3. Огляд вебінтерфейсу шлюзу безпечного обміну
- 3.1. Авторизація
- 3.2 Вкладка «Клієнти сервера безпеки»
- 3.3 Вкладка «Параметри системи»
- 3.4. Вкладка «Ключі та сертифікати»
- 3.5. Вкладка «Резервне копіювання та відновлення»
- 3.6. Вкладка «Ліцензія»
- 3.7. Вкладка «Стан системи»
3.1. Авторизація
Для того, щоб авторизуватись у вебінтерфейсі ШБО необхідно перейти за посиланням: https://<Your-security-server-IP>:4000 (де <Your-security-server-IP> – це внутрішня (локальна) IP-адреса шлюзу безпечного обміну), ввести логін і пароль у відповідні поля та натиснути на кнопку «Вхід»:
Після успішної авторизації відкриється вебінтерфейс шлюзу безпечного обміну.
Важливо! Варто звернути увагу на те, що в верхній частині вікна є дві кнопки керування модулем контролю цілісності – «Перевірка цілісності призупинена на ХХ хвилин» та «Оновити ГОСТ-хеш».
Натискання на кнопку «Перевірка цілісності призупинена на ХХ хвилин» відтермінує чергову перевірку гешів на 30 хв. Важливо слідкувати за таймером на даній кнопці, адже несвоєчасне оновлення при наявних змінах налаштувань ШБО призведе до зупинки модуля контролю цілісності та, власне, до зупинки роботи ШБО, відновлення працездатності якого можливе лише Адміністратором локальних компонентів (системним адміністратором).
Натискання на кнопку «Оновити ГОСТ-хеш» запускає позачергове обчислення гешів. Дану дію потрібно обов’язково виконувати після внесення усіх необхідних змін на ШБО, наприклад, після публікації підсистеми та/або сервісу.
3.2 Вкладка «Клієнти сервера безпеки»
«Клієнти сервера безпеки» – основна вкладка інтерфейсу Адміністратора вебсервісів, що відкривається за замовчуванням після авторизації.
На вкладці «Клієнти сервера безпеки» користувач може:
1. Переглянути перелік зареєстрованих на ШБО підсистем та детальну інформацію про них.
2. Додати нових клієнтів шлюзу безпечного обміну – створювати підсистеми шляхом натискання на кнопку «Додати клієнта» (див. розділ 3.1 даної інструкції).
3. Керувати існуючими підсистемами (див. розділ 3.2 даної інструкції).
3.3 Вкладка «Параметри системи»
На вкладці «Параметри системи» користувач може:
1. Переглянути поточний якір глобальної конфігурації.
2. Завантажити поточний якір глобальної конфігурації зі ШБО на власну робочу станцію. Для того, щоб завантажити поточний якір глобальної конфігурації необхідно натиснути на кнопку «Скачати» в області «Якір конфігурації».
3. Оновити файл якоря глобальної конфігурації на ШБО. Для того, щоб завантажити новий файл якоря глобальної конфігурації на ШБО необхідно натиснути на кнопку «Завантажити» в області «Якір конфігурації»:
4. Переглянути додані сервери позначок часу.
5. Додати сервери позначок часу. Для того, щоб додати новий сервер позначок часу необхідно натиснути на кнопку «Додати» в області «Сервіси позначки часу».
6. Видалити неактуальні сервери позначок часу. Для того, щоб видалити неактуальний сервер позначок часу необхідно виділити його (шляхом натискання) та натиснути на кнопку «Видалити» в області «Сервіси позначки часу»:
7. Переглянути інформацію про внутрішній TLS сертифікат ШБО. Для цього необхідно натиснути на кнопку «Інформація про сертифікат» в області «Внутрішній сертифікат TLS».
8. Завантажити внутрішній TLS сертифікат зі ШБО на робочу станцію адміністратора. Для цього необхідно натиснути на кнопку «Експорт» в області «Внутрішній сертифікат TLS».
Примітка. Цей сертифікат використовується при налаштуванні захищеного з’єднання між ШБО та його клієнтами на стороні клієнта.
