7.4. Реєстрація шлюзу безпечного обміну
7.4.1. Імпорт ключа підпису та шифрування
Для імпорту ключа підпису та шифрування потрібно мати згенеровані ключі печатки та шифрування та відповідні сертифікати, видані одним з КНЕДП, що підтримуються системою «Трембіта».
Отримання сертифікатів виконується на підготовчому етапі підключення до системи.
Ключі електронної печатки та шифрування можуть зберігатися на програмних захищених носіях особистих ключів, які повинні бути підключені та налаштовані згідно розділу 7.3.3.
Для імпорту ключів електронної печатки та шифрування на ШБО потрібно виконати наступні дії в його вебінтерфейсі:
1. Перейти в розділ «Ключі і сертифікати».
2. Ввести PIN-код до сховища ключів uacToken (це PIN-код до особистого ключа, що імпортований з ZIP-архіву).
3. Навпроти кожного сертифікату натиснути кнопку «Імпортувати».
Примітка. У випадку використання апаратного модулю Сайфер «Шифр-HSM», PIN-код токену вводиться в форматі ##slot_id##password. Наприклад ##231036361##1234567890.
7.4.2. Створення ключа автентифікації для шлюзу безпечного обміну
Шлюз безпечного обміну повинен автентифікуватися при відправці повідомлень до інших шлюзів безпечного обміну. Сертифікат автентифікації використовується для перевірки автентичності шлюзу безпечного обміну.
За створення ключа автентифікації та подальші дії з ним відповідає Адміністратор вебсервісів.
З метою отримання сертифікату автентифікації необхідно зробити декілька кроків, перший з них - створити новий ключ автентифікації у вебінтерфейсі шлюзу безпечного обміну, для чого необхідно виконати наступні дії:
1. Перейти в розділ «Ключі і сертифікати».
2. Обрати токен «softToken-0», натиснувши на нього мишкою.
3. Натиснути на кнопку «Генерувати ключ».
4. Ввести позначку для ключа автентифікації. Рекомендовано ввести позначку authKey.
5. Натиснути на кнопку «OK».
Генерація ключа може зайняти кілька секунд. Якщо все зроблено вірно, з’явиться щойно створений ключ під токеном безпеки з написом authKey (?).
7.4.3. Генерація запиту на сертифікат (Certificate Signing Request) ключа автентифікації
Сертифікати автентифікації, які використовуються шлюзами безпечного обміну, повинні бути підписані технологічним центром сертифікації ключів тестового середовища системи «Трембіта».
Для цього спочатку необхідно створити запит на підпис сертифікату (Certificate Signing Request (CSR)) для попередньо створеного ключа через вебінтерфейс ШБО. Центр сертифікації приймає заявки на підпис у вигляді файлів в текстовому форматі PEM.
Для створення запиту необхідно виконати наступні дії в вебінтерфейсі ШБО:
1. Перейти в розділ «Ключі і сертифікати».
2. Обрати ключ автентифікації, згенерований на попередньому кроці (authKey).
3. Натиснути на кнопку «Генерувати CSR» - відкриється діалог «Створити запит на підпис сертифіката».
4. У діалоговому вікні необхідно встановити наступні значення:
|
Поле |
Значення |
|
Використання (Usage) |
Auth |
|
Сервіс сертифікації (Certification Service) |
Необхідно обрати технологічний центр сертифікації ключів тестового середовища системи: «Trembita CA Diia TEST». |
|
CSR Format |
PEM |
5. Натиснути «OK».
6. Відобразиться діалог підтвердження з інформацією про шлюз безпечного обміну. Якщо найменування організації у полі «Organization (O)» не відображається, це означає, що організація ще не зареєстрована. В такому разі потрібно звернутися до Адміністратора СЕВДЕІР для уточнення. Якщо всі поля заповнені - необхідно натиснути на кнопку «OK».
7. Зберегти файл з розширенням *.pem на комп’ютері.
7.4.4. Отримання сертифікату для ключа автентифікації
Згенерований *.pem файл запиту (CSR) використовується для створення та отримання сертифікату автентифікації для шлюзу безпечного обміну. Сертифікат автентифікації видає Адміністратор системи «Трембіта».
Необхідно надати згенерований *.pem файл Адміністратору СЕВДЕІР за допомогою відповідної заявки. Адміністратор СЕВДЕІР має обробити заявку та надати сертифікат автентифікації, який потрібен для наступного кроку.
Для цього необхідно згенерований *.pem файл надіслати Адміністратору системи «Трембіта» шляхом подачі відповідної заявки в Особистому кабінеті Каталогу системи «Трембіта» (Видача нового сертифікату автентифікації (Промислове середовище)).
Порядок подання зазначеної заявки вказаний у п. 7.3.3 Регламенту роботи системи «Трембіта».
