6.3. 6.3 Встановлення програмного забезпечення UXP UA Adminserver
ШлюзДля безпечноговстановлення обмінупрограмного накладаєзабезпечення електроннуua-adminserver печаткудля наробочої кожнестанції повідомленняадміністратора (здійснюєвикористовується йогокоманда підписання),apt. щоПеред відправляєтьсявиконанням довстановлення іншогопотрібно шлюзуоновити безпечногосписок обмінудоступних через систему «Трембіта». Підписання здійснюєтьсяпакетів з використанням кваліфікованого сертифікату електронної печатки, який було отримано на підготовчих кроках від кваліфікованого надавача електронних довірчих послуг.
В тестовому середовищірепозиторію системи «Трембіта» використання апаратних токенів не є обов’язковим, замість них можна використовувати програмні токени..
ЯкщоДля особистівстановлення ключізазначеного електронноїпрограмного печатки та шифрування знаходяться на захищеному носії особистих ключів (апаратний токен), йогозабезпечення необхідно правильнопослідовно підключити до віртуальної машини шлюзу безпечного обміну. За дану дію відповідає Адміністратор локальних компонентів (системний адміністратор).
За налаштування використання криптографічних ключів та сертифікатів печатки через вебінтерфейс ШБО відповідає працівник Учасника, який є власником ШБО, який має обліковий запис користувача з роллю «Адміністратор вебсервісів».
Налаштування використання криптографічних ключів та сертифікатів печатки Суб’єкта електронної взаємодії через вебінтерфейс шлюзу безпечного обміну виконується Відповідальним за управління ключами.
Важливо! Паролі до ключів та сертифікатів печатки Суб’єкта електронної взаємодії вводяться через вебінтерфейс шлюзу безпечного обміну Відповідальним за управління ключами та не повинні передаватися співробітникам Оператора та іншим третім особам.
Примітка. У випадку, коли локальні компоненти системи «Трембіта» адмініструє Оператор, реєстрацію сертифікату шифрування проводити не потрібно, натомість буде використано сертифікат Оператора.
6.3.1. Налаштування CMP-сервісу кваліфікованого надавача електронних послуг
Для того, щоб шлюз безпечного обміну мав можливість працювати з КНЕДП, що видав сертифікати, необхідно додати інформацію про нього у спеціальний файл, для чого:
Відкрити даний файл за допомогою наступної команди:
sudo nano /etc/uxp/uac/osplm.iniЗнайти розділ (у квадратних дужках визначаються розділи) з налаштуваннями CMP-сервісу та встановитивиконати наступні параметри доступу:
[\SOFTWARE\Institute of Informational Technologies\Certificate Authority-1.3\End User\CMP]
Use=1
CommonName=
Address= ca-test.czo.gov.ua
Port=80У поле Address необхідно вказати адресу до CMP-сервісу КНЕДП, що видав сертифікати (наприклад, ca.informjust.ua або ca.iit.com.ua та інші залежно від КНЕДП). Зазначену адресу може надати, зокрема, надавач електронних довірчих послуг.
Важливо! У випадку використання апаратних токенів необхідно встановити параметр Use=1, а у випадку використання програмних токенів встановити параметр Use=0.
Приклад результату модифікації файлу:
6.3.2. Встановлення підтримки захищених носіїв особистих ключів (апаратних токенів)
Встановлення підтримки захищених носіїв особистих ключів (апаратних токенів) також виконується Адміністратором локальних компонентів (системним адміністратором).
Шлюз безпечного обміну версії 1.12.6 підтримує наступні захищені носії особистих ключів:
1. апаратні токени:
Алмаз-1К;Автор Secure Token 337;Автор Secure Token 338;EfitKey;Кристал-1;
2. мережеві криптомодіулі:
ІІТ Гряда-301;Сайфер «Шифр-HSM».
Якщо особисті ключі електронної печатки та шифрування знаходяться на захищеному носії особистих ключів (апаратний токен), його необхідно правильно підключити до віртуальної машини ШБО.
В першу чергу, апаратний токен (захищений носій особистих ключів) необхідно підключити до фізичного обладнання - сервера, який забезпечує функціонування ПЗ шлюзу безпечного обміну. Якщо використовується система віртуалізації на сервері - потрібно налаштувати адресацію фізичного порту, до якого підключений апаратний токен, до віртуальної машини шлюзу безпечного обміну.
Правильність адресації можна перевірити через наявність інформації про ключі в операційній системі, для чого потрібно ввести наступну команду на шлюзі безпечного обміну:
sudo dmesg | grep usb
З виводу команди можна побачити, що в системі присутні два апаратних токени - Product: IIT E.Key Crystal-1 та Product: E.Key Almaz-1C відповідно «Кристал-1» та «Алмаз-1К».
