4. Описание конфигурационных файлов сервиса подписания и верификации сообщений
4.1. Состав и содержание дистрибутивного пакета сервиса подписания и верификации сообщений
Состав дистрибутива:
/distr/appConfig.json– заготовка конфигурационного файла для Потребителя и Поставщика./distr/cert– корневые и промежуточные сертификаты ядра ПОДД, для обеспечения возможности подключения агента к ядру должны быть загружены в систему, см. Загрузка сертификатов и crl
Файл appConfig.json необходимо скопировать в каталог /distr/notarius (либо другой, по выбору пользователя, с соответствующей корректировкой путей в последующих пунктах инструкции)
4.2. Реестр изменений конфигурационного файла
Таблица 4.1 содержит реестр изменений. Фиксация изменений ведется с версии 3.5.4
Версия |
Перечень изменений (относительно предыдущей версии) |
|---|---|
3.8.1 |
изменений нет |
4.3. Общие настройки сервиса подписания и верификации сообщений
Необходимо указать идентификатор ключа (ключей) КриптоПро.
Сервис notarius поддерживает работу одновременно с несколькими Агентами. При использовании сервиса более чем одним Агентом, необходимо перечислить в конфигурационном файле все используемые ими ключи КриптоПро, при этом в конфигурационном файле каждого агента указывается алиас единственного ключа, принадлежащего этому агенту.
{
...
"keys": [
{
"certificate_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 1 КриптоПро ***",
"private_key_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 1 КриптоПро ***",
"private_key_pass": "*** ПАРОЛЬ КЛЮЧА 1 КриптоПро ***"
},
{
"certificate_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 2 КриптоПро ***",
"private_key_alias": "*** ИДЕНТИФИКАТОР КЛЮЧА 2 КриптоПро ***",
"private_key_pass": "*** ПАРОЛЬ КЛЮЧА 2 КриптоПро ***"
}
]
}
4.4. Загрузка сертификатов и crl
Для работы сервиса notarius необходимо наличие в системе:
корневого и промежуточных сертификатов ядра ПОДД, соотвествующего сертификату,используемому в пользовательском ключе (ключах);
загруженных списков Certificate Revocation List (crl), загруженных в хранилище доверенных сертификатов;
загруженного списка Certificate Revocation List (crl), соответсвующих корневому и довернным сертификатам ядра ПОДД
Корневой и промежуточные сертификаты ядра находятся в дистрибутивном пакете конфигурационных файлов сервиса подписания и верификации сообщений, в полкаталоге certs Для их загрузки используется команда certmgr из состава КриптоПро CSP 5.0 R2, выполняемая тем же пользователем, под которым работает сервис подписания и верификации сообщений Ее необходимо выполнить для каждого из находящихся в дистрибутивном пакете файлов сертификата
/opt/cprocsp/bin/amd64/certmgr -install -certificate -store uRoot -file имя_файла.cer
Certificate Revocation List (crl), соответсвующие корневому и довернным сертификатам ядра ПОДД, необходимо скачать по следующим ссылкам:
Скачанные .crl файлы загружаются в систему с помощью с помощью команды certmgr из состава КриптоПро CSP 5.0 R2, выполняемой тем же пользователем, под которым работает сервис подписания и верификации сообщений
/opt/cprocsp/bin/amd64/certmgr -install -crl -store uCa -file имя_файла.crl
Внимание
Необходимо загрузить в систему все упомянутые выше Certificate Revocation List (crl)
Certificate Revocation List (crl) сертификата пользовательского ключа доступны к скачиванию на сайтах провайдеров сертификатов. Ссылку на crl файл можно получить, выполнив, c указанием имени пользовательского ключа, команду certmgr из состава КриптоПро CSP 5.0 R2:
/opt/cprocsp/bin/amd64/certmgr -list -container ИДЕНТИФИКАТОР_КЛЮЧА_КриптоПро
.crl файл по ссылке из вывода вышеприведенной команды, необходимо скачать и далее загрузить в систему с помощью команды certmgr из состава КриптоПро CSP 5.0 R2, выполняемой тем же пользователем, под которым работает сервис подписания и верификации сообщений
/opt/cprocsp/bin/amd64/certmgr -install -crl -store uCa -file crl_file.crl
где crl_file.crl - полученный фал со списком revoked certificates
В случае, если корневой сертификат издателя не является доверенным (пример: подключение к тестовому контуру ПОДД), его необходимо явным образом добавить в список доверенных корневых сертификатов на сервере, используемом для notarius. Добавление также осуществляется с помощью команды certmgr из состава КриптоПро CSP 5.0 R2, выполняемой тем же пользователем, под которым работает сервис подписания и верификации сообщений
/opt/cprocsp/bin/amd64/certmgr -install -certificate -store uRoot -file root_cert.crt
где root_cert.crt - корневой сертификат издателя
Внимание
Certificate Revocation List имеют ограниченный срок действия. Для исключения перебоев в работе системы, необходимо организовать их регулярное обновление в системе, не допуская превышения сроков их жизни!