Перейти до змісту

6.2. Додавання GPG ключа для репозиторію

Початкова конфігурація шлюзу безпечного обміну виконується Адміністратором вебсервісів через вебінтерфейс ШБО.

6.2.1. Завантаження ліцензії для шлюзу безпечного обміну

Для роботивстановлення ШБОпрограмного взабезпечення тестовомуз середовищі потрібна діюча ліцензія, без неї ШБО не працюватиме. 

Файл ліцензії можна знайти в Особистому кабінеті Каталогурепозиторію системи «Трембіта» напотрібно сторінцізавантажити «Матеріали».та додати в систему GPG ключ даного репозиторію. 

Для того,цього щобАдміністратору завантажитилокальних ліцензіюкомпонентів до(системному ШБОадміністратору) необхідно перейтивиконати донаступну йогокоманду:

вебінтерфейсу
за
посиланням:

sudo wget -O - https://<Your-security-server-IP>:4000,project-repo.trembita.gov.ua:8081//public-keys/public.key.txt де| <Your-security-server-IP>sudo apt-key add -
це
IP-адреса шлюзу безпечного
обміну,
використовуючи атрибути доступу користувача з роллю Адміністратор вебсервісів:

image.png

Якщо

Примітка.команда Привиконана першомууспішно, доступібуде до вебінтерфейсу ШБО може з’явитись попередження про те, що використовується сертифікат, що виданий недовіреним центром сертифікації. При встановленні шлюзу безпечного обміну використовується самопідписаний сертифікат, тому слід додати виняток для цього сертифікату у браузері.

Примітка. У перші хвилини після перезапуску шлюзу безпечного обміну вебінтерфейс ШБО може відображатививедено повідомлення «502 Bad Gateway» (зазвичай менше однієї хвилини). Необхідно періодично оновлювати сторінку авторизації, поки не відобразиться форма входу.ОК»

Після першої авторизації в вебінтерфейсі ШБО, користувачеві буде відображено діалогове вікно вибору файлу ліцензії, в якому необхідно завантажити файл ліцензії тестового середовища member.test.license.lic:Screenshot 2024-04-10 231527.png.

image.png

В даному діалоговому вікні необхідно натиснути на кнопку "Переглянути" та завантажити файл ліцензії. 

Після завантаження необхідно його підтвердити, натиснувши кнопку «Зберегти ліцензію».

6.2.2. Ініціалізація шлюзу безпечного обміну

При ініціалізації ШБО необхідно завантажити файл якоря конфігурації тестового середовища (файл configuration anchor), який можна знайти в Особистому кабінеті Каталогу системи «Трембіта» на сторінці «Матеріали».

Якір конфігурації необхідно завантажити в наступному діалоговому вікні та підтвердити імпорт натиснувши кнопку «Підтвердити» (Confirm):

image.png

image.png

Для ініціалізації ШБО необхідно заповнити наступні дані:

Власник шлюзу безпечного обміну (Security Server Owner)

Клас Учасника (Member Class)

GOV  

Код Учасника (Member Code)

У якості коду Учасника використовується код ЄДРПОУ організації, якій належить ШБО.

Важливо! Якщо ввести неправильний Member Code, то шлюз безпечного обміну не буде функціонувати коректно і його потрібно буте переінсталювати.

Ім’я Учасника (Member Name)

Ім'я Учасника автоматично отримується з сервера Каталогу Учасників (після введення коду Учасника) відповідно до заявки на реєстрацію Учасника у системі «Трембіта».

Шлюз безпечного обміну (Security Server)

Код шлюзу безпечного обміну (Security Server Code)

Унікальний код шлюзу безпечного обміну («сервера безпеки» в вебінтерфейсі) у тестовому середовищі системи «Трембіта», який потрібно створити відповідно до наступного шаблону:

MemberCode_SS_T_01, де MemberCode - код ЄДРПОУ організації, 01 - порядковий номер створюваного шлюзу безпечного обміну у тестовому середовищі.

