- Введение
- Описание проблемы и её решение
- Конфигурирование dss cloud proxy
- Настройка dss cloud proxy
- Настройка взаимодействия dss с cloud proxy
- Настройка криптопро dss для работы с dss push proxy
- Настройка размера подписываемых документов
- Настройка сервера с dss push proxy
- Подготовка веб-сайта
- Примечание
- Установка dss cloud proxy
Введение
Внедрение электронной подписи документов в нашем бизнесе стало необходимостью в связи с экономией на бумаге и переходом на электронные документы, а также постепенным переходом от бумажных документов к электронному документообороту.
Через SDK CryptoPro DSS позволяет разработать двухфакторное подтверждение операций подписания.
В наше корпоративное приложение, о котором мой коллега писал на Хабре, встроен SDK.
Но я упомянул о своем опыте работы с бэкграундом выпуска, поэтому давайте рассмотрим его более подробно.
Описание проблемы и её решение
Мы используем систему электронной подписи на основе ГОСТ TLS с аутентификацией клиентов.
Но хорошо известно, что распространенные платформы -. Российские криптовалюты не поддерживаются ГОСТом на NET, даже предпочитаемым нами «веб-сервисом»!
Я попытался подключить rtengine в качестве теста, но он не будет запущен. Используйте «Cryptopro Stunnel», предлагает Cryptopro.
Stunnel — это бесплатная программа, которую можно использовать для отправки и получения незашифрованного трафика на целевой сервер. Когда клиент не поддерживает шифрование TLS, он часто используется.
Какие преимущества он предлагает? В Stunnel от CryptoPro есть тот же самый оглушитель, но теперь он поддерживает ГОСТ TLS.
Если бы одной ситуации не существовало, подошел бы другой план: каждый запрос во внешний Интернет должен проходить через корпоративный прокси. Хотя Vanilla Stunnel может отправлять запросы через прокси, он окрестил эту функцию «криптопро».
Конфигурирование dss cloud proxy
Настройка DSS Cloud Proxy производится путем редактирования файла конфигурации reverse-proxy.json,
расположенного в директории, куда были скопированы файлы DSS Cloud Proxy.
Файл с обратным proxy.json заполняется в соответствии с общими рекомендациями для заполнения файлов Restoration_influences.
| Имя блока | Требования к содержимому |
|---|---|
"$schema" | Адрес json-схемы для файла конфигурации reverse-proxy.json. |
"baseAddress" | Базовый адрес сервера и порт, на котором Cloud Proxy прослушивает входящие подключения. Внимание! поле должно закачиваться символом /. |
"ProxiedApps" | Секция содержит блоки, каждый из которых относится к одному экземпляру веб-приложения Сервиса Подписи и/или Центра Идентификации. * "baseAddress" — адрес экземпляра сервиса, который подключается к Cloud Proxy. * "appName" — имя приложения. Данное поле должно полностью соответствовать имени приложения в поле "baseAddress" того же блока. * "appType" — тип подключаемого экземпляра. Поддерживаются следующие значения: STS для Центра Идентификации, SignServer для Сервиса Подписи. * "props" — необязательные дополнительные свойства для расширения конфигурации (на данный момент поддерживается только свойство defaultClientId, см. примечание ниже). |
Примечание
Для работы Cloud CSP из состава КриптоПро CSP версии 5.0.12222 (Lilith) и ниже в silent-режиме
необходимо задать дополнительное свойство defaultClientId в разделе конфигурации приложения STS
со значением cryptopro.cloud.csp (см. пример конфигурации ниже).
Пример
Настройка dss cloud proxy
DSS Cloud Proxy представляет собой веб-приложение, развернутое на сервере приложений IIS. Сервис не
требует БД. Перед установкой и развертыванием DSS Cloud Proxy необходимо учитывать следующее:
- DSS Cloud Proxy ДОЛЖЕН использоваться при подтверждении операций с облачными ключами в мобильном приложении на базе DSS SDK;
- DSS Cloud Proxy НЕ требуется, но может использоваться как прокси при подтверждении операций с облачными ключами в мобильном приложении myDSS.
Для развертывания облачного прокси DSS необходимо следующее:
Настройка взаимодействия dss с cloud proxy
На данном этапе требуется добавить сведения о DSS Cloud Proxy в настройки отношений доверия на Центре
Идентификации DSS. Для этого адрес сервера, где развернут Cloud Proxy, и соответствующий порт
помещаются в настройки доверенной стороны, относящиеся к Сервису Подписи.
Настройка криптопро dss для работы с dss push proxy
На данном этапе системный администратор на сервере, где развернут ЦИ КриптоПро DSS, выполняет
перенастройку существующего транспортного плагина, осуществляющего рассылку PUSH-уведомлений
пользователям. Настройка должна производиться в консоли Powershell, запущенной от имени
администратора.