9. Створити новий внутрішній TLS сертифікат. Для цього необхідно натиснути на кнопку «Створити новий ключ TLS» в області «Внутрішній сертифікат TLS», а у наступному вікні натиснути на кнопку «Підтвердити»:
3.4. Вкладка «Ключі та сертифікати»
На вкладці «Ключі та сертифікати» користувач може:
1. Переглянути завантажені носії особистих ключів, сертифікати аутентифікації, підписання та шифрування, які використовуються на даному ШБО, їх статуси (дійсний чи відключений), термін дії та поточний стан (зареєстровано, в процесі реєстрації, збережено, помилка).
Шлюз безпечного обміну підтримує два типи носіїв особистих ключів:
- апаратний токен, що повинен бути підключений до фізичного обладнання – сервера, який забезпечує функціонування ПЗ шлюзу безпечного обміну. Якщо використовується система віртуалізації на сервері – потрібно налаштувати адресацію фізичного порту, до якого підключений апаратний токен, до віртуальної машини шлюзу безпечного обміну. За дану дію відповідає Адміністратор локальних компонентів (системний адміністратор). Після підключення апаратний токен буде автоматично відображено в вебінтерфейсі ШБО.
- файловий токен, що використовується в тестовому середовищі системи «Трембіта». Файловий токен необхідно попередньо імпортувати на ШБО, користуючись настановами п.11 розділу 2.4 даної інструкції.
Активні (дійсні) токени кольором не відмічені:
Темно-сірим кольором відмічені токени, недоступні на ШБО на даний момент (відключені або ті, в яких не введено PIN-код):
Жовтим кольором відмічені токени, підключені до ШБО на даний момент, але сертифікати з яких не завантажені на ШБО:
2. Увійти до необхідного токену.
Примітка. Дана дія виконується щоразу після запуску, перезавантаження ШБО або підключення чи імпорту нового токену.
Для входу до певного токену необхідно натиснути на кнопку «Введіть PIN-код» напроти нього, а в наступному вікні ввести PIN-код та натиснути на кнопку «ОК».
Важливо! Необхідно звернути увагу на те, що більшість апаратних токенів обмежують кількість неуспішних спроб введення PIN-коду, при перевищенні якої особистий ключ автоматично видаляється з токену.
3. Переглянути детальну інформацію про токен. Для цього необхідно виділити потрібний токен (шляхом натискання), після чого натиснути на кнопку «Подробиці» в нижній частині вікна.
4. Вийти з токену. Для виходу з певного токену необхідно натиснути на кнопку «Вихід» напроти нього.
5. Створити новий ключ аутентифікації.
Примітка. Дана дія виконується вперше на етапі ініціалізації ШБО та в подальшому в процесі експлуатації ШБО, при необхідності створення нового ключа аутентифікації (перевипуску сертифікату аутентифікації).
Для створення ключа аутентифікації необхідно:
- Обрати токен «softToken-0», натиснувши на ньому мишкою.
- Натиснути на кнопку «Генерувати ключ».
- Ввести позначку для ключа аутентифікації. Рекомендовано ввести позначку «authKey».
- Натиснути на кнопку «OK».
6. Створити запит на сертифікат для ключа аутентифікації.
Примітка. Дана дія виконується вперше на етапі ініціалізації ШБО та в подальшому в процесі експлуатації ШБО, при необхідності створення нового ключа аутентифікації (перевипуску сертифікату аутентифікації). Цей запит необхідно подати Адміністратору системи «Трембіта» засобами Особистого кабінету Каталогу системи «Трембіта» в заявці «Видача нового сертифікату аутентифікації».
Для того, щоб створити даний запит необхідно:
- Вибрати ключ аутентифікації (authKey), який було попередньо створено.
- Натиснути на кнопку «Генерувати CSR» в нижній частині вікна – відкриється діалог «Створити запит на підпис сертифіката».
- У діалоговому вікні необхідно встановити наступні значення:
|
Поле |
Значення |
|
Використання (Usage) |
Auth |
|
Сервіс сертифікації (Certification Service) |
Необхідно обрати технологічний центр сертифікації ключів: - для тестового середовища системи: «Trembita CA Diia TEST». - для промислового середовища системи: «Trembita Diia CA» |
|
CSR Format |
PEM |
- Натиснути на кнопку «OK».
- Відобразиться діалог підтвердження з інформацією про шлюз безпечного обміну. Якщо найменування організації у полі «Organization (O)» не відображається – це означає, що організація ще не зареєстрована в Каталозі Учасників системи «Трембіта». В такому разі потрібно звернутися до Адміністратора системи «Трембіта» для уточнення. Якщо всі поля заповнені, необхідно натиснути на кнопку «OK».