Адміністратор системи «Трембіта» має обробити заявку та надати сертифікат автентифікації, який потрібен для виконання наступного кроку, у відповідь на опрацьовану ним заявку засобами Особистого кабінету Каталогу системи «Трембіта».
Важливо! Без цього сертифікату подальші кроки неможливі!
7.4.5. Імпорт сертифікату для ключа автентифікації на шлюз безпечного обміну
Для імпорту виданого сертифікату автентифікації до шлюзу безпечного обміну Адміністратору вебсервісів потрібно виконати наступні дії в вебінтерфейсі ШБО:
1. Перейти в розділ «Ключі і сертифікати».
2. Натиснути на кнопку «Імпорт сертифікату».
3. Натиснути на кнопку «Переглянути» і обрати сертифікат автентифікації, отриманий на попередньому кроці.
4. Натиснути на кнопку «OK».
Якщо все зроблено правильно, у вебінтерфейсі ШБО буде відображена інформація про доданий сертифікат під ключем автентифікації authKey.
7.4.6. Активація сертифікатів автентифікації та підпису
На цьому етапі сертифікати автентифікації та електронної печатки вже імпортовані до шлюзу безпечного обміну, однак, вони за замовчуванням відключені (в колонці «OCSP-відповідь» для сертифікату вказано «відключений»).
Відключені сертифікати не використовуються шлюзом безпечного обміну.
Для їх активації Адміністратору вебсервісів необхідно виконати наступні дії у вебінтерфейсі шлюзу безпечного обміну:
1. Перейти в розділ «Ключі і сертифікати».
2. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці (наступний рядок під authKey, з числовим серійним номером).
3. Натиснути на кнопку «Активувати».
4. Обрати сертифікат печатки (під рядком «uaToken-sign (sign)»).
5. Натиснути на кнопку «Активувати».
6.7.4.7. Відправка запиту на реєстрацію сертифікатів
Сертифікат автентифікації використовується іншими шлюзами безпечного обміну для перевірки автентичності шлюзу безпечного обміну конкретного Учасника. Для цього шлюзи безпечного обміну повинні «знати» його (загальнодоступний) сертифікат автентифікації та довіряти йому.
Довірені сертифікати автентифікації поширюються через сервер Каталогу Учасників системи «Трембіта». Адміністратор системи «Трембіта» повинен перевірити отриманий запит на реєстрацію і, якщо запит дійсний, додати сертифікат автентифікації у перелік зареєстрованих у тестовому середовищі системи «Трембіта».
Варто звернути увагу на те, що статус сертифіката автентифікації, який імпортовано в попередньому стані, «збережений», а не «зареєстровано». Це означає, що цей сертифікат ще не відправлений до сервера Каталогу Учасників.
Для реєстрації сертифікату автентифікації та сертифікату шифрування Адміністратор вебсервісів у вебінтерфейсі шлюзу безпечного обміну повинен виконати наступні дії:
1. Перейти в розділ «Ключі і сертифікати».
2. Обрати сертифікат шифрування (рядок під «uaToken-encr (encr)»).
3. Натиснути на кнопку «Зареєструвати». Якщо всі попередні кроки виконані успішно, буде відображено повідомлення зеленого кольору з інформацією, що запит надіслано успішно.
4. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці.
5. Натиснути на кнопку «Зареєструвати» - відкриється діалог «Запит на реєстрацію».
6. Ввести загальнодоступну (публічну) IP-адресу шлюзу безпечного обміну (яка доступна через мережу Інтернет, була виділена для цього шлюзу безпечного обміну та налаштована на підготовчих кроках) або відповідне DNS-ім’я та натиснути на кнопку «OK».
Якщо все зроблено коректно, статус сертифікату автентифікації повинен змінитися на «в процесі реєстрації» - це означає, що запит був успішно відправлений шлюзом безпечного обміну.
Наступним кроком є подача заявки на реєстрацію шлюзу безпечного обміну засобами Особистого кабінету Каталогу системи «Трембіта» (Реєстрація ШБО в ядрі системи (Промислове середовище)).
Порядок подачі зазначеної заявки вказаний п. 7.3.4 Регламенту роботи системи «Трембіта».
Після чого Адміністратор системи «Трембіта» повинен обробити заявку та підтвердити запит.
Коли запит на реєстрацію схвалено, статус сертифікату автентифікації та сертифікату шифрування повинен бути змінений на «зареєстровано». Це може зайняти деякий час (з врахуванням часу обробки заявки), поки глобальна конфігурація не буде оновлена. Після отримання відповіді на заявку на реєстрацію шлюзу безпечного обміну можна перевірити сторінку «Ключі і сертифікати» у вебінтерфейсі шлюзу безпечного обміну. В разі необхідності можна оновлювати її, оновлення глобальної конфігурації може зайняти декілька хвилин.
Приклад вебінтерфейсу, коли всі сертифікати коректно зареєстровані:
