Перейти до змісту

7.2. Початкова конфігурація шлюзу безпечного обміну

Початкова конфігурація шлюзу безпечного обміну виконується Адміністратором вебсервісів.

7.2.1. Завантаження ліцензії для шлюзу безпечного обміну

Для роботи ШБО в промисловому середовищі потрібна діюча ліцензія, без неї він не працюватиме. 

Файл ліцензії можна знайти в Особистому кабінеті Каталогу системи «Трембіта» на сторінці «Матеріали».

Для того, щоб завантажити ліцензію до ШБО необхідно перейти до його вебінтерфейсу за посиланням: https://<Your-security-server-IP>:4000, де <Your-security-server-IP> - це IP-адреса шлюзу безпечного обміну, використовуючи атрибути доступу користувача з роллю Адміністратор вебсервісів:

image.png

Примітка. При першому доступі до вебінтерфейсу ШБО може з’явитись попередження про те, що використовується сертифікат, що виданий недовіреним центром сертифікації. При встановленні шлюзу безпечного обміну використовується самопідписаний сертифікат, тому слід додати виняток для цього сертифікату у браузері.

Примітка. У перші хвилини після перезапуску шлюзу безпечного обміну вебінтерфейс ШБО може відображати повідомлення «502 Bad Gateway» (зазвичай менше однієї хвилини). Необхідно періодично оновлювати сторінку авторизації, поки не відобразиться форма входу.

Після першої авторизації в вебінтерфейсі ШБО, користувачеві буде відображено діалогове вікно вибору файлу ліцензії, в якому необхідно завантажити файл ліцензії тестового середовища member.live.license.lic:

image.png

В даному діалоговому вікні необхідно натиснути на кнопку "Переглянути" та завантажити файл ліцензії. 

Після завантаження необхідно його підтвердити, натиснувши кнопку «Зберегти ліцензію».

7.2.2. Ініціалізація шлюзу безпечного обміну

При ініціалізації ШБО необхідно завантажити файл якоря конфігурації тестового середовища (файл configuration anchor), який можна знайти в Особистому кабінеті Каталогу системи «Трембіта» на сторінці «Матеріали».

Якір конфігурації необхідно завантажити в наступному діалоговому вікні та підтвердити імпорт натиснувши кнопку «Підтвердити» (Confirm):

image.png

image.png

Для ініціалізації ШБО необхідно заповнити наступні дані:

Власник шлюзу безпечного обміну (Security Server Owner)

Клас Учасника (Member Class)

GOV  

Код Учасника (Member Code)

У якості коду Учасника використовується код ЄДРПОУ організації, якій належить ШБО.

Важливо! Якщо ввести неправильний Member Code, то шлюз безпечного обміну не буде функціонувати коректно і його потрібно буте переінсталювати.

Ім’я Учасника (Member Name)

Ім'я Учасника автоматично отримується з сервера Каталогу Учасників (після введення коду Учасника) відповідно до заявки на реєстрацію Учасника у системі «Трембіта».

Шлюз безпечного обміну (Security Server)

Код шлюзу безпечного обміну (Security Server Code)

Унікальний код ШБО («сервера безпеки» в вебінтерфейсі) в промисловому середовищі системи «Трембіта», який потрібно створити відповідно до наступного шаблону:

MemberCode_SS_P_ Number_FreeSymbols, де

MemberCode – код ЄДРПОУ організації;

SS – означення ШБО;

P – код промислового середовища системи, не змінюється;

Number – порядковий номер ШБО організації;

Примітка. Нумерація для тестового та промислового середовищ системи незалежна.

FreeSymbols – (за потреби) літери та цифри, які можна додавати до ідентифікатора ШБО задля власної зручності (наприклад, позначення центру обробки даних, позначення інформаційної системи, в якій використовується ШБО тощо).

Важливо! Варто звернути увагу, що _SS_P_ потрібно вводити великими латинськими літерами з використанням символу нижнього підкреслення «_»

Програмний токен (Software Token)

PIN

Необхідно придумати PIN-код, який буде використаний для захисту ключів автентифікації, що зберігаються у програмному сховищі (файловій системі ОС).

Важливо! Адміністратор вебсервісів має зберігати PIN-код у безпечному місці, оскільки після втрати PIN-коду необхідно відновлювати токен, повторно видавати та реєструвати новий сертифікат автентифікації. 

