesms_$ApplicationName производится
при помощи следующей переменной в разделе «Оповещения (SMS и Email)».

• $Fakesms — true или false. По умолчанию переменная равна true.

Расширенная настройка SMS-оповещения

Оповещения посредством электронной почты настраиваются при помощи следующих переменных.

• $mail — Включение/отключение настройки Email-оповещения. Принимает значения true или false. По умолчанию переменная равна false.
• $emailhost — Адрес почтового сервера.
• $emailport — Порт обращения к почтовому серверу.
• $emailFromAddress — Email, с которого будут приходить оповещения.

Расширенная настройка Email-оповещения

Настройка аутентификации по протоколу openid connect 1.0

Для подключения стороннего ЦИ по протоколу Oidc необходимы следующие данные:

1. URL-адрес конечной точки авторизации (AuthorizationEndpoint).
2. URL-адрес конечной точки распространения набора ключей (JwksUri).
3. Самоназвание стороннего ЦИ (Issuer).
4. Идентификатор клиента (ClientId).
5. Секрет клиента (ClientSecret).
6. Запрашиваемые области использования (Scopes).

Настройка аутентификации по протоколу ws-federation

Для подключения стороннего ЦИ по протоколу WsFed необходимы URL адрес конечной
точки для обработки пассивного сценария (WsFedEndpointUri).

Настройка аутентификации через adfs

КриптоПро DSS позволяет использовать в качестве стороннего доверенного ЦИ службы Active Directory
(ADFS).

Руководство Администратора по интеграции КриптоПро DSS с ADFS

Настройка аутентификации через госуслуги (есиа)

КриптоПро DSS позволяет использовать в качестве стороннего доверенного ЦИ портал Госуслуги
(ЕСИА, Единая система идентификации и аутентификации).

Для настройки требуются следующие данные:

• Идентификатор (мнемоника) прикладной системы, зарегистрированной в ЕСИА. Данный идентификатор используется для идентификации конкретного экземпляра КриптоПро DSS в ЕСИА.
• Сертификат и ключ подписи запросов. Данный ключ используется для формирования подписи запросов отправляемых из DSS в ЕСИА.
• Перечень областей использования маркера доступа. Каждая область использования даёт разрешение DSS на просмотр определённых сведений из учётной записи пользователя портала Госуслуги (подробная информация об областях использования и данных, которые с их помощью можно получить представлены в таблице ниже).
• Адреса конечных точек ЕСИА (примеры конечных точек для промышленного и тестового контуров ЕСИА приведены ниже).

Ознакомиться с регламентом по подключению информационной системы к ЕСИА можно по
ссылке.

Процесс подключение DSS к ЕСИА состоит из следующих шагов.

Настройка доверия к стороннему ци

Настройка доверия к стороннему ЦИ осуществляется Администратором DSS через
PowerShell с помощью следующих командлетов:

• Add-DssIdentityProvider — добавление нового доверенного ЦИ.
• Set-DssIdentityProvider — изменение параметров существующего доверенного ЦИ.
• Get-DssIDentityProvider — отображение списка доверенных ЦИ.
• Remove-DssIdentityProvider — удаление доверенного ЦИ из списка.
• Disable-DssIdentityProvider — отключение довернного ЦИ.
• Enable-DssIdentityProvider — включение доверенного ЦИ.
• Set-DssIdentityProviderOidcEndpoint — изменение настроек аутентификации протокола Oidc.
• Set-DssIdentityProviderWsDedEndpoint — изменение настроек аутентификации протокола WsFed.

Порядок работы со сценарием автоматического развертывания криптопро dss

Отредактируйте файл DeployConfig.ps1 из состава архива dss_quickstart.zip. Заполните переменные
необходимыми значениями и сохраните полученный результат.

Запустите файл DSSDeploy.ps1 в консоли PowerShell от имени администратора. После запуска становится
доступным меню скрипта. Введите номер пункта меню в зависимости от этапа, который необходимо выполнить, и
нажмите «Enter»:

Скрипт для быстрого старта DSSDeploy.ps1 позволяет выполнить следующие настройки веб-сервера.

