Возможности криптопро svs
На сервере, обеспечивающем работу КриптоПро SVS, устанавливаются следующие компоненты:
- Веб-интерфейс Пользователя,
- REST-сервис проверки подписи.
Настройка конфигурации и администрирование сервиса производится с помощью Windows
PowerShell.
КриптоПро SVS использует встроенный в ОС механизм проверки цепочки сертификатов,
используя собственное хранилище корневых сертификатов УЦ. Это означает, что необходимые
для построения цепочки сертификаты, CRL или OCSP-ответы берутся из системных хранилищ или
скачиваются автоматически.
При проверке документов в веб-интерфейсе КриптоПро SVS в браузере может отображаться
содержимое документов. Поддерживаются следующие форматы документов:
PDF, DOC, DOT, DOCM, DOTM, DOCX, DOTX, XML, FlatOpc, FlatOpcMacroEnabled, FlatOpcTemplate,
FlatOpcTemplateMacroEnabled, ODT, OTT, OOXML, WordML, RTF, HTML, XHTML, MHTML и TXT.
Набор отображаемых документов может быть расширен путём написания плагинов
для нужных форматов.
В качестве криптопровайдера может быть использовано СКЗИ «КриптоПро CSP» версии 5.0 R2
варианта исполнения 2-Base или 3-Base.
В качестве OCSP-сервера может использоваться КриптоПро OCSP Server или другая совместимая
служба OCSP, соответствующая требованиям RFC 6960. Проект
Рекомендаций по стандартизации, устаналивающий требования к службам OCSP, использующим
российские криптографические алгоритмы, находится в разработке и доступен в виде проекта.
Дополнительные параметры плагина:
- LocationCheck – требовать обязательного наличия компонентов местонахождения. Возможные значения: true, false. Значение по умолчанию false;
- OrganizationNameStrictCheck – требовать совпадения значений компонентов имени CN и O в сертификате. Возможные значения: true, false. Значение по умолчанию false;
- INNforLECheckMode – режим проверки ИНН ЮЛ. Возможные значения: Any, Soft, Strict. Значение по умолчанию Soft.
- Any – требуется присутствие INN и/или INNLE;
- Soft – требуется присутствие INNLE; присутствие INN докускается;
- Strict – требуется присутствие только INNLE.
- TSLPath — полный путь к файлу TSL.
Для проверки УЦ на принадлежность к заданному списку УЦ необходимо указать путь к файлу со списком
УЦ Tsl.xml в параметре TSLPath.
Настройка выполнения проверки полей сертификата по умолчанию
Проверка соответствия полей сертификата установленной форме при помощи описанного в данном разделе плагина
может применяться по умолчанию как в веб-интерфейсе SVS, так и при обращении к SVS с использованием REST API.
Для этого в настройках плагина необходимо указать флаг CheckByDefaultRequired.
Пример:
Set-VsCertificateVerifierPlugin -ID 1 -CheckByDefaultRequired 1
В зависимости от интерфейса SVS данная настройка будет применена следующим образом:
Для прикладных систем, взаимодействующих с КриптоПро SVS через REST API, но не умеющих обрабатывать результаты дополнительных
проверок сертификатов (параметр CertificateVerificationResult),
можно включить неуспешный результат проверки в основное сообщение об ошибке (параметр Message).
Данное поведение можно настроить при помощи следующей команды.
Set-VsProperties -IncludeCertPluginErrorInfoInMainError 1
Restart-VsInstance
Общие сведения о криптопро svs
Служба проверки сертификатов и электронной подписи КриптоПро SVS имеет следующие
ключевые особенности:
- Реализует проверку сертификатов и электронной подписи с учётом использования российских криптографических алгоритмов.
- Использует встроенный веб-сервер Microsoft IIS, поддерживающий различные методы аутентификации и протокол TLS (SSL).
- Поддерживает развёртывание нескольких экземпляров службы на одном компьютере.
- Может получать информацию о статусах сертификатов из следующих источников:
- Локально установленные списки отзыва сертификатов (CRL);
- CRL, доступные по сети;
- Сервисы OCSP.
- Процесс проверки статусов сертификатов реализуется средствами ОС Windows и средствами КриптоПро PKI SDK (см. документ ЖТЯИ.00094-01 90 10. «Службы УЦ. КриптоПро PKI SDK. Руководство разработчика»).
- Устанавливается с помощью Windows Installer.