Важливо! Варто звернути увагу, що _SS_T_ потрібно вводити великими латинськими літерами з використанням символу нижнього підкреслення «_».

Програмний токен (Software Token)

PIN

Необхідно придумати PIN-код, який буде використаний для захисту ключів автентифікації, що зберігаються у програмному сховищі (файловій системі ОС).

Важливо! Адміністратор вебсервісів має зберігати PIN-код у безпечному місці, оскільки після втрати PIN-коду необхідно відновлювати токен, повторно видавати та реєструвати новий сертифікат автентифікації. 

Повторити PIN

Ввести повторно значення PIN-коду

Після введення інформації необхідно натиснути на кнопку «Відправити» (Submit). Ініціалізація може зайняти декілька хвилин. Коли буде відображено повідомлення про те, що сервер був ініціалізований, необхідно натиснути кнопку «OK».

Після ініціалізації шлюзу безпечного обміну, необхідно  зареєструвати IP-адресу шлюзу, шляхом подачі відповідної заявки в Особистому кабінеті Каталогу системи «Трембіта» (Додавання IP-адреси до списку дозволених (Тестове середовище)). Порядок подання зазначеної заявки вказаний у п. 7.3.2 Регламенту роботи системи «Трембіта».

6.2.2.1. Введення PIN-коду програмного токену

Шлюз безпечного прив’язує всі особисті ключі до токенів безпеки. Після ініціалізації з’явиться помаранчеве повідомлення у верхній частині сторінки з написом «Будь ласка, введіть PIN-код програмного токену». Це повідомлення вказує на те, що зазначений токен безпеки на даний час заблокований, а особисті ключі не можуть бути використані. Кожен раз, при перезавантаженні ПЗ UXP Security Server або всієї операційної системи шлюзу безпечного обміну, потрібно вводити PIN-код токену безпеки (у всі використовувані токени безпеки).

image.png

Адміністратор вебсервісів має увійти в програмний токен безпеки (softToken), використовуючи PIN-код, введений під час ініціалізації сервера, для чого необхідно:

1. Перейти в розділ «Ключі та сертифікати».

2. Знайти рядок із написом «Токен: softToken-0».

3. Натиснути на кнопку «Введіть PIN-код» в цьому рядку - відкриється діалогове вікно для введення PIN-коду.

4. Ввести PIN-код та натиснути на кнопку «OK».

Якщо все зроблено коректно, повідомлення «Будь ласка, введіть PIN-код програмного токену» має зникнути, а кнопка «Вихід» - з’явитись замість кнопки «Введіть PIN-код»:

image.png

6.2.2.2. Налаштування сервера позначок часу

Шлюз безпечного обміну використовує зовнішню службу встановлення позначок часу (timestamping) для встановлення позначок часу на кожне повідомлення.

Тестове середовище системи «Трембіта» може мати декілька довірених служб позначок часу.

Адміністратор вебсервісів може обирати, які служби позначок часу будуть використовуватися даним ШБО (зазвичай, це служба, створена відповідним надавачем електронних довірчих послуг, у якого організація отримала сертифікати печатки та шифрування).

Необхідно додати цю службу в список служб встановлення позначок часу, використовуваних шлюзом безпечного обміну, наступним чином:

1. Перейти в розділ «Параметри системи». Список серверів позначок часу має бути порожній («Немає (відповідних) записів»).

2. Натиснути на кнопку «Додати» в секції «Сервіси позначки часу».

3. Обрати сервіс КНЕДП зі списку згідно Видавця ключа і натиснути на нього.

4. Натиснути на кнопку «OK».

В результаті відобразиться інформація про обраний сервіс позначок часу і його URL в секції «Сервіси позначки часу»:

image.png

Важливо! Повинен бути зазначений саме TSP-сервер видавця КНЕДП, де організація отримувала електронну печатку!

Повернутися до початку