Інструкція користувача шлюзу безпечного обміну з роллю «Адміністратор вебсервісів»

1. Перелік термінів та умовних позначень
2. Передмова
3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.1. Авторизація
3.2 Вкладка «Клієнти сервера безпеки»
3.3 Вкладка «Параметри системи»
3.4. Вкладка «Ключі та сертифікати»
3.5. Вкладка «Резервне копіювання та відновлення»
3.6. Вкладка «Ліцензія»
3.7. Вкладка «Стан системи»

4. Керування підсистемами

4.1. Створення підсистеми
4.2. Керування підсистемами

5. Керування сервісами на шлюзі безпечного обміну

5.1. Керування SOAP-сервісами
5.2. Керування REST-сервісами

1. Перелік термінів та умовних позначень

Термін	Пояснення
Адміністратор системи «Трембіта»	Державне підприємство «Дія» (визначено постановою від 8 вересня 2016 р. № 606 «Деякі питання електронної взаємодії державних електронних інформаційних ресурсів»)
(Д)ЕІР	(Державний) електронний інформаційний ресурс
Каталог системи «Трембіта»	Програмний комплекс, який забезпечує накопичення, облік та відображення інформації про учасників системи електронної взаємодії державних електронних інформаційних ресурсів «Трембіта», суб’єктів електронної взаємодії, операторів, електронні інформаційні ресурси, програмні інтерфейси електронних інформаційних ресурсів, сервіси та електронні інформаційні взаємодії
Локальний компонент Підсистеми моніторингу доступу до персональних даних (Локальний компонент ПМДПД, ЛК ПМДПД)	Програмний комплекс, що встановлюється учасником системи електронної взаємодії державних електронних інформаційних ресурсів «Трембіта» в інформаційно-комунікаційній системі з електронним інформаційним ресурсом суб’єкта електронної взаємодії між веб-сервісом та шлюзом безпечного обміну та забезпечує автоматичне збереження відомостей про факти передачі персональних даних у рамках електронної інформаційної взаємодії через систему електронної взаємодії державних електронних інформаційних ресурсів «Трембіта», їх накопичення та передачу до ядра підсистеми моніторингу доступу до персональних даних
ПЗ	Програмне забезпечення
Підсистема моніторингу доступу до персональних даних (ПМДПД)	Складова частина системи електронної взаємодії державних електронних інформаційних ресурсів «Трембіта», призначена для збереження відомостей про факти передачі суб’єктами електронної взаємодії персональних даних, їх накопичення та забезпечення інформування суб’єктів персональних даних про факти такої передачі
Система електронної взаємодії державних електронних інформаційних ресурсів (система «Трембіта»)	Інформаційно-телекомунікаційна система, призначена для автоматизації та технологічного забезпечення обміну електронними даними між Суб’єктами електронної взаємодії з електронних інформаційних ресурсів під час надання адміністративних послуг та здійснення інших повноважень відповідно до покладених на них завдань
Суб’єкт електронної взаємодії	Власник (держатель) електронного інформаційного ресурсу, який уклав договір про приєднання до системи «Трембіта» та забезпечує електронну інформаційну взаємодію з іншими суб’єктами електронної взаємодії через систему «Трембіта» та може розміщувати сервіси та підсистеми на шлюзах безпечного обміну учасників системи «Трембіта». Суб’єкти електронної взаємодії можуть бути постачальниками та/або отримувачами реєстрової інформації. На одному ШБО Учасника може бути опубліковано інтерфейси прикладного програмування та/або вебклієнти не більше, ніж одного Суб’єкта електронної взаємодії
Учасник	Суб’єкт владних повноважень, суб’єкт господарювання, який уклав договір про приєднання до системи «Трембіта»
Шлюз безпечного обміну (ШБО)	Сервер, на який встановлено програмне забезпечення UXP Security Server
IDEF0	Нотація графічного моделювання, що використовується для створення функціональної моделі, яка відображає структуру і функції системи, а також потоки інформації і матеріальних об'єктів, що зв'язують ці функції

2. Передмова

Шлюз безпечного обміну – це компонент системи «Трембіта», який з’єднує підсистеми учасника з інфраструктурою системи «Трембіта». Він призначений для публікації вебсервісів (розроблених за технологіями SOAP та REST), контролює доступ до них, забезпечує цілісність і конфіденційність обміну даними шляхом накладання електронної печатки та шифрування повідомлень, а також накопичує відомості про факти обміну електронними повідомленнями.

Вебінтерфейс ШБО передбачає дві ролі користувачів:

- Адміністратор вебсервісів – користувач, який має право на адміністрування прикладного програмного забезпечення шлюзу безпечного обміну через відповідний вебінтерфейс.

- Відповідальний за управління ключами – користувач, який має право на керування кваліфікованими електронними печатками власної організації через відповідний вебінтерфейс.

Дана інструкція описує можливості користувача з роллю Адміністратор вебсервісів.

Важливо! Для виконання настанов даної інструкції Учаснику необхідно мати встановлений та сконфігурований ШБО згідно Інструкції зі встановлення локальних компонентів системи «Трембіта» у відповідному середовищі.

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.1. Авторизація

Для того, щоб авторизуватись у вебінтерфейсі ШБО необхідно перейти за посиланням: https://<Your-security-server-IP>:4000 (де <Your-security-server-IP> – це внутрішня (локальна) IP-адреса шлюзу безпечного обміну), ввести логін і пароль у відповідні поля та натиснути на кнопку «Вхід»:

Після успішної авторизації відкриється вебінтерфейс шлюзу безпечного обміну.

Важливо! Варто звернути увагу на те, що в верхній частині вікна є дві кнопки керування модулем контролю цілісності – «Перевірка цілісності призупинена на ХХ хвилин» та «Оновити ГОСТ-хеш».