- Зберегти файл з розширенням *.pem на робочій станції адміністратора.
7. Імпортувати новий сертифікат аутентифікації на ШБО.
Примітка. Дана дія виконується вперше на етапі ініціалізації ШБО та в подальшому в процесі експлуатації ШБО, при необхідності створення нового ключа аутентифікації (перевипуску сертифікату аутентифікації). Даний сертифікат надається Адміністратором системи «Трембіта» у відповідь на заявку «Видача нового сертифікату аутентифікації» засобами Особистого кабінету Каталогу системи «Трембіта».
Для імпорту сертифікату аутентифікації необхідно:
- Завантажити з Особистого кабінету Каталогу системи «Трембіта» сертифікат аутентифікації.
- Натиснути на кнопку «Імпорт сертифікату» в нижній частині вікна.
- В діалоговому вікні «Імпорт сертифікату» натиснути на кнопку «Переглянути».
- Обрати виданий сертифікат аутентифікації та натиснути на кнопку «OK».
- Після цього буде відображено інформацію про доданий сертифікат під ключем аутентифікації.
8. Зареєструвати сертифікат аутентифікації.
Примітка. Дана дія виконується при ініціалізації ШБО або при створенні нового (перевипуску) сертифіката аутентифікації.
Для реєстрації сертифікату аутентифікації необхідно виділити його (шляхом натискання на відповідний рядок під відповідним ключем з позначкою «auth», з числовим серійним номером) і натиснути на кнопку «Зареєструвати» в нижній частині вікна.
Після натискання на кнопку відкриється діалог «Запит на реєстрацію», в якому необхідно вказати загальнодоступну (публічну/білу) IP-адресу ШБО або відповідне DNS-ім’я та натиснути на кнопку «OK».
9. Скасувати реєстрацію сертифікату аутентифікації. Для скасування реєстрації сертифікату необхідно виділити його (шляхом натискання) і натиснути на кнопку «Скасувати реєстрацію» в нижній частині вікна, після чого – натиснути на кнопку «Підтвердити» в наступному діалоговому вікні.
10. Видалити ключ аутентифікації. Для цього необхідно виділити ключ аутентифікації, який треба видалити (шляхом натискання) та натиснути на кнопку «Видалити» в нижній частині вікна.
Примітка. Дана дія виконується при необхідності перевипуску ключа аутентифікації.
11. Додати нові файлові токени.
Примітка. Файлові токени використовуються в тестовому середовищі системи «Трембіта». Додавання файлових токенів здійснюється при ініціалізації ШБО або при необхідності заміни (перевипуску) особистого ключа.
Примітка. Перед додаванням токену необхідно помістити файл особистого ключа (зазвичай, це Key-6.dat) та обидва сертифікати (печатки та шифрування) у ZIP-архів, без вкладення файлів у директорію. Зазначені файли повинні мати у найменуванні лише латинські літери та цифри, а файли сертифікатів повинні мати розширення *.CER.
Для того, щоб додати файловий токен необхідно:
- Натиснути на кнопку «Додати файл токену» в нижній частині вікна.
- У діалоговому вікні «Додати файл токену» обрати значення параметру «Тип файлу токена» – DSTU4145 Token (ZIP containing Key-6.dat and DER-encoded certificates).
- У поле «ID файлу токена» ввести зрозумілий ідентифікатор, наприклад, uaToken.
- Натиснути на кнопку «Переглянути» та обрати з файлової системи робочої станції адміністратора ZIP-архів з ключем та сертифікатами.
- Ввести коректний PIN-код особистого ключа, що знаходиться у файлі ZIP-архіву, у поле PIN та натиснути на кнопку «ОК».
Після виконання зазначених вище дій необхідно імпортувати ключі електронної печатки та шифрування на ШБО. Для цього треба натиснути на кнопку «Імпортувати» праворуч від доданих ключів.
12. Зареєструвати сертифікат шифрування.
Для реєстрації сертифікату шифрування необхідно виділити його (шляхом натискання на відповідний рядок під відповідним ключем з позначкою «encr», з числовим серійним номером) і натиснути на кнопку «Зареєструвати» в нижній частині вікна.
Після натискання на кнопку буде відображено повідомлення зеленого кольору про те, що запит надіслано успішно.
