Инструкция по настройке интеграции с Официальным сайтом РФ для размещения информации об учреждении
-
С использованием защищенного соединения по алгоритмам ГОСТ
Скачать дистрибутив криптопровайдера КриптоПро JCP (http://www.cryptopro.ru/products/csp/jcp) и специального расширения КриптоПро JTLS (http://www.cryptopro.ru/products/csp/jcp/jtls). Версия КриптоПро JCP и КриптоПро JTLS должна быть не ниже 1.0.49. Внимание: требуется лицензия! Срок действия ознакомительной версии 30 дней.
Скачать add-on к JRE “Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy” http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html
Для выполнения последующих шагов инструкции, убедиться, что переменная среды JAVA_HOME установлена и указывает на директорию установки JDK6, используемой для работы сервера приложений «АЦК-Планирование».
Установить add-on к JRE, скачанный в п.2. Для этого распаковать архив, и скопировать 4 файла из него (заменяя существующие) по пути %JAVA_HOME%\jre\lib\security.
P.S.: Если ранее на данном сервере и данной копии JDK производилась установка и настройка ПО Mendelson, то этот security add-on уже должен быть установлен.
В том случае, если на рабочей JRE была установлена более старая версия криптопровайдера КриптоПро JCP (1.0.47 или 1.0.48), ее необходимо деинсталлировать, запустив комманду:
> %путь к старой JCP%\lib\uninstall.bat %JAVA_HOME%\jre
Установить криптопровайдер КриптоПро JCP версии 1.0.49 или выше. Для этого распаковать скачанный в п.1 архив с инсталлятором, и запустить команду:
> %путь к JCP%\lib\install.bat %JAVA_HOME%\jre
P.S.: В процессе установки инсталлятор может отображать некоторые ошибки, однако если установка завершается сообщением:
Установка пакетов завершена успешно.
---- Install finished
---- Script SUCCEEDED
то эти ошибки следует игнорировать – они возникают при установке необязательных компонентов, и на дальнейшую работу не повлияют.
Установить расширение КриптоПро JTLS версии 1.0.49 или выше, для этого распаковать скачанный в п.1 архив с инсталлятором, и запустить команду:
> %путь к JTLS%\lib\%JAVA_HOME%\jre\bin\java -jar cpSSL.jar
Убедиться в корректной установке JCP и JTLS, запустив панель управления командой:
> %путь к JCP%\lib\ControlPane.bat %JAVA_HOME%\jre
В результате должно открыться окно «Настройки КриптоПро JCP», в котором, помимо прочих, должна присутствовать закладка «Сервер JTLS». Появление такого окна является признаком успешной установки JCP/JTLS. На данном этапе никаких дополнительных настроек в «панели управления» производить не требуется.
ВАЖНО: при переустановке JAVA действия 3-7 нужно будет повторить.
-
Далее необходимо получить SSL сертификат (цепочку сертификатов) сайта bus.gov.ru, которые будут использоваться для установления защищенного соединения при передаче данных на ООС. Для этого:
С любой Windows-машины, на которой установлен КриптоПро CSP, c помощью Internet Explorer зайти на страницу https://bus.gov.ru/private
Согласиться с запросом на подтверждение доверия сертификату безопасности для установления защищенного соединения, в случае если он всплывет.
Отыскать в окне IE значок, обозначающий работу в защищенном режиме (обычно в виде желтого «замочка»; в зависимости от версии IE может располагаться либо внизу в статусной строке, либо сверху справа от адресной строки); щелкнуть на него для того чтобы открыть на просмотр сертификат безопасности.
С помощью кнопки «Копировать в файл» в окне просмотра сертификата на вкладке «Состав» произвести экспорт сертификата в файл на диске в «DER-кодировке». В случае, если на закладке «Путь сертификации» при просмотре сертификата присутствуют корневой и/или промежуточные сертификаты, выполнить аналогичным образом экспорт всех сертификатов цепочки.
-
Подготовить контейнер доверенных сертификатов для использования сервером приложений с помощью JCP. Для этого:
Запустить «Панель управления JCP» (см. п.7).
На закладке «Хранилища ключей и сертификатов» в нижнем окне выбрать «Хранилища сертификатов» и нажать кнопку «Найти / Создать».
В появившемся окне указать пусть до файла, в который будет сохранен вновь создаваемый контейнер сертификатов (например, C:\trust.store).