Натискання на кнопку «Перевірка цілісності призупинена на ХХ хвилин» відтермінує чергову перевірку гешів на 30 хв. Важливо слідкувати за таймером на даній кнопці, адже несвоєчасне оновлення при наявних змінах налаштувань ШБО призведе до зупинки модуля контролю цілісності та, власне, до зупинки роботи ШБО, відновлення працездатності якого можливе лише Адміністратором локальних компонентів (системним адміністратором).

Натискання на кнопку «Оновити ГОСТ-хеш» запускає позачергове обчислення гешів. Дану дію потрібно обов’язково виконувати після внесення усіх необхідних змін на ШБО, наприклад, після публікації підсистеми та/або сервісу.

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.2 Вкладка «Клієнти сервера безпеки»

«Клієнти сервера безпеки» – основна вкладка інтерфейсу Адміністратора вебсервісів, що відкривається за замовчуванням після авторизації.

На вкладці «Клієнти сервера безпеки» користувач може:

1. Переглянути перелік зареєстрованих на ШБО підсистем та детальну інформацію про них.

2. Додати нових клієнтів шлюзу безпечного обміну – створювати підсистеми шляхом натискання на кнопку «Додати клієнта» (див. розділ 3.1 даної інструкції).

3. Керувати існуючими підсистемами (див. розділ 3.2 даної інструкції).

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.3 Вкладка «Параметри системи»

На вкладці «Параметри системи» користувач може:

1. Переглянути поточний якір глобальної конфігурації.

2. Завантажити поточний якір глобальної конфігурації зі ШБО на власну робочу станцію. Для того, щоб завантажити поточний якір глобальної конфігурації необхідно натиснути на кнопку «Скачати» в області «Якір конфігурації».

3. Оновити файл якоря глобальної конфігурації на ШБО. Для того, щоб завантажити новий файл якоря глобальної конфігурації на ШБО необхідно натиснути на кнопку «Завантажити» в області «Якір конфігурації»:

4. Переглянути додані сервери позначок часу.

5. Додати сервери позначок часу. Для того, щоб додати новий сервер позначок часу необхідно натиснути на кнопку «Додати» в області «Сервіси позначки часу».

6. Видалити неактуальні сервери позначок часу. Для того, щоб видалити неактуальний сервер позначок часу необхідно виділити його (шляхом натискання) та натиснути на кнопку «Видалити» в області «Сервіси позначки часу»:

7. Переглянути інформацію про внутрішній TLS сертифікат ШБО. Для цього необхідно натиснути на кнопку «Інформація про сертифікат» в області «Внутрішній сертифікат TLS».

8. Завантажити внутрішній TLS сертифікат зі ШБО на робочу станцію адміністратора. Для цього необхідно натиснути на кнопку «Експорт» в області «Внутрішній сертифікат TLS».

Примітка. Цей сертифікат використовується при налаштуванні захищеного з’єднання між ШБО та його клієнтами на стороні клієнта.

9. Створити новий внутрішній TLS сертифікат. Для цього необхідно натиснути на кнопку «Створити новий ключ TLS» в області «Внутрішній сертифікат TLS», а у наступному вікні натиснути на кнопку «Підтвердити»:

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.4. Вкладка «Ключі та сертифікати»

На вкладці «Ключі та сертифікати» користувач може:

1. Переглянути завантажені носії особистих ключів, сертифікати аутентифікації, підписання та шифрування, які використовуються на даному ШБО, їх статуси (дійсний чи відключений), термін дії та поточний стан (зареєстровано, в процесі реєстрації, збережено, помилка).

Шлюз безпечного обміну підтримує два типи носіїв особистих ключів:

- апаратний токен, що повинен бути підключений до фізичного обладнання – сервера, який забезпечує функціонування ПЗ шлюзу безпечного обміну. Якщо використовується система віртуалізації на сервері – потрібно налаштувати адресацію фізичного порту, до якого підключений апаратний токен, до віртуальної машини шлюзу безпечного обміну. За дану дію відповідає Адміністратор локальних компонентів (системний адміністратор). Після підключення апаратний токен буде автоматично відображено в вебінтерфейсі ШБО.

- файловий токен, що використовується в тестовому середовищі системи «Трембіта». Файловий токен необхідно попередньо імпортувати на ШБО, користуючись настановами п.11 розділу 2.4 даної інструкції.

Активні (дійсні) токени кольором не відмічені:

Темно-сірим кольором відмічені токени, недоступні на ШБО на даний момент (відключені або ті, в яких не введено PIN-код):

Жовтим кольором відмічені токени, підключені до ШБО на даний момент, але сертифікати з яких не завантажені на ШБО:

2. Увійти до необхідного токену.

Примітка. Дана дія виконується щоразу після запуску, перезавантаження ШБО або підключення чи імпорту нового токену.

Для входу до певного токену необхідно натиснути на кнопку «Введіть PIN-код» напроти нього, а в наступному вікні ввести PIN-код та натиснути на кнопку «ОК».

Важливо! Необхідно звернути увагу на те, що більшість апаратних токенів обмежують кількість неуспішних спроб введення PIN-коду, при перевищенні якої особистий ключ автоматично видаляється з токену.

3. Переглянути детальну інформацію про токен. Для цього необхідно виділити потрібний токен (шляхом натискання), після чого натиснути на кнопку «Подробиці» в нижній частині вікна.

4. Вийти з токену. Для виходу з певного токену необхідно натиснути на кнопку «Вихід» напроти нього.

5. Створити новий ключ аутентифікації.

Для створення ключа аутентифікації необхідно:

- Обрати токен «softToken-0», натиснувши на ньому мишкою.