Повторити PIN

Ввести повторно значення PIN-коду

Після введення інформації необхідно натиснути на кнопку «Відправити» (Submit). Ініціалізація може зайняти декілька хвилин. Коли буде відображено повідомлення про те, що сервер був ініціалізований, необхідно натиснути кнопку «OK».

Важливо! Після ініціалізації шлюзу безпечного обміну, необхідно  зареєструвати IP-адресу шлюзу, шляхом подачі відповідної заявки в Особистому кабінеті Каталогу системи «Трембіта» (Додавання IP-адреси до списку дозволених (Промислове середовище)). Порядок подання зазначеної заявки вказаний у п. 7.3.2 Регламенту роботи системи «Трембіта».

7.2.3. Введення PIN-коду програмного токену

Шлюз безпечного прив’язує всі особисті ключі до токенів безпеки. Після ініціалізації з’явиться помаранчеве повідомлення у верхній частині сторінки з написом «Будь ласка, введіть PIN-код програмного токену». Це повідомлення вказує на те, що зазначений токен безпеки на даний час заблокований, а особисті ключі не можуть бути використані. Кожен раз, при перезавантаженні ПЗ UXP Security Server або всієї операційної системи шлюзу безпечного обміну, потрібно вводити PIN-код токену безпеки (у всі використовувані токени безпеки).

image.png

Адміністратор вебсервісів має увійти в програмний токен безпеки (softToken), використовуючи PIN-код, введений під час ініціалізації сервера, для чого необхідно:

1. Перейти в розділ «Ключі та сертифікати».

2. Знайти рядок із написом «Токен: softToken-0».

3. Натиснути на кнопку «Введіть PIN-код» в цьому рядку - відкриється діалогове вікно для введення PIN-коду.

4. Ввести PIN-код та натиснути на кнопку «OK».

Якщо все зроблено коректно, повідомлення «Будь ласка, введіть PIN-код програмного токену» має зникнути, а кнопка «Вихід» - з’явитись замість кнопки «Введіть PIN-код»:

image.png

Примітка. Варто звернути увагу, що на шлюзі безпечного обміну в промисловому середовищі працює модуль контролю цілісності. Необхідно перевіряти значення таймеру у верхній частині вебінтерфейсу адміністрування. Якщо користувач не встигатиме завершити необхідні налаштування, він має натиснути на кнопку «Перевірка цілісності призупинена на ## хв», щоб отримати більше часу. Після завершення налаштувань обов’язково потрібно натиснути на кнопку «Оновити ГОСТ-ХЕШ»!

Важливо! Якщо користувач не встиг виконати всі необхідні налаштування та зберегти зміни шляхом оновлення ГОСТ-хешу, модуль контролю цілісності може призупинити роботу сервісів шлюзу безпечного обміну, а вебінтерфейс адміністрування стане недоступним. У цьому випадку необхідно виконати наступні команди:

 sudo uxp-ua-integritychecker.sh recalc_all
sudo uxp-ua-integritychecker.sh start_all
7.2.4. Налаштування сервера позначок часу

Шлюз безпечного обміну використовує зовнішню службу встановлення позначок часу (timestamping) для встановлення позначок часу на кожне повідомлення.

Тестове середовище системи «Трембіта» може мати декілька довірених служб позначок часу.

Адміністратор вебсервісів може обирати, які служби позначок часу будуть використовуватися даним ШБО (зазвичай, це служба, створена відповідним надавачем електронних довірчих послуг, у якого організація отримала сертифікати печатки та шифрування).

Необхідно додати цю службу в список служб встановлення позначок часу, використовуваних шлюзом безпечного обміну, наступним чином:

1. Перейти в розділ «Параметри системи». Список серверів позначок часу має бути порожній («Немає (відповідних) записів»).

2. Натиснути на кнопку «Додати» в секції «Сервіси позначки часу».

3. Обрати сервіс КНЕДП зі списку згідно Видавця ключа і натиснути на нього.

4. Натиснути на кнопку «OK».

В результаті відобразиться інформація про обраний сервіс позначок часу і його URL в секції «Сервіси позначки часу»:

image.png

Важливо! Повинен бути зазначений саме TSP-сервер видавця КНЕДП, де організація отримувала електронну печатку!

Повернутися до початку