Для роботи усіх апаратних токенів необхідно встановити пакети підтримки електронних ключів операційною системою Linux, а саме Ubuntu Server 18.04.4 64bit:
sudo apt-get install pcscd libccid pcsc-tools libccid libpcsclite1 opensc6.3.2.1. Налаштування Алмаз-1К
Додаткових налаштувань, крім встановлення пакетів підтримки електронних ключів операційною системою Linux, виконувати не потрібно.
6.3.2.2. Налаштування Автор Secure Token 337/ Secure Token 338
Для зазначених токенів Автор необхідно
1. Встановити драйвер для 64-розрядної ОС Linux за допомогою наступної команди:
sudo apt update
sudo apt -y remove firefox openssh-client
sudo apt install av337p11d2.openssh-client=1:7.6p1-4ubuntu0.3 Перевірити доступність токену в системі можна за допомогою наступної команди:
sudo pkcs11-tool -v --list-slots --module /usr/lib/libav337p11d.soУ випадку, якщо ключ доступний для системи, має бути виведено інформацію про нього. Наприклад:
6.libpam0g=1.1.8-3.2.3. Налаштування EfitKey
При використанні токену EfitKey необхідно виконати наступні дії:
1. Скоригувати файл Info.plist, для того, щоб додати (включити) існуючий pcsc-пристрій (токен EfitKey) до відповідного списку pcsc-пристроїв, які підтримуються системою, відкривши його за допомогою наступної команди:
sudo nano /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist6ubuntu2.18.04.22.В Знайтиході строкуінсталяції «<key>ifdVendorID</key>»буде ізапропоновано післявиконати елементудеякі «<array>»налаштування додати:вручну, зокрема наступні:
«<string>0xC1A6</string>»1. Обрати варіант доставки електронної пошти адміністративним користувачам:
3. Знайти строку «<key>ifdProductID</key>» і після елементу «<array>» додати:
«<string>0x0151</string>»
4.Якщо Знайтиотримання строкуелектронною поштою повідомлень про функціонування програмного забезпечення робочої станції адміністратора не потрібне, необхідно обрати варіант «<key>ifdFriendlyName</key>»Local і після елементу «<array>» додати:only»:
«<string>EfitTechnologies
EfitKey</string>»
5.2. СкопіюватиПідтвердити бібліотекуім’я драйверівпоштового libefitkeynxt.soдомену дота каталогуобліковий /usr/libзапис, який надсилатиме та отримуватиме локальні поштові повідомлення (їх можна буде прочитати лише на даній робочій станції) шляхом вибору опції "Гаразд" у відповідних формах:
Після встановлення програмного забезпечення ua-adminserver необхідно:
1. Обчислити нові геші стану серверу за допомогою послідовного виконання наступних команд:
wgetsudo http://dir-repo-p-01.trembita.gov.ua:82/pac/libefitkeynxt.sousr/share/uxp/uaic/scripts/_uxp-uaic-integritychecker.sh recalc exec
sudo cpuxp-ua-integritychecker.sh libefitkeynxt.sorecalc_all
/usr/lib/sudo uxp-ua-integritychecker.sh checkПримітка.2. ДляПерезавантажити роботиробочу libefitkeynxt.soстанцію і EfitKey необхідно мати запущений демон pcscd.
6. Під'єднати захищений носій ключової інформації EfitKey та перевірити доступність носія в системіадміністратора за допомогою наступної команди:
sudo pkcs11-tool -v --list-slots --module /usr/lib/libefitkeynxt.soУ випадку, якщо токен доступний для системи, має бути виведено інформацію про нього. Наприклад:
6.3.2.4. Налаштування Кристал-1
При використанні токену «Кристал-1» необхідно виконати наступні дії:
1. Cтворити файл /etc/udev/rules.d/80-uxp-iit-e-keys.rules за допомогою наступної команди:
sudo nano /etc/udev/rules.d/80-uxp-iit-e-keys.rules2. Прописати в ньому наступні правила:
SUBSYSTEM=="usb", ATTR{idVendor}=="03eb", ATTR{idProduct}=="9301", MODE="0660", GROUP="uxp"
SUBSYSTEM=="usb", ATTR{idVendor}=="03eb", ATTR{idProduct}=="9308", MODE="0660", GROUP="uxp"3. Перевірити, чи встановлено бібліотеку libusb-0.1-4 за допомогою наступної команди:
apt list --installed | grep libusb-0.1-4У випадку, якщо її не встановлено, встановити за допомогою наступної команди:
apt-get install libusb-0.1-46.3.2.5. Налаштування ІІТ Гряда-301
При використанні в якості токену безпеки засобу ІІТ «Гряда-301» необхідно виконати наступні дії:
1. Відкрити файл /etc/uxp/uac/osplm.ini за допомогою наступної команди:
sudo nano /etc/uxp/uac/osplm.ini2. Додати в нього наступний блок параметрів:
[\SOFTWARE\Institute of Informational Technologies\Key Medias\NCM Gryada-301]
[\SOFTWARE\Institute of Informational Technologies\Key Medias\NCM Gryada-301\Modules]
[\SOFTWARE\Institute of Informational Technologies\Key Medias\NCM Gryada-301\Modules\<Serial Number>]
OrderNumber=0
SN=<Serial Number>
Address=<Your-Gryada-301-IP>
AddressMask=255.0.0.0де <Serial Number> - це останні три цифри серійного номеру пристрою ІІТ Гряда-301 (серійний номер пристрою має вигляд 301ХХХ, останні три цифри необхідно додати у файл),
<Your-Gryada-301-IP> - це мережевий адрес пристрою,
AddressMask - маска підмережі, у якій знаходиться пристрій.