- Натиснути на кнопку «Генерувати ключ».

- Ввести позначку для ключа аутентифікації. Рекомендовано ввести позначку «authKey».

- Натиснути на кнопку «OK».

6. Створити запит на сертифікат для ключа аутентифікації.

Примітка. Дана дія виконується вперше на етапі ініціалізації ШБО та в подальшому в процесі експлуатації ШБО, при необхідності створення нового ключа аутентифікації (перевипуску сертифікату аутентифікації). Цей запит необхідно подати Адміністратору системи «Трембіта» засобами Особистого кабінету Каталогу системи «Трембіта» в заявці «Видача нового сертифікату аутентифікації».

Для того, щоб створити даний запит необхідно:

- Вибрати ключ аутентифікації (authKey), який було попередньо створено.

- Натиснути на кнопку «Генерувати CSR» в нижній частині вікна – відкриється діалог «Створити запит на підпис сертифіката».

- У діалоговому вікні необхідно встановити наступні значення:

Поле	Значення
Використання (Usage)	Auth
Сервіс сертифікації (Certification Service)	Необхідно обрати технологічний центр сертифікації ключів: - для тестового середовища системи: «Trembita CA Diia TEST». - для промислового середовища системи: «Trembita Diia CA»
CSR Format	PEM

- Натиснути на кнопку «OK».

- Відобразиться діалог підтвердження з інформацією про шлюз безпечного обміну. Якщо найменування організації у полі «Organization (O)» не відображається – це означає, що організація ще не зареєстрована в Каталозі Учасників системи «Трембіта». В такому разі потрібно звернутися до Адміністратора системи «Трембіта» для уточнення. Якщо всі поля заповнені, необхідно натиснути на кнопку «OK».

- Зберегти файл з розширенням *.pem на робочій станції адміністратора.

7. Імпортувати новий сертифікат аутентифікації на ШБО.

Примітка. Дана дія виконується вперше на етапі ініціалізації ШБО та в подальшому в процесі експлуатації ШБО, при необхідності створення нового ключа аутентифікації (перевипуску сертифікату аутентифікації). Даний сертифікат надається Адміністратором системи «Трембіта» у відповідь на заявку «Видача нового сертифікату аутентифікації» засобами Особистого кабінету Каталогу системи «Трембіта».

Для імпорту сертифікату аутентифікації необхідно:

- Завантажити з Особистого кабінету Каталогу системи «Трембіта» сертифікат аутентифікації.

- Натиснути на кнопку «Імпорт сертифікату» в нижній частині вікна.

- В діалоговому вікні «Імпорт сертифікату» натиснути на кнопку «Переглянути».

- Обрати виданий сертифікат аутентифікації та натиснути на кнопку «OK».

- Після цього буде відображено інформацію про доданий сертифікат під ключем аутентифікації.

8. Зареєструвати сертифікат аутентифікації.

Примітка. Дана дія виконується при ініціалізації ШБО або при створенні нового (перевипуску) сертифіката аутентифікації.

Для реєстрації сертифікату аутентифікації необхідно виділити його (шляхом натискання на відповідний рядок під відповідним ключем з позначкою «auth», з числовим серійним номером) і натиснути на кнопку «Зареєструвати» в нижній частині вікна.

Після натискання на кнопку відкриється діалог «Запит на реєстрацію», в якому необхідно вказати загальнодоступну (публічну/білу) IP-адресу ШБО або відповідне DNS-ім’я та натиснути на кнопку «OK».

9. Скасувати реєстрацію сертифікату аутентифікації. Для скасування реєстрації сертифікату необхідно виділити його (шляхом натискання) і натиснути на кнопку «Скасувати реєстрацію» в нижній частині вікна, після чого – натиснути на кнопку «Підтвердити» в наступному діалоговому вікні.

10. Видалити ключ аутентифікації. Для цього необхідно виділити ключ аутентифікації, який треба видалити (шляхом натискання) та натиснути на кнопку «Видалити» в нижній частині вікна.

Примітка. Дана дія виконується при необхідності перевипуску ключа аутентифікації.

11. Додати нові файлові токени.

Примітка. Файлові токени використовуються в тестовому середовищі системи «Трембіта». Додавання файлових токенів здійснюється при ініціалізації ШБО або при необхідності заміни (перевипуску) особистого ключа.

Примітка. Перед додаванням токену необхідно помістити файл особистого ключа (зазвичай, це Key-6.dat) та обидва сертифікати (печатки та шифрування) у ZIP-архів, без вкладення файлів у директорію. Зазначені файли повинні мати у найменуванні лише латинські літери та цифри, а файли сертифікатів повинні мати розширення *.CER.

Для того, щоб додати файловий токен необхідно:

- Натиснути на кнопку «Додати файл токену» в нижній частині вікна.

- У діалоговому вікні «Додати файл токену» обрати значення параметру «Тип файлу токена» – DSTU4145 Token (ZIP containing Key-6.dat and DER-encoded certificates).

- У поле «ID файлу токена» ввести зрозумілий ідентифікатор, наприклад, uaToken.

- Натиснути на кнопку «Переглянути» та обрати з файлової системи робочої станції адміністратора ZIP-архів з ключем та сертифікатами.

- Ввести коректний PIN-код особистого ключа, що знаходиться у файлі ZIP-архіву, у поле PIN та натиснути на кнопку «ОК».

Після виконання зазначених вище дій необхідно імпортувати ключі електронної печатки та шифрування на ШБО. Для цього треба натиснути на кнопку «Імпортувати» праворуч від доданих ключів.

12. Зареєструвати сертифікат шифрування.