На запрос «Создать новое хранилище» ответить «Да».
Задать пароль к контейнеру (пароль должен быть непустым!)
Не обращать внимания на ошибку, выдаваемую в момент создания хранилища в java-консоли панели управления JCP. Для того, чтобы вновь созданное хранилище отобразилось в списке, необходимо повторно дважды щелкнуть пункт «Хранилища сертификатов».
Открыть вновь созданное хранилище в дереве, дважды щелкнув на его имя и введя пароль.
С помощью кнопки «Добавить» осуществить добавление всех сертификатов, сохраненных в п. 8d, начиная с корневого, в созданное хранилище.
Провести настройку сервера приложений, файл Azk2Server.properties, следующая секция:
# ---------------------------------------------------
# Настройки хранилища ключей доверенных сертификатов
# ---------------------------------------------------
javax.net.ssl.trustStoreType=HDImageStore # всегда такое значение
javax.net.ssl.trustStore=C:\\trust.store # путь к хранилищу, п.9c
javax.net.ssl.trustStorePassword=111 # пароль к хранилищу, п.9e
javax.net.ssl.supportGVO=true # всегда такое значение
В случае необходимости, если доступ в Интернет со стороны сервера приложений осуществляется не напрямую, а через прокси-сервер, произвести настройку прокси-сервера для доступа по протоколу https в соответствующем разделе файла Azk2Server.properties:
# ------------------------------------------------------------
# Настройка прокси для доступа по защищенному протоколу HTTPS
# (как правило, должны задаваться
# те же настройки что и для HTTP)
# ------------------------------------------------------------
https.proxySet=true
https.proxyHost=proxy.bftcom.com
https.proxyPort=8080
https.proxyUser=user
https.proxyPassword=pass
-
С использованием защищенного соединения по алгоритму RSA1
-
При использовании защищенного соединения с ООС по алгоритму RSA, необходимо использовать JDK без установленного на него КриптоПро JCP / JTLS. Для этого
(Предпочтительный вариант) Установить значение системной переменной JAVA_HOME на путь к отдельной инсталляции JDK6, на которую не устанавливалось КриптоПро JCP / JTLS. При этом установка add-on’а к JRE “Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy” по прежнему требуется!
Либо использовать настроенную согласно разделу I JDK, с установленными КриптоПро JCP / JTLS. В этом случае необходимо закомментировать две последние строчки в файле %JAVA_HOME%\jre\lib\security\java.security:
#ssl.SocketFactory.provider=ru.CryptoPro.ssl.SSLSocketFactoryImpl
#ssl.ServerSocketFactory.provider=ru.CryptoPro.ssl.SSLServerSocketFactoryImpl
Загрузить SSL сертификат сайта bus.gov.ru с алгоритмом ключа RSA. Для этого следовать действиям, аналогичным п. 8 раздела I, но вместо Internet Explorer в качестве браузера использовать Google Chrome (при этом наличие КриптоПро CSP не требуется). Нужен только конечный сертификат bus.gov.ru, корневой сертифтикат УЦ ФК загружать не нужно. (Можно использовать уже загруженный сертификат, приложен к инструкции: oos.cer)
-
Добавить загруженный ssl-сертификат в хранилище доверенных сертификатов Java, для этого:
Выполнить в командной строке (cmd.exe) команду
> %JAVA_HOME%\jre\bin\keytool.exe -import -alias oos -keystore %JAVA_HOME%\jre\lib\security\cacerts -file <�путь к файлу сертификата, например C:\oos.cer>
При запросе пароля к хранилищу использовать пароль по умолчанию (если не менялся): changeit
При запросе, доверяете ли вы сертификату, набрать yes
При переустановке JAVA п.3 ч. II необходимо будет повторить
Дополнительные настройки хранилища ключей доверенных сертификатов в Server.properties для данного режима не требуется (если они вносились при настройке согласно п. 11 раздела I, их необходимо закомментировать).
Настройки прокси осуществляются аналогично п. 12 раздела I.
1 Использование соединения по данному алгоритму является альтернативным, не основным вариантом. При его использовании транспорт по доставке сообщений «АЦК-Планирование» может работать нестабильно, время от времени выдавая в системных событиях ошибку javax.net.ssl.SSLException: Server selected disabled ciphersuite SSL_NULL_WITH_NULL_NULL. Ошибка, как правило, исчезает сама через некоторое время.
|