1. Добавление необходимых компонентов и ролей веб-сервера. Данное действие позволяет включить и
   установить недостающие компоненты веб-сервера (IIS), необходимые для работы КриптоПро DSS.
2. Добавление привязки сертификата (RSA) на порт 443. При этом соответствующий сертификат будет сгенерирован автоматически.
3. Добавление привязки сертификата (ГОСТ) на порт 443. При этом соответствующий сертификат будет сгенерирован автоматически.
4. Добавление привязки сертификата (ГОСТ) на порт 4430. При этом соответствующий сертификат будет сгенерирован автоматически.

Подробнее о настройке веб-сервера

Скрипт для быстрого старта DSSDeploy.ps1 позволяет развернуть КриптоПро DSS по следующим основным
сценариям.

1. Выбор сценария

• «КриптоПро DSS». Включает развертывание и настройку Центра Идентификации, Сервиса Подписи, Сервиса Аудита и Веб-интерфейса Пользователя.
• «КриптоПро DSS DSS SDK». Включает развертывание всех компонентов конфигурации «КриптоПро DSS», дополнительно включает развертывание и настройку Сервиса Операций, Сервиса Обработки Документов и Сервиса Взаимодействия с DSS SDK (mDAG).

Каждая из конфигураций позволяет добавить модуль аутентификации myDSS, что требует
дополнительных настроек перед запуском скрипта.

2. Подключение к БД

После того как был выбран вариант конфигурации КриптоПро DSS, выберите расположение БД, которая
была создана ранее. Выбор расположения БД влияет на настройки строки подключения создаваемого экземпляра
к данной БД. Доступные варианты:

3. Выбор DNS-имени для сервера с DSS

На следующем этапе необходимо задать DNS-имя сервера DSS. Доступные варианты:

• Использовать имя компьютера, на котором запущен скрипт.
• Ввести произвольное имя. При выборе данного пункта скрипт предложит ввести указанные данные.

4. Выбор алгоритма подписи сервисных сертификатов

На следующем этапе необходимо выбрать алгоритм подписи служебных сертификатов. Доступные варианты:

5. Выбор способа именования экземпляров сервисов

На данном этапе необходимо ввести основное имя экземпляра (на основании него будут сформированы
остальные имена): Пример при названии test_, имя ЦИ будет test_idp, имя Сервиса Подписи будет
test_ss и т.д.

6. Результат выполнения скрипта

По завершении работы скрипта будет автоматически выполнено следующее:

• создание и настройка экземпляров сервисов КриптоПро DSS в выбранной конфигурации;
• создание необходимых сервисных сертификатов (ГОСТ на 15 месяцев или RSA на 50 лет в зависимости от выбранного пункта меню) и назначение их сервисам;
• выдача прав пулам приложений на доступ к закрытым ключам сервисных сертификатов.

Дополнительно в папке, откуда был запущен скрипт, будут созданы следующие файлы и директории:

• Var.txt — список переменных, использованных во время выполнения скрипта;
• Tekstovka.txt — произведенные настройки экземпляров сервисов КриптоПро DSS;
• директория certs — все созданные во время выполнения скрипта сертификаты.

В данном разделе описаны дополнительные возможности скрипта для быстрого старта, позволяющие добавить
и изменить различные настройки при развертывании КриптоПро DSS. Все описанные настройки выполняются
путем редактирования описанных ниже параметров (переменных) в файле скрипта DSSDeploy.ps1.

Развертывание дополнительных компонентов, необходимых для работы модуля аутентификации myDSS, а также
выполнение других настроек выполняется после заполнения переменных в блоке «Настройка DSS myDSS».

Подробнее о myDSS

Примечание

В случае если необходимо развернуть и настроить взаимодействие со службой штампов времени (TSP),
требуется задать в следующих параметрах файла DeployConfig.ps1 адрес и имя тестовой службы TSP:

• $DssTspServiceurl
• $DssTspServicename

Способы аутентификации

В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:

Срок действия clientsecret

• $SecretLifetime — Срок действия ClientSecret в секундах при настройке аутентификации с использованием OAuth 2.0. По умолчанию имеет значение 8760. В тестовых целях значение может быть установлено равным 0, что делает данный ClientSecret бессрочным.

Центр идентификации bandit

Центр Идентификации Bandit (Bandit IdP) – это продукт, созданный на основе двух open source-проектов Bandit и Higgins. Центр Идентификации Bandit написан на платформе Java и использует сертифицированные средства защиты КриптоПро JCP, и КриптоПро JTLS.