Для реєстрації сертифікату шифрування необхідно виділити його (шляхом натискання на відповідний рядок під відповідним ключем з позначкою «encr», з числовим серійним номером) і натиснути на кнопку «Зареєструвати» в нижній частині вікна.

Після натискання на кнопку буде відображено повідомлення зеленого кольору про те, що запит надіслано успішно.

Після подачі заявки засобами ШБО, необхідно подати заявку на реєстрацію шлюзу безпечного обміну засобами Особистого кабінету Каталогу системи «Трембіта» (Реєстрація ШБО в ядрі системи). Порядок подання зазначеної заявки вказаний п. 7.3.4 Регламенту роботи системи «Трембіта».

Адміністратор системи «Трембіта» повинен обробити дану заявку та підтвердити запит. Коли запит на реєстрацію буде схвалено, статус сертифікату шифрування зміниться на «Зареєстровано».

13. Скасувати реєстрацію сертифікату шифрування. Для скасування реєстрації сертифікату шифрування необхідно виділити його (шляхом натискання) і натиснути на кнопку «Скасувати реєстрацію» в нижній частині вікна, після чого – натиснути на кнопку «Підтвердити» в наступному вікні.

14. Відключити токени (або окремі сертифікати). Для того, щоб відключити токен або окремий сертифікат необхідно виділити його (шляхом натискання) та натиснути на кнопку «Відключити» в нижній частині вікна. Після цього в колонці «OSCP відповідь» навпроти цього токену або окремого сертифікату з’явиться позначка «Відключений».

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.5. Вкладка «Резервне копіювання та відновлення»

На вкладці «Резервне копіювання та відновлення» користувач може:

1. Переглянути наявні файли резервних копій конфігурації ШБО.

2. Створити файли резервної копії конфігурації ШБО. Для цього необхідно натиснути на кнопку «Резервне копіювання конфігурації» в верхній частині вікна. Файл конфігурації буде автоматично збережено в файловій системі ШБО, він з’явиться в переліку наявних файлів резервних копій.

3. Скачати попередньо створені файли резервної копії конфігурації з ШБО на робочу станцію адміністратора. Для цього необхідно натиснути на кнопку «Скачати» в області переліку файлів резервних копій конфігурації напроти відповідного файлу.

Примітка. Для гарантованої можливості відновлення працездатності ШБО файли резервних копій рекомендується зберігати не у файловій системі ШБО, а окремо, наприклад, на робочій станції адміністратора або на зовнішньому носії.

4. Завантажити попередньо збережені файли резервної копії конфігурації з робочої станції адміністратора на ШБО. Для цього необхідно натиснути на кнопку «Завантаження файла резервної копії» в верхній частині вікна, а в наступному вікні обрати відповідний файл резервної копії та натиснути на кнопку «ОК».

5. Відновити конфігурацію ШБО з обраного файлу резервної копії. Для цього необхідно натиснути на кнопку «Відновити» в області переліку файлів резервних копій конфігурації напроти відповідного файлу.

6. Видалити неактуальні файли резервної копії конфігурації. Для цього необхідно натиснути на кнопку «Видалити» в області переліку файлів резервних копій конфігурації напроти відповідного файлу, а в наступному вікні натиснути на кнопку «Підтвердити».

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.6. Вкладка «Ліцензія»

На вкладці «Ліцензія» користувач може:

1. Переглянути інформацію про поточний файл ліцензії ШБО.

2. Завантажити новий файл ліцензії на ШБО. Для цього необхідно натиснути на кнопку «Завантажити ліцензію», а в наступному вікні натиснути на кнопку «Переглянути», обрати файл ліцензії та натиснути на кнопку «ОК».

Примітка. Файл ліцензії можна знайти в Особистому кабінеті Каталогу системи «Трембіта» в розділі «Адміністрування» на вкладці «Матеріали».

3. Огляд вебінтерфейсу шлюзу безпечного обміну

3.7. Вкладка «Стан системи»

На вкладці «Стан системи» користувач може переглянути:

1. Інформацію про віртуальну машину, на якій інстальовано даний ШБО.

2. Інформацію про встановлені пакети та їх версії.

3. Поточний статус виконання сервісів.

Примітка. Колір параметрів, отриманих системою моніторингу залежить від часу, який пройшов від останнього отримання значення параметру. Чорним кольором позначаються параметри, значення яких було отримано менш ніж 3 хвилини тому, жовтим - параметри, значення яких було отримано менш ніж 10 хвилин тому, червоним - параметри, значення яких було отримано більше 10 хвилин тому, або система моніторингу недоступна.

4. Статистику запитів. Для цього необхідно перейти на підвкладку «Статистика запитів».

5. Інформацію про валідність глобальної конфігурації. Для цього необхідно перейти на підвкладку «Інформація про UXP-екземпляри».

4. Керування підсистемами

4.1. Створення підсистеми

Щоб надавати сервіси або робити запити до інших сервісів через систему «Трембіта» на шлюзі безпечного обміну Адміністратор вебсервісів повинен створити та зареєструвати принаймні одну підсистему, яка представлятиме реальну інформаційну систему Суб’єкта електронної взаємодії у відповідному середовищі системи «Трембіта».

Для реєстрації підсистем у вебінтерфейсі шлюзу безпечного обміну необхідно виконати наступні дії:

- Обрати розділ «Клієнти сервера безпеки» та натиснути на кнопку «Додати клієнта».

- Обрати «Клас Учасника» – GOV.

- Ввести в поле «Код Учасника» код ЄДРПОУ організації, яка є власником інформаційної системи (Суб’єкта електронної взаємодії).

Примітка. Також власника інформаційної системи (Суб’єкта електронної взаємодії) можна додати шляхом вибору його з глобального списку, натиснувши на відповідну кнопку у інтерфейсі.

