7.2. Початкова конфігурація шлюзу безпечного обміну

Початкова конфігурація шлюзу безпечного обміну виконується Адміністратором вебсервісів.

7.2.1. Завантаження ліцензії для шлюзу безпечного обміну

Для роботи ШБО в промисловому середовищі потрібна діюча ліцензія, без неї він не працюватиме.

Файл ліцензії можна знайти в Особистому кабінеті Каталогу системи «Трембіта» в розділі «Адміністрування» на ~~сторінці~~вкладці «Матеріали».

Для того, щоб завантажити ліцензію дона ШБО необхідно перейти до його вебінтерфейсу за посиланням: https://<Your-security-server-IP>:~~4000,~~4000,

де <Your-security-server-IP> -– це внутрішня (локальна) IP-адреса шлюзу безпечного обміну,

використовуючи атрибути доступу користувача з роллю Адміністратор вебсервісів:

Примітка. При першому доступі до вебінтерфейсу ШБО може з’явитись попередження про те, що використовується сертифікат, що виданий недовіреним центром сертифікації. При встановленні шлюзу безпечного обміну використовується самопідписаний сертифікат, тому слід додати виняток для цього сертифікату у браузері.

Примітка. У перші хвилини після перезапуску шлюзу безпечного обміну вебінтерфейс ШБО може відображати повідомлення «502 Bad Gateway» (зазвичай менше однієї хвилини). Необхідно періодично оновлювати сторінку авторизації, поки не відобразиться форма входу.

Після першої авторизації в вебінтерфейсі ~~ШБО,~~ШБО користувачеві буде відображено діалогове вікно вибору файлу ліцензії, в якому необхідно завантажити файл ліцензії промислового середовища member.live.license.~~lic:~~lic.

В даному діалоговому вікні необхідно натиснути на кнопку "Переглянути" та завантажити файл ліцензії.

Після завантаження необхідно його підтвердити, натиснувши кнопку «Зберегти ліцензію».

7.2.2. Ініціалізація шлюзу безпечного обміну

При ініціалізації ШБО необхідно завантажити файл якоря конфігурації промислового середовища (файл configuration anchor),. ~~який~~

Файл якоря конфігурації промислового середовища можна знайти в Особистому кабінеті Каталогу системи «Трембіта» в розділі «Адміністрування» на ~~сторінці~~вкладці «Матеріали».

Якір конфігурації необхідно завантажити в наступному діалоговому вікні та підтвердити ~~імпорт~~імпорт, натиснувши на кнопку «Підтвердити» (~~Confirm)~~«Confirm»):

Після чого відкриється вікно ініціалізації ШБО:

Для ініціалізації ШБО необхідно заповнити наступні дані:

Власник ~~шлюзу~~сервера ~~безпечного обміну~~безпеки (Security Server Owner)
Клас Учасника (Member Class)	GOV
Код Учасника (Member Code)	У якості коду Учасника використовується код ЄДРПОУ організації, ~~якій~~яка ~~належить~~є ~~ШБО.~~Учасником системи «Трембіта». Важливо! Якщо ввести неправильний Member Code, то шлюз безпечного обміну не буде функціонувати коректно і його потрібно ~~буте~~буде ~~переінсталювати.~~переінсталювати!
Ім’я Учасника (Member Name)	Ім'я Учасника автоматично отримується з сервера Каталогу Учасників (після введення коду Учасника) відповідно до заявки на реєстрацію Учасника у системі «Трембіта».
Шлюз безпечного обміну (Security Server)
Код ~~шлюзу~~сервера ~~безпечного~~безпеки ~~обміну~~ (Security Server Code)	Унікальний код ШБО («сервера безпеки» в вебінтерфейсі) в промисловому середовищі системи «Трембіта», який потрібно створити відповідно до наступного шаблону: ~~MemberCode_SS_~~P~~_ Number_FreeSymbols~~MemberCode_SS_P_Number_FreeSymbols, деде: MemberCode – код ЄДРПОУ організації; SS – означення ~~ШБО;~~ШБО (security server); P – ~~код~~абревіатура промислового середовища системи, не змінюється; Важливо! Варто звернути увагу, що _SS_P_ потрібно вводити великими латинськими літерами з використанням символу нижнього підкреслення «_». Number – порядковий номер ШБО організації; Примітка. Нумерація ШБО для тестового та промислового середовищ системи незалежна. FreeSymbols – (за потреби) ~~літери~~цифри та ~~цифри,~~літери, які можна додавати до ідентифікатора ШБО задля власної зручності (наприклад, позначення центру обробки даних, позначення інформаційної системи, в якій використовується ШБО тощо). Важливо! ~~Важливо!~~Додаткові ~~Варто~~символи ~~звернути~~повинні ~~увагу,~~містити щолише ~~_SS_~~P_цифри ~~потрібно~~та ~~вводити~~великі ~~великими~~літери ~~латинськими~~англійського ~~літерами з використанням символу нижнього підкреслення «_»~~алфавіту.
Програмний токен (Software Token)
PIN	Необхідно придумати PIN-код, який буде використаний для захисту ключів автентифікації, що зберігаються у програмному сховищі (файловій системі ОС). Важливо! Адміністратор вебсервісів має зберігати PIN-код у безпечному місці, оскільки після втрати PIN-коду необхідно відновлювати токен, повторно видавати та реєструвати новий сертифікат автентифікації.
Повторити PIN	Ввести повторно значення PIN-~~коду~~коду.

