Описание конфигурационных файлов сервиса подписания и верификации сообщений ============================================================================= Состав и содержание дистрибутивного пакета сервиса подписания и верификации сообщений --------------------------------------------------------------------------------------- Состав дистрибутива: - ``/distr/appConfig.json`` – заготовка конфигурационного файла для Потребителя и Поставщика; - ``/distr/cert`` – корневые и промежуточные сертификаты Ядра ПОДД СМЭВ, для обеспечения возможности подключения агента к ядру должны быть загружены в систему, см. :numref:`load_kernel_certs`. Файл ``appConfig.json`` необходимо скопировать в каталог ``/distr/notarius`` (либо другой, по выбору пользователя, с соответствующей корректировкой путей в последующих пунктах инструкции). Реестр изменений конфигурационного файла ------------------------------------------ :numref:`tab_config_file` содержит реестр изменений. Фиксация изменений ведется с версии 3.5.4 .. _tab_config_file: .. table:: Реестр изменений конфигурационного файла +--------+---------------------------------------------------------------------------+ | Версия | Перечень изменений (относительно предыдущей версии) | +========+===========================================================================+ | 3.8.1 | изменений нет | +--------+---------------------------------------------------------------------------+ | 3.11.1 | изменений нет | +--------+---------------------------------------------------------------------------+ .. _set_notarius: Общие настройки сервиса подписания и верификации сообщений -------------------------------------------------------------- Необходимо указать идентификатор ключа (ключей) КриптоПро. Сервис notarius поддерживает работу одновременно с несколькими Агентами. При использовании сервиса более чем одним Агентом, необходимо перечислить в конфигурационном файле все используемые ими ключи КриптоПро, при этом в конфигурационном файле каждого агента указывается алиас единственного ключа, принадлежащего этому агенту. .. code-block:: json { ... "keys": [ { "certificate_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 1 КриптоПро ***", "private_key_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 1 КриптоПро ***", "private_key_pass": "*** ПАРОЛЬ КЛЮЧА 1 КриптоПро ***" }, { "certificate_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 2 КриптоПро ***", "private_key_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 2 КриптоПро ***", "private_key_pass": "*** ПАРОЛЬ КЛЮЧА 2 КриптоПро ***" } ] } .. _load_kernel_certs: Загрузка сертификатов и crl --------------------------- Для работы сервиса notarius **необходимо** наличие в системе: - корневого и промежуточных сертификатов ядра ПОДД СМЭВ, соответствующего сертификату,используемому в пользовательском ключе (ключах); - загруженных списков Certificate Revocation List (crl), загруженных в хранилище доверенных сертификатов; - загруженного списка Certificate Revocation List (crl), соответствующих корневому и доверенным сертификатам ядра ПОДД СМЭВ. Корневой и промежуточные сертификаты ядра находятся в дистрибутивном пакете конфигурационных файлов сервиса подписания и верификации сообщений, в подкаталоге certs. Для их загрузки используется команда **certmgr** из состава КриптоПро CSP 5.0 R2, выполняемая **тем же пользователем, под которым работает сервис подписания и верификации сообщений**. Ее необходимо выполнить для каждого из находящихся в дистрибутивном пакете файлов сертификата. .. code-block:: bash /opt/cprocsp/bin/amd64/certmgr -install -certificate -store uRoot -file имя_файла.cer Certificate Revocation List (crl), соответствующие корневому и доверенным сертификатам ядра ПОДД, необходимо скачать по следующим ссылкам: - `http://company.rt.ru/cdp/guc2022.crl `_ - `http://crl.roskazna.ru/crl/ucfk_2023.crl `_ - `http://crl.roskazna.ru/crl/ucfk_2022.crl `_ - `https://lkuv.gosuslugi.ru/api/fs/v1/files/blastoff.crl `_ Скачанные ``.crl`` файлы загружаются в систему с помощью с помощью команды **certmgr** из состава КриптоПро CSP 5.0 R2, выполняемой **тем же пользователем, под которым работает сервис подписания и верификации сообщений**. .. code-block:: bash /opt/cprocsp/bin/amd64/certmgr -install -crl -store uCa -file имя_файла.crl .. attention:: Необходимо загрузить в систему все упомянутые выше Certificate Revocation List (crl) Certificate Revocation List (crl) сертификата пользовательского ключа доступны к скачиванию на сайтах провайдеров сертификатов. Ссылку на crl файл можно получить, выполнив, c указанием имени пользовательского ключа, команду certmgr из состава КриптоПро CSP 5.0 R2: .. code-block:: bash /opt/cprocsp/bin/amd64/certmgr -list -container ИДЕНТИФИКАТОР_КЛЮЧА_КриптоПро ``.crl`` файл по ссылке из вывода вышеприведенной команды, необходимо скачать и далее загрузить в систему с помощью команды certmgr из состава КриптоПро CSP 5.0 R2, выполняемой **тем же пользователем, под которым работает сервис подписания и верификации сообщений** .. code-block:: bash /opt/cprocsp/bin/amd64/certmgr -install -crl -store uCa -file crl_file.crl где ``crl_file.crl`` - полученный фал со списком revoked certificates. В случае, если корневой сертификат издателя не является доверенным (пример: подключение к тестовому контуру ПОДД СМЭВ), его необходимо явным образом добавить в список доверенных корневых сертификатов на сервере, используемом для notarius. Добавление также осуществляется с помощью команды **certmgr** из состава КриптоПро CSP 5.0 R2, выполняемой **тем же пользователем, под которым работает сервис подписания и верификации сообщений**. .. code-block:: bash /opt/cprocsp/bin/amd64/certmgr -install -certificate -store uRoot -file root_cert.crt где ``root_cert.crt`` - корневой сертификат издателя. .. attention:: Certificate Revocation List имеют ограниченный срок действия. Для исключения перебоев в работе системы, необходимо организовать их регулярное обновление в системе, не допуская превышения сроков их жизни!