- Ввести назву підсистеми (правила іменування зазначені у підрозділі 6.3 Регламенту роботи системи «Трембіта»).

- Натиснути послідовно на кнопки «OK» і «Підтвердити».

Якщо попередні кроки виконані успішно, буде виведено повідомлення зеленого кольору про успішність відправлення запиту. Запит шлюзу безпечного обміну буде переданий на сервер Каталогу Учасників системи «Трембіта».

Після цього необхідно подати заявку на реєстрацію підсистеми та прив’язку її до конкретного ШБО засобами Особистого кабінету Каталогу системи «Трембіта» (заявка «Реєстрація підсистеми на ШБО»). Порядок подання зазначеної заявки відповідно до п. 7.5.2 Регламенту роботи системи «Трембіта».

Після виконання Адміністратором системи «Трембіта» заявки з’явиться зелена позначка навпроти підсистеми у вебінтерфейсі та буде забезпечено можливість використання відповідного середовища системи «Трембіта»:

Якщо біля підсистеми відображено позначку помаранчевого кільця без заповнення – це означає, що запит на реєстрацію підсистеми не було надіслано:

Цей запит необхідно надіслати, зайшовши на вкладку «Подробиці» відповідної підсистеми та натиснувши на кнопку «Зареєструвати».

Якщо біля підсистеми відображено позначку помаранчевого кольору – це означає, що запит було успішно надіслано і наразі підсистема має бути зареєстрована Адміністратором системи «Трембіта»:

Примітка. На вкладці «Клієнти сервера безпеки» у першому рядку (жирним шрифтом) зазначено назву організації. Зелена позначка в цьому рядку свідчить про успішну реєстрацію організації та її сертифікатів в системі «Трембіта» і не має відношення до підсистем.

4. Керування підсистемами

4.2. Керування підсистемами

Керування підсистемами здійснюється за допомогою кнопок, які розташовані праворуч від переліку підсистем або за допомогою навігації вкладками після подвійного натискання мишкою на необхідній підсистемі.

4.2.1. Вкладка «Подробиці»

При переході на вкладку «Подробиці» – « » буде відображено детальну інформацію про дану підсистему.

На даній вкладці користувач може:

1. Надіслати запит на реєстрацію підсистеми шляхом натискання на кнопку «Зареєструвати» у верхній частині вікна.

Примітка. Якщо підсистема вже зареєстрована, дана кнопка неактивна (сірого кольору).

2. Видалити ще не зареєстровану підсистему шляхом натискання на кнопку «Видалити» у верхній частині вікна.

Примітка. Якщо підсистема вже зареєстрована, замість даної кнопки буде відображено кнопку «Скасувати реєстрацію».

3. Скасувати реєстрацію вже зареєстрованої підсистеми шляхом натискання на кнопку «Скасувати реєстрацію» у верхній частині вікна.

Для скасування реєстрації підсистеми, після відправки відповідного запиту засобами ШБО, необхідно також подати заявку на відкріплення її від конкретного ШБО засобами Особистого кабінету Каталогу системи «Трембіта» (заявка «Відкріплення підсистеми від ШБО»). Порядок подання зазначеної заявки зазначено в п. 7.5.3 Регламенту роботи системи «Трембіта».

4. Переглянути інформацію про підсистему – ім’я, клас та код Учасника, а також код підсистеми.

5. Переглянути усі сертифікати підпису, які відносяться до даної підсистеми, ким видані, серійний номер, стан та термін дії.

4.2.2. Вкладка «Клієнти сервісу»

При переході на вкладку «Клієнти сервісу» – «» буде відображено перелік усіх Суб’єктів електронної взаємодії, яким надано доступ до сервісів, що опубліковані на даній підсистемі.

На даній вкладці користувач може:

1. Переглянути перелік усіх Суб’єктів електронної взаємодії, яким надано доступ до сервісів, що опубліковані на даній підсистемі.

2. Надавати доступ новим Суб’єктам електронної взаємодії. Для цього необхідно натиснути на кнопку «Додати» в верхній частині вікна. Детальніше процес надання доступу до сервісів наведено в розділах 4.1.2 та 4.2.2 даної інструкції.

3. Змінювати права доступу для конкретного Суб’єкта електронної взаємодії. Для цього необхідно натиснути на кнопку «Права доступу» в верхній частині вікна, після чого відкриється вікно з переліком сервісів, доступ до яких надано певному Суб’єкту електронної взаємодії.

- Для того, щоб надати Суб’єкту електронної взаємодії доступ до існуючого сервісу необхідно натиснути на кнопку «Додати сервіси» в нижній частині вікна.

- Для того, щоб забрати в Суб’єкта електронної взаємодії права доступу до окремого сервісу, необхідно виділити необхідний сервіс (шляхом натискання) та натиснути на кнопку «Видалити обране» в нижній частині вікна. Після цього відкриється вікно підтвердження видалення, в якому необхідно підтвердити дію, натиснувши на відповідну кнопку.

- Для того, щоб забрати в Суб’єкта електронної взаємодії права доступу до всіх сервісів даної підсистеми, необхідно натиснути на кнопку «Видалити усе» в нижній частині вікна. Після цього відкриється вікно підтвердження видалення, в якому необхідно підтвердити дію, натиснувши на відповідну кнопку.

4.2.3. Вкладка «Сервіси SOAP»

При переході на вкладку «Сервіси SOAP» – «» буде відображено перелік усіх SOAP-сервісів, що опубліковані на даній підсистемі. Детальну інформацію про керування SOAP-сервісами наведено в розділі 4.1.

4.2.4. Вкладка «REST APIs»

При переході на вкладку «REST APIs» – «» буде відображено перелік усіх REST-сервісів, що опубліковані на даній підсистемі. Детальну інформацію про керування REST-сервісами наведено в розділі 4.2.