Після введення інформації необхідно натиснути на кнопку «Відправити» (~~Submit)~~«Submit»). Ініціалізація може зайняти декілька хвилин. Коли буде відображено повідомлення про те, що сервер був ініціалізований, необхідно натиснути на кнопку «OK».

~~Важливо!~~ ~~Після ініціалізації шлюзу безпечного обміну, необхідно~~ ~~зареєструвати IP-адресу шлюзу~~~~, шляхом подачі відповідної заявки в Особистому кабінеті Каталогу системи «Трембіта» (~~~~Додавання IP-адреси до списку дозволених (Промислове середовище)~~~~). Порядок подання зазначеної заявки вказаний у п. 7.3.2 Регламенту роботи системи «Трембіта».~~

7.2.3. Введення PIN-коду програмного токену

~~Шлюз безпечного~~ШБО прив’язує всі особисті ключі до токенів безпеки. Після ініціалізації з’явиться помаранчеве повідомлення у верхній частині сторінки з написом «Будь ласка, введіть PIN-код програмного токену». Це повідомлення вказує на те, що зазначений токен безпеки на даний час заблокований, а особисті ключі не можуть бути використані. ~~Кожен раз,~~Щоразу при перезавантаженні ПЗ UXP Security Server або всієї операційної системи ~~шлюзу безпечного обміну,~~ШБО, потрібно вводити PIN-код токену безпеки (у всі використовувані токени безпеки).

Адміністратор вебсервісів має увійти в програмний токен безпеки (softToken), використовуючи PIN-код, введений під час ініціалізації сервера, для чого необхідно:

1. Перейти в розділ «Ключі таі сертифікати».

2. Знайти рядок із написом «Токен: softToken-0».

3. Натиснути на кнопку «Введіть PIN-код» в цьому рядку -– відкриється діалогове вікно для введення PIN-коду.

4. Ввести PIN-код та натиснути на кнопку «OK».

Якщо все зроблено коректно, повідомлення «Будь ласка, введіть PIN-код програмного токену» ~~має зникнути,~~зникне, а кнопка «Вихід» -– з’~~явитись~~явиться замість кнопки «Введіть PIN-код»:

Примітка. Варто звернути увагу, що на шлюзі безпечного обміну в промисловому середовищі працює модуль контролю цілісності. Необхідно перевіряти значення таймеру у верхній частині ~~вебінтерфейсу адміністрування.~~сторінки. Якщо користувач не встигатиме завершити необхідні налаштування, він має натиснути на кнопку «Перевірка цілісності призупинена на ## хв», щоб отримати більше часу. Після завершення налаштувань обов’язково потрібно натиснути на кнопку «Оновити ГОСТ-ХЕШ»!.

Важливо! Якщо користувач не встиг виконати всі необхідні налаштування та зберегти зміни шляхом оновлення ГОСТ-хешу, модуль контролю цілісності може призупинити роботу сервісів шлюзу безпечного обміну, а вебінтерфейс адміністрування стане недоступним. У цьому випадку Адміністратору локальних компонентів (системному адміністраторові) необхідно виконати наступні ~~команди:~~команди в командному інтерфейсі ШБО:

sudo uxp-ua-integritychecker.sh recalc_all
sudo uxp-ua-integritychecker.sh recalc_allcheck
sudo uxp-ua-integritychecker.sh start_all

7.2.4. Налаштування сервера позначок часу

Шлюз безпечного обміну використовує зовнішню службу встановлення позначок часу (timestamping) для встановлення позначок часу на кожне повідомлення.

~~Промислове середовище системи «Трембіта»~~ШБО може мати декілька довірених служб позначок часу.

Адміністратор вебсервісів може ~~обирати,~~обрати, які служби позначок часу будуть використовуватися даним ШБО (зазвичай, це служба, створена відповідним надавачем електронних довірчих послуг, у якого організація отримала сертифікати печатки та шифрування).

Необхідно додати цю службу в список служб встановлення позначок часу, використовуваних шлюзом безпечного обміну, наступним чином:

1. Перейти в розділ «Параметри системи». Список серверів позначок часу має бути ~~порожній~~порожнім («Немає (відповідних) записів»).

2. Натиснути на кнопку «Додати» в секції «Сервіси позначки часу».

3. Обрати ~~сервіс КНЕДП~~ зі списку ~~згідно~~доступний ~~Видавця ключа~~сервіс і натиснути на нього.

4. Натиснути на кнопку «OK».

В результаті відобразиться інформація про обраний сервіс позначок часу і його URL в секції «Сервіси позначки часу»:.

Важливо! Повинен бути зазначений саме TSP-сервер видавця КНЕДП, де організація отримувала електронну печатку!