Для того, чтобы перенаправить PUSH-уведомления, отправляемые траспортным плагином, на сервис
PUSH Proxy,
необходимо получить идентификатор данного плагина. Получить идентификатор возможно при помощи
командлета Get-DssStsPlugin. После этого необходимо задать новые
параметры для выбранного плагина:
- UsePushProxy — включает/отключает отправку Push-уведомлений через службу PUSH Proxy
- PushProxyLogin, PushProxyPassword — учетные данные для входа в экземпляр службы PUSH Proxy, которые были указаны при настройке модуля PUSH Proxy
- PushProxyAddress — URL-адрес PUSH Proxy.
U RL -адрес службы Push Proxy отформатируется следующим образом:
Настройка размера подписываемых документов
При использовании Cloud CSP можно настроить размер документов, подписываемых при помощи
облачного криптопровайдера. Для этого необходимо выполнить следующие действия.
1. Настройка КриптоПро CSP
Запустите КриптоПро CSP с правами администратора. Перейдите на вкладку «Оборудование» и выберите
«Настроить считыватели — Облачный токен — Свойства — Настройки».
Как показано на рисунке ниже, выберите из выпадающего списка максимальное количество документов.
Применяйте изменения.
Примечание
Если в процессе настройки КриптоПро CSP было запущено приложение «Иструменты КриптоПро»,
потребуется перезапустить его, чтобы изменения вступили в силу.
2. Настройка
Запустите дистпетчер служб IIS. Выберите сайт, где развернут Cloud Proxy (1). На начальной странице
данного сайта в разделе «Управление» запустите Редактор конфигураций (2). Перейдите в раздел
system.webServer/security/requestFiltering (3).
Примечание
Рекомендуется указывать значение maxAllowedContentLength так, чтобы оно приблизительно на
треть превышало размер документов, которые требуется подписывать.
Нажмите кнопку «Применить» в меню справа.
Настройка сервера с dss push proxy
Настройка сервера с установленным PUSH Proxy должна производиться в консоли Powershell,
запущенной от имени администратора.
1. Создайте веб -приложение
На данном этапе системный администратор создает экземпляр сервиса DSS PUSH Proxy (например,
с именем pushproxy) и указывает имя сайта, на котором будет развернуто веб-приложение данного
сервиса (например, имя сайта по умолчанию «Default Web Site»).
$InstanceName ="pushproxy"
$SiteName = "Default Web Site"
Install-DssPushProxyInstance -InstanceName $InstanceName -SiteName $SiteName
2. Процесс интеграции с CI DSS начнется в ближайшее время.
В ЦИ КриптоПро DSS может быть зарегистрировано несколько наборов плагинов (т.н. «прикладных
систем») для отправки PUSH-уведомлений. Каждая из этих прикладных систем ассоциирована с одним
мобильным приложением, используемым какой-либо организацией.
По умолчанию все эти прикладные
системы рассылают PUSH-уведомления с использованием Сервиса рассылки уведомлений своего ЦИ.
Чтобы PUSH-уведомления какой-либо системы перенаправлялись через сервис PUSH Proxy, на данном
сервисе необходимо зарегистрировать соответствующий модуль оповещения.
Примечание
Несколько прикладных систем, находящихся в пределах одного ЦИ DSS, могут быть подключены к
одному экземпляру сервиса PUSH Proxy. При этом для каждой из систем на сервисе PUSH Proxy
должен быть зарегистрирован соответствующий модуль.
Примечание
Несколько экземпляров ЦИ DSS с зарегистрированными на них прикладными системами также
могут быть подключены к одному экземпляру сервиса PUSH Proxy. В этом случае для каждой из
прикладных систем каждого экземпляров ЦИ должен быть зарегистрирован соответствующий
модуль на сервисе PUSH Proxy.
Модуль PUSH Proxy представляет собой набор плагинов, позволяющих отправлять PUSH-уведомления
на устройства пользователей под управлением ОС iOS и Android (в т.ч. для устройств Huawei).
Следующие шаги составляют процесс регистрации модуля:
Подготовка веб-сайта
Примечание
D SS Cloud Proxy должен быть настроен на другом сайте и на порту, который выделен.
На данном этапе системный администратор должен создать на IIS новый веб-сайт. Возможно использовать
веб-сайт по умолчанию (Default Web Site), но в этом случае на данном сайте не должно быть
развернуто других веб-приложений.
Примечание
- Для аутентификации на внешних PUSH-серверах у администратора должны быть заранее
получены учетные данные, соответствующие требованиям данного PUSH-сервера. - Системный администратор должен настраивать аутентификацию только для тех PUSH-серверов,
которые планируется использовать для доставки PUSH-уведомлений пользователям. - Если на экземпляре сервиса PUSH Proxy зарегистрировано более одного модуля, необходимо
указывать параметр-ModuleName.
Установка dss cloud proxy
На данном этапе системный администратор устанавливает дистрибутив DSS Cloud Proxy, полученный
им ранее на странице загрузки.
Для этого необходимо в корневой каталог сайта, предназначенного для развертывания Cloud Proxy, скопировать содержимое загруженного
архива.