4.2.5. Вкладка «Внутрішні сервери»

При переході на вкладку «Внутрішні сервери» – «» користувач може:

1. Обрати тип підключення вебклієнтів, що представляють дану підсистему, до ШБО з метою надсилання запитів до сервісів через цей ШБО. Доступні три варіанти підключення: «HTTP», «HTTPS» та «HTTPS no Auth». Тип підключення залежить від протоколу за яким працюють вебсервіси, опубліковані на даній підсистемі. Для вибору типу підключення необхідно натиснути на випадаючий список в області «Тип підключення для серверів у ролі споживачів сервісів», обрати необхідний тип та натиснути на кнопку «Зберегти»:

Примітка. Для кожної підсистеми може бути встановлено свій тип підключення.

2. Додати, переглянути та видалити внутрішні TLS -сертифікати сервісів та підсистем (при налаштуванні з’єднання за протоколом HTTPS).

Примітка. Цей сертифікат використовується при налаштуванні захищеного з’єднання між ШБО та його клієнтами і отримується від такої підсистеми.

- Для додавання нового сертифікату необхідно натиснути на кнопку «Додати» в області «Внутрішні сертифікати TLS». У вікні, що відкриється необхідно натиснути на кнопку «Переглянути», обрати необхідний сертифікат та натиснути на кнопку «ОК».

- Для того, щоб переглянути детальну інформацію про сертифікат, необхідно обрати сертифікат та натиснути на кнопку «Подробиці» в області «Внутрішні сертифікати TLS». В новому вікні відкриється детальна інформація про цей сертифікат.

- Для видалення сертифікату необхідно натиснути на кнопку «Видалити» в області «Внутрішні сертифікати TLS», а в наступному вікні підтвердити дію, натиснувши на відповідну кнопку.

3. Завантажити власний TLS-сертифікат ШБО на робочу станцію адміністратора. Для цього необхідно натиснути на кнопку «Експорт» в області «Сертифікат сервера безпеки».

Примітка. Цей сертифікат використовується клієнтами ШБО при налаштуванні захищеного з’єднання з даним ШБО.

5. Керування сервісами на шлюзі безпечного обміну

В системі «Трембіта» для передачі або отримання даних використовуються вебсервіси, які працюють за технологіями REST та SOAP.

В процесі електронної взаємодії обмін повідомленнями може здійснюватися або лише через ШБО, або через ШБО з використанням локального компоненту підсистеми моніторингу доступу до персональних даних.

5. Керування сервісами на шлюзі безпечного обміну

5.1. Керування SOAP-сервісами

Механізм публікації SOAP-сервісів, що працюють без використання ЛК ПМДПД, та SOAP-сервісів, що працюють з використанням ЛК ПМДПД, наведено на рисунку 5.1 (а та б відповідно).

Рисунок 5.1 – Механізм публікації SOAP сервісів на ШБО: а – без використання ЛК ПМДПД, б – з використанням ЛК ПМДПД

5.1.1. Публікація SOAP-сервісу без використання ЛК ПМДПД

Процес публікації SOAP-сервісів, що працюють без використання ЛК ПМДПД в нотації IDEF0, з усіма необхідними Адміністратору вебсервісів відомостями наведено на рисунку 5.2.

Рисунок 5.2 – Процес публікації SOAP-сервісів, що працюють без використання ЛК ПМДПД в нотації IDEF0

Для публікації SOAP-сервісу необхідно додати WSDL-файл на ШБО.

При додаванні нового WSDL-файлу, ШБО зчитує з нього інформацію про сервіс і відображає її в таблиці сервісів. Код сервісу, адреса та інші параметри також зчитуються з WSDL-файлу.

Примітка. При додаванні WSDL-файлу адреса сервісу може зчитатись некоректно, необхідно перевірити її і, у випадку виникнення помилки, відредагувати. Процес редагування параметрів сервісу описано в розділі 5.1.3 даної інструкції.

Щоб опублікувати SOAP-сервіс на певній підсистемі необхідно:

1. Перейти на вкладку «Клієнти сервера безпеки».

2. Відкрити потрібну підсистему з переліку і перейти на вкладку «Сервіси SOAP».

3. Натиснути на кнопку «Додати WSDL»:

Примітка. Адресу WSDL-файлу сервісу надає розробник сервісу.

4. Ввести посилання на WSDL у діалоговому вікні і натиснути на кнопку «OK»:

WSDL та інформація про сервіси, які описані в ньому, буде відображено на вкладці «Сервіси SOAP». За замовчуванням WSDL-файл додається у вимкненому стані.

Щоб увімкнути WSDL необхідно обрати його у переліку сервісів підсистеми (позначається червоним текстом) і натиснути на кнопку «Увімкнути»:

5.1.2. Налаштування прав доступу до SOAP-сервісів

Для того, щоб до опублікованого вебсервісу можна було виконувати запити, необхідно надати відповідні права доступу для інших Суб’єктів електронної взаємодії (їх підсистем).

Процес надання доступу до SOAP-сервісів в нотації IDEF0, з усіма необхідними Адміністратору вебсервісів відомостями наведено на рисунку 5.3.

Рисунок 5.3 – Процес задання прав доступу до SOAP-сервісів в нотації IDEF0

Для надання права доступу необхідно:

1. Перейти на вкладку «Клієнти серверу безпеки».

2. Відкрити потрібну підсистему з переліку і перейти на вкладку «Сервіси SOAP».

3. Обрати потрібну WSDL та натиснути на кнопку «».

4. Обрати необхідний сервіс.

