7.4. Реєстрація шлюзу безпечного обміну
7.4.1. Імпорт ключа підпису та шифрування
Для імпорту ключа підпису та шифрування потрібно мати згенеровані ключі печатки та шифрування та відповідні сертифікати, видані одним з КНЕДП, що підтримуються системою «Трембіта».
Отримання сертифікатів виконується на підготовчому етапі підключення до системи.
Ключі електронної печатки та шифрування можуть зберігатися на програмних захищених носіях особистих ключів, які повинні бути підключені та налаштовані згідно розділу 7.3.3.
Для імпорту ключів електронної печатки та шифрування на ШБО потрібно виконати наступні дії в його вебінтерфейсі:
1. Перейти в розділ «Ключі і сертифікати».
2. Ввести PIN-код до сховища ключів uacToken (це PIN-код до особистого ключа, що імпортований з ZIP-архіву).
3. Навпроти кожного сертифікату натиснути кнопку «Імпортувати».
Примітка. У випадку використання апаратного модулю Сайфер «Шифр-HSM», PIN-код токену вводиться в форматі ##slot_id##password. Наприклад ##231036361##1234567890.
7.4.2. Створення ключа автентифікації для шлюзу безпечного обміну
Шлюз безпечного обміну повинен автентифікуватися при відправці повідомлень до інших шлюзів безпечного обміну. Сертифікат автентифікації використовується для перевірки автентичності шлюзу безпечного обміну.
За створення ключа автентифікації та подальші дії з ним відповідає Адміністратор вебсервісів.
ЗДля метоютого, отримання сертифікату автентифікації необхідно зробити декілька кроків, перший з них -щоб створити новий ключ автентифікації у вебінтерфейсі шлюзу безпечного обміну, для чого необхідно виконати наступні дії:необхідно:
1. Перейти в розділ «Ключі і сертифікати».
2. Обрати токен «softToken-0», натиснувши на ньогоньому мишкою.
3. Натиснути на кнопку «Генерувати ключ».
4. Ввести позначку для ключа автентифікації. Рекомендовано ввести позначку authKey.позначку – authKey.
5. Натиснути на кнопку «OK».
Генерація ключа може зайняти кілька секунд. Якщо все зроблено вірно, з’явиться щойно створений ключ з’явиться під токеном безпеки з написом написом «authKey (?)».
7.4.3. Генерація запиту на сертифікат (Certificate Signing Request) ключа автентифікації
Сертифікати автентифікації, які використовуються шлюзами безпечного обміну, повинні бути підписані технологічним центром сертифікації ключів промислового середовища системи «Трембіта».
Для цього спочатку необхідно створити запит на підпис сертифікату (Certificate Signing Request (CSR)) для попередньо створеного ключа через вебінтерфейс ШБО. Центр сертифікації приймає заявки на підпис у вигляді файлів в текстовому форматі PEM.
Для створення запиту необхідно виконати наступні дії в вебінтерфейсі ШБО:
1. Перейти в розділ «Ключі і сертифікати».
2. ОбратиВибрати ключ автентифікації, згенерований на попередньому кроці (authKey).
3. Натиснути на кнопку «Генерувати CSR» -– відкриється діалог «Створити запит на підпис сертифіката».
4. У діалоговому вікні необхідно встановити наступні значення:
|
Поле |
Значення |
|
Використання (Usage) |
Auth |
|
Сервіс (Certification Service) |
Необхідно обрати технологічний центр сертифікації ключів промислового середовища |
|
CSR Format |
PEM |
5. Натиснути на кнопку «OK».
6. Відобразиться діалог підтвердження з інформацією про шлюз безпечного обміну. Якщо найменування організації у полі «Organization (O)» не відображається,відображається – це означає, що організація ще не зареєстрована. В такому разі потрібно звернутися до Адміністратора СЕВДЕІРсистеми «Трембіта» для уточнення. Якщо всі поля заповнені -– необхідно натиснути на кнопку «OK».
7. Зберегти файл з розширенням *.pem на комп’ютері.
7.4.4. Отримання сертифікату для ключа автентифікації
Згенерований *.pem файл запиту (CSR) використовується для створення та отримання сертифікату автентифікації для шлюзу безпечного обміну. Сертифікат автентифікації видає Адміністратор системи «Трембіта».
Необхідно надати згенерований *.pem файл Адміністратору СЕВДЕІР за допомогою відповідної заявки. Адміністратор СЕВДЕІР має обробити заявку та надати сертифікат автентифікації, який потрібен для наступного кроку.
Для цього необхідно згенерований *.pem файл надіслати Адміністратору системи «Трембіта» шляхомзасобами подачіОсобистого відповідної заявки в Особистому кабінетікабінету Каталогу системи «Трембіта» (Видача нового сертифікату автентифікації (Промислове середовище)).
Порядок подання зазначеної заявки вказаний у п. 7.3.3 Регламенту роботи системи «Трембіта».
Адміністратор системи «Трембіта» має обробити дану заявку та надати сертифікат автентифікації, який потрібен для виконання наступного кроку, у відповідь на опрацьовану ним заявку засобами Особистого кабінету Каталогу системи «Трембіта». надати сертифікат автентифікації. Цей сертифікат потрібен для виконання наступного кроку реєстрації ШБО.