Центр Идентификации Bandit использует Higgins IdAS (Identity Attribute Service) для доступа к пользовательским данным. IdAs – это уровень абстракции, позволяющий подключать различные хранилища данных. Поэтому ЦИ Bandit может обращаться за пользовательскими данными к LDAP, SQL и т.д.

Шаг 1. добавление ци.

Сначала необходимо добавить сторонний ЦИ с помощью командлета Add-DssIdentityProvider.

Add-DssIdentityProvider -IssuerName esia -Title "Вход через Госуслуги" -Description "Единая система идентификации и аутентификации" -AuthEndpointType Esia

Шаг 3. настройка учётных данных прикладной системы.

Для получения доступа к ЕСИА прикладная система (в данном случае КриптоПро DSS)
должна идентифицировать себя с помощью идентификатора клиента (мнемоника
информационной системы в терминологии ЕСИА) и аутентифицировать запрос с помощью
подписи передаваемых параметров.

Сертификат подписи запроса необходимо предварительно установить в хранилище
Личное (My) локального компьютера (Local Machine) с привязкой к закрытому ключу.
Требуется выдать полные права на закрытый ключ для пула приложений, под которым
работает веб-приложение ЦИ на сервере IIS.

Идентификатор клиента и отпечаток сертификата настраиваются с помощью командлета
Set-DssIdentityProviderEsiaEndpoint.

Set-DssIdentityProviderEsiaEndpoint -IssuerName esia -ClientId MNEMONIC `
-ClientCertificateThumbprint 77fa2b8d646f3f8ee8b11b1c3b4f59e9610de615`

здесь

• MNEMONIC — идентификатор прикладной системы, зарегистрированный в ЕСИА.
• 77fa2b8d646f3f8ee8b11b1c3b4f59e9610de615 — отпечаток сертификата подписи запросов.

Шаг 4. настройка областей использования маркера.

Прикладная система может получить доступ к учётным данным пользователя только
после того, как пользователь предоставит явное разрешение.
Требуемые данные указываются с помощью областей использования (scope).
В КриптоПро DSS поддерживаются следующие области использования:

Области использования, содержащие личные данные пользователя

Области использования, содержащие контактные данные пользователя

Для номера мобильного телефона, домашнего телефона и адреса электронной почты
также формируются утверждения esia.contacts.MBT.vrfStu, esia.contacts.PHN.vrfStu,
esia.contacts.EML.vrfStu, содержащие информацию о статусе подтверждения данных
(NOT_VERIFIED не подтверждены, VERIFIED — подтверждены).

Область использования contacts также позволяет получить сведения об адресах мест проживания и регистрации пользователя.
По каждому типу адреса формируются следующие утверждения:

здесь {type} может принимать значения PLV для места проживания и PRG для места регистрации.

Области использования, содержащие сведения о документах пользователя

Дополнительно

Все указанные выше области использования позволяют также получить следующие данные
(отдельные области использования для них запрашивать не нужно):

Помимо указанных выше областей использования требуется всегда явно указывать специальное значение openid.

Пример командлета по заданию областей использования:

Set-DssIdentityProviderEsiaEndpoint -IssuerName esia -Scopes "openid fullname mobile"

Если для доступ к сервису требуется разрешить только подтверждённым учётным записям (утверждение esia.identity.trusted имеет значение True), то необходимо выполнить команду

Set-DssIdentityProviderEsiaEndpoint -IssuerName esia -RequireTrustedAccount $true

Шаг 5. указания сертификата проверки маркеров есиа.

Сертификаты тестовой и продуктивной сред ЕСИА, используемые для формирования электронных подписей ответов как поставщика,
доступны по ссылке.

Перед использованием сертификат проверки маркеров необходимо установить в хранилище
Доверенные лица (Trusted People) Локального компьютера.

Задать сертификат проверки можно с помощью слдующей команды:

Add-DssIdentityProviderSigningCertificate -Id 2 -Certificate <путь к файлу сертификата> -UseSha1AsKid

здесь Id — идентификатор стороннего ЦИ (можно увидеть в выводе командлета Get-DssIdentityProvider).

Шаг 6. настройка правил преобразования утверждений.

Правила преобразования утверждений позволяют:

• настроить утверждение, которое будет использоваться в качестве идентификатора пользователя.
• заменить значения некоторых утверждений.

В качестве примера приведёны правила, которые позволяют сделать следующее.