3. Перезавантажити сервіс uxp-signer за допомогою наступної команди:
sudo systemctl restart uxp-signer6.3.2.6. Налаштування Сайфер «Шифр-HSM»
Для забезпечення роботи токену безпеки «Шифр-HSM» необхідна бібліотека libcihsm.so. Її потрібно розмістити в директорії /var/tmp/uxp/EUSign-x64-1.3.263/ файлової системи шлюзу безпечного обміну.
Примітка. Дана бібліотека поставляється компанією-виробником разом з токеном безпеки.
Після цього необхідно виконати наступні кроки:
1. Змінити права доступу до бібліотеки за допомогою наступної команди:
chmod 644 /var/tmp/uxp/EUSign-x64-1.3.263/libcihsm.so2. Впевнитись, що шлюз безпечного обміну має підключення до модулю «Шифр-HSM» за допомогою наступної команди:
PKCS11_PROXY_SOCKET=tcp://<Your-CipherHSM-IP>:23454 pkcs11-tool \
--module /var/tmp/uxp/EUSign-x64-1.3.263/libcihsm.so -де <Your-CipherHSM-IP> ‑ IP адреса пристрою.
Після виконання команди будуть показані усі доступні слоти пристрою, наприклад:
3. Відкрити файл файл /etc/uxp/services/local.conf за допомогою наступної команди:
sudo nano /etc/uxp/services/local.confта додати в нього наступну строку:
export PKCS11_PROXY_SOCKET=tcp://<Your-CipherHSM-IP>:234544. Переглянути всі ключі та сертифікати на токені, скориставшись інструментом pkcs11-tool, за допомогою наступної команди:
PKCS11_PROXY_SOCKET=tcp:// <Your-CipherHSM-IP>:23454 pkcs11-tool \
--module /var/tmp/uxp/EUSign-x64-1.3.263/libcihsm.so \
--slot <SlotNunber> -O -v -l --pin <PIN Code>Примітка. Якщо після виконання команди було отримано помилку "CKR_USER_ALREADY_LOGGED_IN", необхідно видалити розділ входу -l --pin <PIN Code> з попередньої команди.
5. Скопіювати сертифікат з попереднього кроку та сертифікат КНЕДП в директорію /etc/uxp/uac/certificates/.
6. Перезавантажити сервіс uxp-signer за допомогою наступної команди:
sudo systemctl restart uxp-signerПісля проведених дій з обраним ключем обов’язково необхідно перезавантажити операційну систему:
sudo shutdown -r nowПісля чого використовуваний ключ повинен з’явитись в вебінтерфейсі ШБО в розділі «Ключі і сертифікати».
6.3.3. Додавання програмних захищених носіїв особистих ключів (програмних токенів)
Якщо використовується програмний (файловий) контейнер для зберігання особистих ключів електронної печатки та шифрування (для шлюзу безпечного обміну, що працює в тестовому середовищі), їх необхідно підготувати для імпорту на ШБО. Для цього потрібно помістити файл особистого ключа (зазвичай, це Key-6.dat) та обидва сертифікати (печатки та шифрування) у ZIP-архів, без вкладення файлів у директорію. Зазначені файли повинні мати лише латинські літери та цифри у найменуванні.
Примітка. Для програмних (файлових) ключів та сертифікатів від КНЕДП ТОВ «ЦСК «Україна» необхідно перед створенням зазначеного вище ZIP-архіву файл з особистим ключем (має розширення файлу .ZS2) перейменувати на Key-6.dat, а файлам сертифікатів (мають розширення файлу .CRT) змінити розширення файлу на .CER.
Далі необхідно виконати наступні кроки:
1. Перейти в розділ «Ключі і сертифікати».
2. Натиснути кнопку «Додати файл токену».
3. У вікні «Додати файл токену» обрати значення параметру «Тип файлу токена» - DSTU4145 Token (ZIP containing Key-6.dat and DER-encoded certificates).
4. У поле «ID файлу токена» ввести зрозумілий ідентифікатор, наприклад uaToken.
5. Натиснути кнопку «Переглянути» та обрати з файлової системи робочої станції користувача ZIP-архів з ключем та сертифікатами.
6. Ввести коректний PIN-код особистого ключа, що знаходиться у файлі ZIP-архіву, у поле PIN та натиснути на кнопку «ОК».