Поддерживаемые форматы электронной подписи
КриптоПро SVS поддерживает следующие форматы электронной подписи:
- Подпись формата CMS (PKCS#7/CAdES-BES)
- Присоединенная подпись;
- Отделенная подпись;
- Усовершенствованная подпись (CAdES-T, CAdES-X Long Type 1);
- Присоединенная подпись;
- Отделенная подпись;
- Подпись XML-документов (XML Digital Signature, XMLDSig);
- Необработанная (чистая) электронная подпись ГОСТ Р 34.10-2022 (и ГОСТ Р 34.10–2001);
- Подпись документов PDF (CAdES-BES, CAdES-T, CAdES-X Long Type 1);
- Подпись документов Microsoft Office (Word и Excel).
Примечание
Более детальная информация о поддерживаемых форматах подписи и ссылки на нормативную
документацию содержатся в разделе 11
документа «ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание».
Пример настройки плагина
# Регистрация плагина и настройка пути к файлу TSL
Add-VsCertificateVerifierPlugin -Assembly SVS.CertificateVerifier.Qualified.dll -PluginDescription "Проверка сертификата на соответствие установленной форме" -Parameters @{'TSLPath'='C:TSL.xml'}
# Добавление отпечатков корневых сертификатов Минцифры РФ
Add-VsQualifiedCAThumbprints -Thumbprint 4bc6dc14d97010c41a26e058ad851f81c842415a
Add-VsQualifiedCAThumbprints -Thumbprint aff05c9e2464941e7ec2ab15c91539360b79aa9d
Add-VsQualifiedCAThumbprints -Thumbprint 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
Если плагин зарегистрирован и настроен, в веб-интерфейсе КриптоПро SVS при проверке
сертификата будет выводиться дополнительная информация о соответствии его заданным правилам.
При проверке ЭП также будет осуществляться проверка данного сертификата.
Примечание
Более детальная информация о поддерживаемых форматах подписи и ссылки на нормативную
документацию содержатся в разделе 11
документа «ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание».
Ролевая модель
КриптоПро SVS не имеет встроенной системы разграничения прав доступа, поэтому используемые
при его эксплуатации роли должны быть определены организационными мерами или соответствующими
настройками общесистемного программного обеспечения сервера, на котором установлен КриптоПро SVS.
| Роль | Описаниe |
|---|---|
| Пользователь | Пользователь веб-интерфейса или клиентское приложение, которое обращается к КриптоПро SVS с целью проверки подписи и/или сертификата. |
| Оператор | КриптоПро SVS не подразумевает наличия роли привилегированного пользователя, поэтому в роли Оператора выступает учетная запись (УЗ), под которой запускается служба. |
| Администратор SVS | Администратор КриптоПро SVS имеет доступ к управлению КриптоПро SVS при помощи командлетов, что позволяет ему настраивать экземпляр КриптоПро SVS, управлять лицензией на КриптоПро SVS и администрировать специальное программное обеспечение КриптоПро SVS. |
| Системный администратор | Системный администратор КриптоПро SVS выполняет следующие задачи: * Установка общесистемного и специального программного обеспечения КриптоПро SVS; * Создание, удаление и обновление экземпляров компонентов КриптоПро SVS; * Администрирование общесистемного программного обеспечения. |
| Оператор резервного копирования | Оператор резервного копирования выполняет архивирование и восстановление настроек общесистемного программного обеспечения сервера, на котором развернут КриптоПро SVS, а также резервное копирование и восстановление журналов SVS и его дистрибутива. |
| Аудитор | Аудитор выполняет мониторинг и анализ журналов SVS, веб-сервера и операционной системы, в которой функционирует КриптоПро SVS. |
Примечание
Роли Администратора SVS, Системного администратора, Оператора резервного копирования
и Аудитора могут принадлежать как одному сотруднику, так и быть разделены между несколькими
лицами.
Требования к клиентскому рабочему месту
Операции верификации сертификата ключа проверки электронной подписи и подтверждения
подлинности электронных подписей документов выполняются на стороне сервера, что не требует
установки на компьютер клиента специализированного программного обеспечения (например,
КриптоПро PDF, КриптоПро Office Signature, КриптоАРМ). Вся работа клиента с КриптоПро SVS
производится через веб-браузер.
Для обеспечения доверия к ответам сервиса КриптоПро SVS взаимодействие с ним может
производиться по протоколу TLS.