5. Натиснути на кнопку «Права доступу»:

6. Натиснути на кнопку «Додати об'єкти»:

7. Знайти та виділити підсистему, якій необхідно надати права доступу до сервісу (знайти потрібну підсистему можна, наприклад, шляхом введення коду ЄДРПОУ відповідного Суб’єкта електронної взаємодії, якому вона належить, або введення коду самої підсистеми і натискання на кнопку пошуку).

8. Натиснути на кнопку «Додати обране»:

Суб’єкт електронної взаємодії, якому надано права доступу, та відповідна підсистема відобразяться у вікні «ACL для сервісу: Назва сервісу»:

5.1.3. Зміна параметрів SOAP-сервісу

Наступні параметри SOAP-сервісу можна налаштувати на ШБО:

- URL сервісу – URL-адреса, на яку спрямовуються запити до певного сервісу (Endpoint сервісу).

- Тайм-аут – максимальний час у секундах, який шлюз безпечного обміну чекає на відповідь від сервісу, перш, ніж повернути помилку очікування.

- Перевірка сертифікату TLS – встановлюється для активації перевірки сертифікату при встановленні з’єднання TLS.

Примітка. Це поле стає активним, коли URL-адреса серверу починається з «https://». Якщо перевірка ввімкнена, відповідний сертифікат повинен бути завантажений на вкладці «Внутрішні сервери» відповідної підсистеми, згідно п.2 розділу 5.2.5 даної інструкції.

Щоб змінити параметри сервісу необхідно:

1. Виділити необхідний SOAP-сервіс.

2. Натиснути на кнопку «Редагувати»:

3. Налаштувати параметри сервісу у вікні, що відкриється:

Примітка. Щоб застосувати значення певного параметру до всіх сервісів, описаних у WSDL-файлі необхідно встановити відповідну позначку поряд з цим параметром у стовпці «Застосувати до усіх у WSDL».

4. Натиснути на кнопку «OK», щоб застосувати налаштовані параметри.

5.1.4. Публікація SOAP-сервісу з використанням ЛК ПМДПД

Процес публікації SOAP-сервісів, які працюють з використанням ЛК ПМДПД в нотації IDEF0, з усіма необхідними Адміністратору вебсервісів відомостями наведено на рисунку 5.4.

Рисунок 5.4 – Процес публікації SOAP-сервісів які працюють з використанням ЛК ПМДПД в нотації IDEF0

Для публікації сервісу з використанням ЛК ПМДПД необхідно:

- Опублікувати сервіс відповідно до розділу 5.1.1 даної інструкції.

- Сповістити Адміністратора Локального компоненту ПМДПД про те, що вебсервіс опубліковано на ШБО та передати йому інформацію про даний сервіс, зокрема, його endpoint, назву, призначення тощо.

- Адміністратор Локального компоненту ПМДПД повинен на основі отриманих даних створити сервісну декларацію для даного сервісу засобами ЛК ПМДПД та передати Адміністратору вебсервісів новий endpoint сервісу.

- Адміністратор вебсервісів повинен замінити endpoint доданого сервісу на endpoint, який передано Адміністратором Локального компоненту ПМДПД. Процес заміни можна виконати відповідно до настанов розділу 5.1.3 даної інструкції.

5.1.5. Відключення WSDL

Іноді існує необхідність тимчасового відключення WSDL (наприклад, при проведенні регламентних робіт, відновленні працездатності сервісу тощо), для цього необхідно виконати наступні дії в вебінтерфейсі ШБО:

1. Перейти на вкладку «Клієнти серверу безпеки».

2. Відкрити необхідну підсистему і перейти на вкладку «Сервіси SOAP».

3. Обрати WSDL, який потрібно відключити та натиснути на кнопку «Відключити»:

4. Заповнити поле «Повідомлення для клієнтів, які роблять запити на вимкнення сервісів» та натиснути на кнопку «ОК»:

Примітка. За замовчуванням дане поле має значення «Вийшов з ладу», його можна лишити без змін або заповнити власною інформацією щодо причини відключення.

5.1.6. Зміна адреси WSDL

Щоб змінити адресу WSDL потрібно виконати наступні кроки в вебінтерфейсі шлюзу безпечного обміну:

1. Перейти на вкладку «Клієнти сервера безпеки».

2. Відкрити потрібну підсистему і перейти на вкладку «Сервіси SOAP».

3. Обрати WSDL, адресу якого потрібно змінити та натиснути на кнопку «Редагувати»:

4. Відредагувати адресу WSDL у відкритому вікні та натиснути на кнопку «OK»:

Коли адреса змінюється, WSDL на ШБО оновлюється.

5.1.7. Видалення WSDL

Щоб видалити WSDL необхідно:

1. Перейти на вкладку «Клієнти серверу безпеки».

2. Відкрити потрібну підсистему і перейти на вкладку «Сервіси SOAP».

3. Обрати потрібний WSDL та натиснути на кнопку «Видалити»:

4. Підтвердити видалення, натиснувши на відповідну кнопку у наступному діалоговому вікні:

Примітка. Коли WSDL видаляється, вся інформація, що стосується методів сервісів, описаних у даній WSDL, в тому числі, щодо прав доступу, теж видаляється.

5. Керування сервісами на шлюзі безпечного обміну

5.2. Керування REST-сервісами

Механізм публікації REST-сервісів, що працюють без використання ЛК ПМДПД, та REST-сервісів, що працюють з використанням ЛК ПМДПД, наведено на рисунку 5.5 (а та б відповідно).

Рисунок 5.5 – Механізм публікації REST-сервісів на ШБО: а – без використання ЛК ПМДПД, б – з використанням ЛК ПМДПД

5.2.1. Публікація REST-сервісу без використання ЛК ПМДПД

Процес публікації REST-сервісів, що працюють без використання ПМДПД в нотації IDEF0, з усіма відомостями, які необхідні Адміністратору вебсервісів наведено на рисунку 5.6.