Після подачі заявки засобами ШБО, необхідно подати заявку на реєстрацію шлюзу безпечного обміну засобами Особистого кабінету Каталогу системи «Трембіта» (Реєстрація ШБО в ядрі системи). Порядок подання зазначеної заявки вказаний п. 7.3.4 Регламенту роботи системи «Трембіта».
Адміністратор системи «Трембіта» повинен обробити дану заявку та підтвердити запит. Коли запит на реєстрацію буде схвалено, статус сертифікату шифрування зміниться на «Зареєстровано».
13. Скасувати реєстрацію сертифікату шифрування. Для скасування реєстрації сертифікату шифрування необхідно виділити його (шляхом натискання) і натиснути на кнопку «Скасувати реєстрацію» в нижній частині вікна, після чого – натиснути на кнопку «Підтвердити» в наступному вікні.
14. Відключити токени (або окремі сертифікати). Для того, щоб відключити токен або окремий сертифікат необхідно виділити його (шляхом натискання) та натиснути на кнопку «Відключити» в нижній частині вікна. Після цього в колонці «OSCP відповідь» навпроти цього токену або окремого сертифікату з’явиться позначка «Відключений».
3.5. Вкладка «Резервне копіювання та відновлення»
На вкладці «Резервне копіювання та відновлення» користувач може:
1. Переглянути наявні файли резервних копій конфігурації ШБО.
2. Створити файли резервної копії конфігурації ШБО. Для цього необхідно натиснути на кнопку «Резервне копіювання конфігурації» в верхній частині вікна. Файл конфігурації буде автоматично збережено в файловій системі ШБО, він з’явиться в переліку наявних файлів резервних копій.
3. Скачати попередньо створені файли резервної копії конфігурації з ШБО на робочу станцію адміністратора. Для цього необхідно натиснути на кнопку «Скачати» в області переліку файлів резервних копій конфігурації напроти відповідного файлу.
Примітка. Для гарантованої можливості відновлення працездатності ШБО файли резервних копій рекомендується зберігати не у файловій системі ШБО, а окремо, наприклад, на робочій станції адміністратора або на зовнішньому носії.
4. Завантажити попередньо збережені файли резервної копії конфігурації з робочої станції адміністратора на ШБО. Для цього необхідно натиснути на кнопку «Завантаження файла резервної копії» в верхній частині вікна, а в наступному вікні обрати відповідний файл резервної копії та натиснути на кнопку «ОК».
5. Відновити конфігурацію ШБО з обраного файлу резервної копії. Для цього необхідно натиснути на кнопку «Відновити» в області переліку файлів резервних копій конфігурації напроти відповідного файлу.
6. Видалити неактуальні файли резервної копії конфігурації. Для цього необхідно натиснути на кнопку «Видалити» в області переліку файлів резервних копій конфігурації напроти відповідного файлу, а в наступному вікні натиснути на кнопку «Підтвердити».
3.6. Вкладка «Ліцензія»
На вкладці «Ліцензія» користувач може:
1. Переглянути інформацію про поточний файл ліцензії ШБО.
2. Завантажити новий файл ліцензії на ШБО. Для цього необхідно натиснути на кнопку «Завантажити ліцензію», а в наступному вікні натиснути на кнопку «Переглянути», обрати файл ліцензії та натиснути на кнопку «ОК».
Примітка. Файл ліцензії можна знайти в Особистому кабінеті Каталогу системи «Трембіта» в розділі «Адміністрування» на вкладці «Матеріали».
3.7. Вкладка «Стан системи»
На вкладці «Стан системи» користувач може переглянути:
1. Інформацію про віртуальну машину, на якій інстальовано даний ШБО.
2. Інформацію про встановлені пакети та їх версії.
3. Поточний статус виконання сервісів.
Примітка. Колір параметрів, отриманих системою моніторингу залежить від часу, який пройшов від останнього отримання значення параметру. Чорним кольором позначаються параметри, значення яких було отримано менш ніж 3 хвилини тому, жовтим - параметри, значення яких було отримано менш ніж 10 хвилин тому, червоним - параметри, значення яких було отримано більше 10 хвилин тому, або система моніторингу недоступна.
4. Статистику запитів. Для цього необхідно перейти на підвкладку «Статистика запитів».
5. Інформацію про валідність глобальної конфігурації. Для цього необхідно перейти на підвкладку «Інформація про UXP-екземпляри».