Важливо! Без цього сертифікату подальші кроки неможливі!
7.4.5. Імпорт сертифікату для ключа автентифікації на шлюз безпечного обміну
Для імпорту виданого на попередньому кроці сертифікату автентифікації до шлюзу безпечного обміну Адміністратору вебсервісів потрібно виконати наступні дії в вебінтерфейсі ШБО:
1. Перейти в розділ «Ключі і сертифікати».
2. Натиснути на кнопку «Імпорт сертифікату».
3. Натиснути на кнопку «Переглянути» і обрати сертифікат автентифікації, отриманий на попередньому кроці.
4. Натиснути на кнопку «OK».
Якщо все зроблено правильно, у вебінтерфейсі ШБО буде відображена інформація про доданий сертифікат під ключем автентифікації authKey.«Ключ: authKey».
7.4.6. Активація сертифікатів автентифікації та підпису
На цьому етапі сертифікати автентифікації та електронної печатки вже імпортовані до шлюзу безпечного обміну, однак, вони за замовчуванням відключені (в колонці «OCSP-відповідь» для сертифікату вказано «відключений»).
Важливо! Відключені сертифікати не використовуються шлюзом безпечного обміну.
Для їх активації Адміністратору вебсервісів необхідно виконати наступні дії ув вебінтерфейсі шлюзу безпечного обміну:
1. Перейти в розділ «Ключі і сертифікати».
2. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці (наступний рядок під authKey,«Ключ: authKey», з числовим серійним номером).
3. Натиснути на кнопку «Активувати».
4. ОбратиВибрати сертифікат печатки (під рядком «Ключ: uaToken-sign (sign)»).
5. Натиснути на кнопку «Активувати».
7.4.7. Відправка запиту на реєстрацію сертифікатів
Сертифікат автентифікації використовується іншими шлюзами безпечного обміну для перевірки автентичності шлюзу безпечного обмінуШБО конкретного Учасника. Для цього шлюзи безпечного обміну повинні «знати»обмінятися йогозареєстрованими (загальнодоступний) сертифікатсертифікатами автентифікації та довіряти йому.їм.
Довірені сертифікати автентифікації поширюються через сервер Каталогу Учасників системи «Трембіта». Адміністратор системи «Трембіта» повинен перевірити отриманий запит на реєстрацію і, якщо запит дійсний, додати сертифікат автентифікації у перелік зареєстрованих у промисловому середовищі системи «Трембіта».
Варто звернути увагу на те,увагу, що статус сертифіката автентифікації, який імпортовано в попередньому стані, «збережений», а не «зареєстровано». Це означає, що цей сертифікат ще не був відправлений на реєстрацію до серверасерверу Каталогу Учасників.
Для реєстрації сертифікату автентифікації та сертифікату шифрування Адміністратор вебсервісів у вебінтерфейсі шлюзу безпечного обмінуШБО повинен виконати наступні дії:
1. Перейти в розділ «Ключі і сертифікати».
2. ОбратиВибрати сертифікат шифрування (рядок під «Ключ: uaToken-encr (encr)»).
3. Натиснути на кнопку «Зареєструвати». Якщо всі попередні кроки виконані успішно, буде відображено повідомлення зеленого кольору з інформацією, що запит надіслано успішно.успішно, а також статус сертифіката шифрування повинен стати «в процесі реєстрації».
4. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці.
5. Натиснути на кнопку «Зареєструвати». - відкриєтьсяВідкриється діалог «Запит на реєстрацію».
6. Ввести загальнодоступну (публічну)«білу/публічну») IP-адресу шлюзу безпечного обміну (яка доступна через мережу Інтернет, була виділена для цього шлюзу безпечного обміну та налаштована на підготовчих кроках) або відповідне DNS-ім’я та натиснути на кнопку «OK».
Якщо все зроблено коректно, статус сертифікатусертифіката автентифікації повинен змінитися настати «в процесі реєстрації». - цеЦе означає, що запит був успішно відправлений шлюзом безпечного обміну.
Наступним кроком є подача заявки на реєстрацію шлюзу безпечного обміну засобами Особистого кабінету Каталогу системи «Трембіта» (Реєстрація ШБО в ядрі системи (Промислове середовище)).
Порядок подачіподання зазначеної заявки вказаний в п. 7.3.4 Регламенту роботи системи «Трембіта».
Після чого Адміністратор системи «Трембіта» повинен обробити заявку та підтвердити запит.
Коли запит на реєстрацію буде схвалено, статус сертифікату автентифікації та сертифікату шифрування повинен бути зміненийзміниться на «зареєстровано». Це може зайняти деякий час (з врахуванням часу обробки заявки), поки глобальна конфігурація не буде оновлена. Після отримання відповіді на заявку на реєстрацію шлюзу безпечного обміну можна перевірити сторінку «Ключі і сертифікати» у вебінтерфейсі шлюзу безпечного обміну. В разі необхідності можна оновлювати її,її. оновленняОновлення глобальної конфігурації може зайняти декілька хвилин.
Приклад вебінтерфейсу, коли всі сертифікати коректно зареєстровані:
