4. Описание конфигурационных файлов сервиса подписания и верификации сообщений

4.1. Состав и содержание дистрибутивного пакета сервиса подписания и верификации сообщений

Состав дистрибутива Агента СМЭВ4 в архиве с конфигурационными файлами для модуля Notarius (/distr/notaruis):

• /distr/notaruis/appConfig.json – шаблон конфигурационного файла для Потребителя и Поставщика;

• /distr/cert/* – корневые и промежуточные сертификаты Ядра ПОДД СМЭВ, для обеспечения возможности подключения агента к ядру должны быть загружены в систему, см. Раздел 4.4.

Файл appConfig.json необходимо скопировать в каталог /distr/notarius (либо другой, по выбору пользователя, с соответствующей корректировкой путей в последующих пунктах инструкции).

4.2. Реестр изменений конфигурационного файла

Таблица 4.1 содержит реестр изменений. Фиксация изменений ведется с версии 3.8.1

Таблица 4.1 Реестр изменений конфигурационного файла

Версия	Перечень изменений (относительно предыдущей версии)
3.8.1	изменений нет
3.11.2	изменений нет

4.3. Общие настройки сервиса подписания и верификации сообщений

Необходимо указать идентификатор ключа (ключей) CryptoPro.

Сервис notarius поддерживает работу одновременно с несколькими Агентами. При использовании сервиса более чем одним Агентом, необходимо перечислить в конфигурационном файле все используемые ими ключи CryptoPro, при этом в конфигурационном файле каждого агента указывается алиас единственного ключа, принадлежащего этому агенту.

{
  ...
  "keys": [
      {
      "certificate_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 1 CryptoPro ***",
      "private_key_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 1 CryptoPro ***",
      "private_key_pass": "*** ПАРОЛЬ КЛЮЧА 1 CryptoPro ***"
      },
      {
      "certificate_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 2 CryptoPro ***",
      "private_key_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 2 CryptoPro ***",
      "private_key_pass": "*** ПАРОЛЬ КЛЮЧА 2 CryptoPro ***"
      }
  ]
}

4.4. Загрузка сертификатов и crl

Для работы сервиса notarius необходимо наличие в системе:

• корневого и промежуточных сертификатов ядра ПОДД СМЭВ, соответствующего сертификату, используемому в пользовательском ключе (ключах);

• загруженных списков Certificate Revocation List (crl), загруженных в хранилище доверенных сертификатов;

• загруженного списка Certificate Revocation List (crl), соответствующих корневому и доверенным сертификатам ядра ПОДД СМЭВ.

Корневой и промежуточные сертификаты ядра находятся в дистрибутивном пакете конфигурационных файлов сервиса подписания и верификации сообщений, в подкаталоге certs.

Для их загрузки используется команда certmgr из состава CryptoPro CSP 5.0 R2, выполняемая тем же пользователем, под которым работает сервис подписания и верификации сообщений.

Ее необходимо выполнить для каждого из находящихся в дистрибутивном пакете файлов сертификата.

/opt/cprocsp/bin/amd64/certmgr -install -certificate -store uRoot -file имя_файла.cer

Certificate Revocation List (crl), соответствующие корневому и доверенным сертификатам ядра ПОДД, необходимо скачать по следующим ссылкам:

• http://company.rt.ru/cdp/guc2022.crl

• http://crl.roskazna.ru/crl/ucfk_2023.crl

• http://crl.roskazna.ru/crl/ucfk_2022.crl

• https://lkuv.gosuslugi.ru/api/fs/v1/files/blastoff.crl

Скачанные .crl файлы загружаются в систему с помощью с помощью команды certmgr из состава CryptoPro CSP 5.0 R2, выполняемой тем же пользователем, под которым работает сервис подписания и верификации сообщений.

/opt/cprocsp/bin/amd64/certmgr -install -crl -store uCa -file имя_файла.crl

Внимание

Необходимо загрузить в систему все упомянутые выше Certificate Revocation List (crl)

Certificate Revocation List (crl) сертификата пользовательского ключа доступны к скачиванию на сайтах провайдеров сертификатов. Ссылку на crl файл можно получить, выполнив, c указанием имени пользовательского ключа, команду certmgr из состава CryptoPro CSP 5.0 R2:

/opt/cprocsp/bin/amd64/certmgr -list -container ИДЕНТИФИКАТОР_КЛЮЧА_CryptoPro

.crl файл по ссылке из вывода вышеприведенной команды, необходимо скачать и далее загрузить в систему с помощью команды certmgr из состава CryptoPro CSP 5.0 R2, выполняемой тем же пользователем, под которым работает сервис подписания и верификации сообщений

/opt/cprocsp/bin/amd64/certmgr -install -crl -store uCa -file crl_file.crl

где crl_file.crl - полученный фал со списком revoked certificates.

В случае, если корневой сертификат издателя не является доверенным (пример: подключение к тестовому контуру ПОДД СМЭВ), его необходимо явным образом добавить в список доверенных корневых сертификатов на сервере, используемом для notarius.

Добавление также осуществляется с помощью команды certmgr из состава CryptoPro CSP 5.0 R2, выполняемой тем же пользователем, под которым работает сервис подписания и верификации сообщений.

/opt/cprocsp/bin/amd64/certmgr -install -certificate -store uRoot -file root_cert.crt

где root_cert.crt - корневой сертификат издателя.

Внимание

Certificate Revocation List имеют ограниченный срок действия. Для исключения перебоев в работе системы, необходимо организовать их регулярное обновление в системе, не допуская превышения сроков их жизни!