Рисунок 5.6 – Процес публікації REST-сервісів які працюють без використання ЛК ПМДПД в нотації IDEF0

Щоб опублікувати REST-сервіс на відповідній підсистемі необхідно:

1. Перейти на вкладку «Клієнти сервера безпеки»:

2. Відкрити потрібну підсистему і перейти на вкладку «REST APIs».

3. Натиснути на кнопку «Додати REST API»:

4. Ввести наступні параметри у діалоговому вікні, що відкриється:

- Базова URL – статична (незмінна) частина URL-адреси кінцевого REST API (endpoint сервісу).

Примітка. URL-адресу кінцевого REST API (endpoint сервісу) надає розробник сервісу.

- Код сервісу – ідентифікатор сервісу у системі «Трембіта», він встановлюється у довільній формі з використанням латинських літер та цифр.

- Версія сервісу – версія сервісу у системі «Трембіта». Встановлюється у довільній формі (наприклад, v1) з використанням латинських літер, цифр, крапки.

5. Натиснути на кнопку «ОК». Сервіс буде додано до переліку опублікованих REST-сервісів.

За замовчуванням щойно доданий REST-сервіс додається у вимкненому стані. Для того, щоб активувати його необхідно виділити даний сервіс (що позначається червоним текстом) і натиснути на кнопку «Увімкнути»:

5.2.2. Налаштування прав доступу до REST-сервісів

Для того, щоб до опублікованого вебсервісу можна було робити запити, необхідно надати відповідні права доступу для інших Суб’єктів електронної взаємодії (їх підсистем). Процес надання доступу до REST-сервісів в нотації IDEF0, з усіма необхідними Адміністратору вебсервісів відомостями наведено на рисунку 5.7.

Рисунок 5.7 – Процес задання прав доступу до REST-сервісів в нотації IDEF0

Для надання права доступу до REST-сервісу необхідно:

1. Перейти на вкладку «Клієнти серверу безпеки».

2. Відкрити потрібну підсистему і перейти на вкладку «REST APIs».

3. Виділити необхідний сервіс.

4. Натиснути на кнопку «Права доступу»:

5. Натиснути на кнопку «Додати об'єкти»:

6. Знайти та виділити підсистему, якій необхідно надати права доступу до сервісу (знайти потрібну підсистему можна, наприклад, шляхом введення коду ЄДРПОУ відповідного Суб’єкта електронної взаємодії, якому вона належить, або введення коду самої підсистеми і натискання на кнопку пошуку).

7. Натиснути на кнопку «Додати обране»:

Суб’єкт електронної взаємодії, якому надано права доступу, та його підсистема відобразяться у вікні «ACL для сервісу»..

5.2.3. Зміна параметрів REST-сервісу

Наступні параметри REST-сервісу, які можна налаштувати на ШБО:

- URL сервісу – URL-адреса, на яку спрямовуються запити до певного сервісу (endpoint сервісу).

- Тайм-аут – максимальний час у секундах, який шлюз безпечного обміну чекає на відповідь від сервісу, перш, ніж повернути помилку очікування.

- Перевірка сертифікату TLS – встановлюється для активації перевірки сертифікату при встановленні з’єднання TLS.

Примітка. Це поле стає активним, коли URL-адреса серверу починається з «https://». Якщо перевірка ввімкнена, відповідний сертифікат повинен бути завантажений на вкладці «Внутрішні сервери» відповідної підсистеми, згідно п.2 розділу 4.2.5 даної інструкції.

Щоб змінити параметри сервісу необхідно:

1. Виділити необхідний REST-сервіс.

2. Натиснути на кнопку «Редагувати»:

3. Налаштувати параметри сервісу у вікні, що відкриється:

4. Натиснути на кнопку «OK», щоб застосувати налаштовані параметри.

5.2.4. Публікація REST-сервісу з використанням ЛК ПМДПД

Процес публікації REST-сервісів, які працюють з використанням ЛК ПМДПД в нотації IDEF0, з усіма необхідними Адміністратору вебсервісів відомостями наведено на рисунку 5.8.

Рисунок 5.8 – Процес публікації SOAP-сервісів які працюють з використанням ЛК ПМДПД в нотації IDEF0

Для публікації сервісу з використанням ЛК ПМДПД необхідно:

- Опублікувати сервіс відповідно до розділу 5.2.1 даної інструкції.

- Адміністратор Локального компоненту ПМДПД повинен на основі отриманих даних створити сервісну декларацію для даного сервісу засобами ЛК ПМДПД та надати Адміністратору вебсервісів новий endpoint сервісу.

5.2.5. Відключення REST-сервісу

Іноді існує необхідність тимчасового відключення REST-сервісу (наприклад, при проведенні регламентних робіт, відновленні працездатності сервісу тощо), для цього необхідно:

1. Перейти на вкладку «Клієнти серверу безпеки».

2. Відкрити потрібну підсистему і перейти на вкладку «REST APIs».

3. Виділити потрібний сервіс та натиснути на кнопку «Відключити»:

4. Заповнити поле «Повідомлення для клієнтів, які роблять запити на вимкнення REST APIs» та натиснути на кнопку «ОК»:

5.2.6. Видалення REST-сервісу

Щоб видалити REST-сервіс необхідно:

1.Перейти на вкладку «Клієнти серверу безпеки».

2. Відкрити потрібну підсистему і перейти на вкладку «REST APIs».

3. Обрати потрібний сервіс та натиснути на кнопку «Видалити»:

4. Підтвердити видалення, натиснувши на відповідну кнопку в діалоговому вікні: