Інструкція зі встановлення локальних компонентів системи "Трембіта" в тестовому середовищі за допомогою скрипта автоматизації

• 1. Перелік термінів та умовних позначень
• 2. Передмова
• 3. Ролі користувачів у компонентах суб'єктів системи "Трембіта"
• 4. Алгоритм встановлення локальних компонентів системи "Трембіта" в тестовому середовищі
• 5. Передумови встановлення
• 5.1. Підготовка до встановлення шлюзу безпечного обміну
• 5.2. Налаштування мережевих параметрів
• 6. Встановлення та конфігурація шлюзу безпечного обміну в тестовому середовищі
• 6.1. Встановлення шлюзу безпечного обміну за допомогою скрипта автоматизації
• 6.2. Початкова конфігурація шлюзу безпечного обміну
• 6.3. Підключення захищених носіїв особистих ключів (апаратних або програмних токенів)
• 6.4. Реєстрація шлюзу безпечного обміну
• 6.5. Створення підсистем
• 7. Журнали і системні сервіси
• 8. Найпоширеніші помилки

1. Перелік термінів та умовних позначень

Термін	Пояснення
Терміни, що стосуються функціонування компонентів системи «Трембіта»
Апаратний токен	Захищений носій особистих ключів, який містить особисті ключі, необхідні для функціонування криптографічних функцій шлюзу безпечного обміну
(Д)ЕІР	(Державний) електронний інформаційний ресурс
Каталог системи «Трембіта»	Програмний комплекс, який забезпечує накопичення, облік та відображення інформації про учасників системи електронної взаємодії державних електронних інформаційних ресурсів «Трембіта», суб’єктів електронної взаємодії, операторів, електронні інформаційні ресурси, програмні інтерфейси електронних інформаційних ресурсів, сервіси та електронні інформаційні взаємодії
КНЕДП	Кваліфікований надавач електронних довірчих послуг
ПЗ	Програмне забезпечення
Система електронної взаємодії державних електронних інформаційних ресурсів (система «Трембіта»)	Інформаційно-телекомунікаційна система, призначена для автоматизації та технологічного забезпечення обміну електронними даними між Суб’єктами електронної взаємодії з електронних інформаційних ресурсів під час надання адміністративних послуг та здійснення інших повноважень відповідно до покладених на них завдань
Токен безпеки	Сутність у програмному забезпеченні UXP Security Server, що репрезентує сховище особистих ключів. Може бути як програмним, так і апаратним
ШБО	Шлюз безпечного обміну – сервер, на який встановлено програмне забезпечення UXP Security Server
UXP	Unified eXchange Platform – програмна платформа, на базі якої побудована система «Трембіта»
Терміни, що описують суб'єктів системи «Трембіта»
Адміністратор системи «Трембіта»	Державне підприємство «Дія» (визначено постановою від 8 вересня 2016 р. №606 «Деякі питання електронної взаємодії державних електронних інформаційних ресурсів»)
Держатель системи «Трембіта»	Міністерство цифрової трансформації України (визначено постановою від 8 вересня 2016 р. №606 «Деякі питання електронної взаємодії державних електронних інформаційних ресурсів»)
Оператор	Учасник системи електронної взаємодії державних електронних інформаційних ресурсів «Трембіта», уповноважений суб’єктом електронної взаємодії на виконання функцій суб’єкта електронної взаємодії в межах побудови електронної інформаційної взаємодії
Отримувач реєстрової інформації	Суб’єкт електронної взаємодії, який відповідно до закону має право на отримання реєстрової інформації у порядку електронної інформаційної взаємодії публічних електронних реєстрів
Постачальник реєстрової інформації	Держатель публічного електронного реєстру та/або інформаційно-комунікаційної системи, який відповідно до закону надає отримувачу реєстрову інформацію, що є об’єктом електронної інформаційної взаємодії публічних електронних реєстрів
Суб’єкт електронної взаємодії	Власник (держатель) електронного інформаційного ресурсу, який уклав договір про приєднання до системи «Трембіта» та забезпечує електронну інформаційну взаємодію з іншими суб’єктами електронної взаємодії через систему «Трембіта» та може розміщувати сервіси та підсистеми на шлюзах безпечного обміну учасників системи «Трембіта». Суб’єкти електронної взаємодії можуть бути постачальниками та/або отримувачами реєстрової інформації. На одному ШБО Учасника може бути опубліковано інтерфейси прикладного програмування та/або вебклієнти не більше, ніж одного Суб’єкта електронної взаємодії
Учасник	Суб’єкт владних повноважень, суб’єкт господарювання, який уклав договір про приєднання до системи «Трембіта»

2. Передмова

Тестове середовище системи «Трембіта» призначене для перевірки працездатності вебсервісів та вебклієнтів, які мають бути задіяні у промисловому середовищі системи «Трембіта».

Суб’єкти електронної взаємодії у тестовому середовищі системи «Трембіта» здійснюють обмін «хибною» інформацією, але із застосуваннями вебсервісів та вебклієнтів, що мають використовуватись у промисловому середовищі системи «Трембіта».

Важливо! Обмін реальною інформацією у тестовому середовищі системи «Трембіта» заборонений!

Типовий набір локальних компонентів системи «Трембіта» в тестовому середовищі є наступним:

- шлюз безпечного обміну – обов’язковий компонент,

- сервер аналізу транзакцій – необов’язковий компонент,

- сервер моніторингу за працездатністю – необов’язковий компонент.

Дана інструкція покриває процес інсталяції шлюзу безпечного обміну у тестовому середовищі за допомогою скрипта автоматизації встановлення та його конфігурацію, а також технічні вимоги до апаратного забезпечення та налаштування мережевих схем.

Важливо! Сервер аналізу транзакцій та сервер моніторингу за працездатністю встановлюються відповідно до настанов Інструкції зі встановлення локальних компонентів системи «Трембіта» в тестовому середовищі вручну, скрипт не покриває їх інсталяції.

3. Ролі користувачів у компонентах суб'єктів системи "Трембіта"

На рисунку 3.1 відображено рольову модель для локальних компонентів системи «Трембіта» з зазначенням того, яким чином відбувається доступ користувачів до програмного забезпечення локальних компонентів, зокрема, ШБО, Серверу моніторингу за працездатністю та Серверу аналізу транзакцій.

Рисунок 3.1 – Рольова модель локальних компонентів системи «Трембіта»

В таблиці 3.1 наведено детальні пояснення щодо кожної із зазначених вище ролей.

Таблиця 3.1. Ролі користувачів в локальних компонентах системи «Трембіта»

Роль	Пояснення
Адміністратор локальних компонентів (системний адміністратор)	Користувач операційної системи, який має право на виконання команд з керування станом операційної системи та прикладного програмного забезпечення компонентів та керування станом їх безпеки. Роль існує на всіх типах компонентів та робочій станції адміністратора. Роль виконує уповноважений співробітник Оператора або Суб'єкта електронної взаємодії, якщо він самостійно встановлює та адмініструє власні локальні компоненти
Адміністратор вебсервісів	Користувач операційної системи компонента «Шлюз безпечного обміну», який не має права на інтерактивний вхід до командного інтерфейсу операційної системи компонента. Цей користувач має право на адміністрування прикладного програмного забезпечення шлюзу безпечного обміну через відповідний вебінтерфейс. Роль існує тільки на шлюзі безпечного обміну. Роль виконує уповноважений співробітник Оператора або Суб'єкта електронної взаємодії, якщо він самостійно встановлює та адмініструє власні локальні компоненти
Відповідальний за управління ключами	Користувач операційної системи компонента «Шлюз безпечного обміну», який не має права на інтерактивний вхід до командного інтерфейсу операційної системи компонента. Цей користувач має право на керування кваліфікованими електронними печатками власної організації через відповідний вебінтерфейс. Роль існує тільки на шлюзі безпечного обміну. Роль виконує уповноважений співробітник Суб’єкта електронної взаємодії
Відповідальний за аналіз транзакцій	Користувач операційної системи компонента «Сервер баз даних та архівування», який не має права на інтерактивний вхід до командного інтерфейсу операційної системи компонента. Цей користувач має право на перегляд та аналіз транзакцій за допомогою відповідного вебінтерфейсу. Роль існує тільки на сервері аналізу транзакцій (в тестовому та промисловому середовищах) та сервері баз даних та архівування (в промисловому середовищі). Роль виконує уповноважений співробітник Суб’єкта електронної взаємодії

4. Алгоритм встановлення локальних компонентів системи "Трембіта" в тестовому середовищі

Рисунок 4.1 – Блок-схема алгоритму встановлення локальних компонентів системи «Трембіта» в тестовому середовищі вручну

5. Передумови встановлення

Для підключення до тестового середовища системи «Трембіта» установа, що планує стати Суб'єктом електронної взаємодії, повинна виконати наступні попередні кроки:

- укласти із Держателем системи «Трембіта» (Мінцифри) угоду про приєднання до системи «Трембіта» та подати Держателю заявку із відомостями про відповідальну особу (виконується на етапі підключення до тестового середовища);

- отримати тестову електронну печатку установи на захищеному носії особистих ключів в будь-якого сумісного кваліфікованого надавача електронних довірчих послуг. Перелік сумісних КНЕДП можна дізнатись у Адміністратора системи «Трембіта».

У випадку, якщо Суб’єкт електронної взаємодії не планує самостійно встановлювати та адмініструвати власні локальні компоненти, а буде уповноважувати іншого Учасника на виконання функцій Оператора (відповідно до регламенту роботи системи «Трембіта»), йому необхідно укласти з ним договір та призначити Оператором засобами Особистого кабінету Каталогу системи «Трембіта».

У випадку, якщо Суб’єкт електронної взаємодії планує самостійно встановлювати та адмініструвати власні локальні компоненти, йому додатково потрібно виконати наступні кроки:

- підготувати програмно-апаратне забезпечення під встановлення компонентів системи «Трембіта» згідно таблиці 5.1, де вказані мінімальні вимоги до апаратних ресурсів;

- виділити одну статичну зовнішню («білу/публічну») IP-адресу (може суміщатися з іншими тестовими сервісами організації, якщо необхідні TCP-порти вільні для використання);

- налаштувати мережевий зв'язок згідно мережевої схеми, наведеної на рисунку 5.1.

Для підключення до тестового середовища системи «Трембіта» установа, що планує стати Оператором, повинна виконати наступні попередні кроки:

- укласти із Держателем системи «Трембіта» (Мінцифри) угоду про приєднання до системи «Трембіта» та подати Держателю заявку із відомостями про відповідальну особу (виконується на етапі підключення до тестового середовища);

- укласти договір з іншим Суб’єктом електронної взаємодії, локальні компоненти якого він планує встановлювати та адмініструвати, на виконання його функцій в межах побудови електронних інформаційних взаємодій.

Після чого:

- підготувати програмно-апаратне забезпечення під встановлення компонентів системи «Трембіта» згідно таблиці 5.1, де вказані мінімальні вимоги до апаратних ресурсів;

- виділити одну статичну зовнішню («білу/публічну») IP-адресу (може суміщатися з іншими тестовими сервісами організації, якщо необхідні TCP-порти вільні для використання);

- налаштувати мережевий зв'язок згідно мережевої схеми, наведеної на рисунку 5.1;

- отримати тестову електронну печатку установи на захищеному носії особистих ключів в будь-якого сумісного кваліфікованого надавача електронних довірчих послуг. Перелік сумісних КНЕДП можна дізнатись у Адміністратора системи «Трембіта».

Для підключення до тестового середовища обов’язковим локальним компонентом є шлюз безпечного обміну (компонент, позначений як «VM Шлюз безпечного обміну» на рисунку 5.1). Це віртуальна машина (або фізичний сервер), що повинна мати вихід до мережі Інтернет, а також приймати вхідні підключення з мережі Інтернет.

Для шлюзу безпечного обміну необхідно визначити наступні параметри:

- статичну IP-адресу в локальній мережі організації;

- зовнішню статичну IP-адресу, що відповідає за приймання вхідних підключень до шлюзу безпечного обміну та має бути зареєстрована у системі «Трембіта». Також саме ця зовнішня статична IP-адреса має використовуватися шлюзом безпечного обміну для підключення до шлюзів інших організацій та повинна мати відкриті порти: 5500, 5577 та 5599.

Примітка. Додатковими компонентами тестового середовища можуть бути тестові бази даних та тестові вебсервіси/вебклієнти. Рекомендується створювати тестові бази даних, що за структурою відповідають реальним базам даних реєстрів, але містять тестові дані.

5.1. Підготовка до встановлення шлюзу безпечного обміну

Встановлення усіх локальних компонентів системи «Трембіта» виконується Адміністратором локальних компонентів (системним адміністратором).

Мінімальні апаратні характеристики та використовуване програмне забезпечення віртуальної машини (або фізичного сервера), необхідні для підключення до тестового середовища, наведені у таблиці 5.1.

Назва компоненту	Кількість ядер CPU	RAM, GB	HDD (OS + APP + логи), GB	Операційна система	Встановлене програмне забезпечення	Апаратний токен	Порти, доступні із мережі Інтернет
У сегменті демілітаризованої зони (DMZ)
Шлюз безпечного обміну / UXP Security Server	4	4	64	Ubuntu Server 18.04.4 LTS 64bit	UXP Security Server	Необов’язково	TCP 5500, 5577, 5599

Мережева схема підключення до системи «Трембіта» в тестовому середовищі наведена на рисунку 5.1.

Рисунок 5.1 – Мережева схема підключення до системи «Трембіта» (тестове середовище)

Шлюз безпечного обміну функціонує на базі операційної системи Ubuntu Server 18.04.4 x64, яку необхідно встановити на відповідну віртуальну машину. Завантажити інсталяційний образ можна з репозиторію системи «Трембіта».

Процес інсталяції даної операційної системи наведено в Інструкції з інсталяції операційної системи Ubuntu Server 18.04.4 x64.

Після завершення інсталяції операційної системи, Адміністратор локальних компонентів (системний адміністратор) може підключитися до консолі (командного інтерфейсу), наприклад, за допомогою виконання наступної команди:

ssh <ADMIN_USER>@<Your-security-server-IP>

де <ADMIN_USER> – логін Адміністратора локальних компонентів (системного адміністратора) операційної системи ШБО, який створено під час інсталяції операційної системи,

<Your-security-server-IP> – внутрішня (локальна) IP-адреса ШБО.

Примітка. При введенні паролю (password) символи, що вводяться, не відображаються на екрані – це стандартна поведінка операційної системи з паролями.

 Примітка. При використанні команди sudo після першого входу користувача в операційну систему буде запитано пароль цього користувача для підтвердження адміністративних повноважень у системі.

5.2. Налаштування мережевих параметрів

Налаштування IP-адреси в операційній системі Ubuntu Server 18.04.4 LTS здійснюється Адміністратором локальних компонентів (системним адміністратором) у файлі /etc/netplan/50-cloud-init.yaml (або іншому файлі *.yaml у директорії /etc/netplan/):

sudo nano /etc/netplan/50-cloud-init.yaml

Приклад налаштувань для динамічної IP-адреси (за DHCP) має наступний вигляд:

network:
    version: 2
    ethernets:
        ens160:
            dhcp4: true

де ens160 – системне ім’я мережевого адаптеру, що налаштовується. Дізнатися його можна за допомогою виконання наступної команди:

dmesg|grep eth

Приклад налаштувань для статичної IP-адреси має наступний вигляд:

network:
    version: 2
    ethernets:
        ens160:
            dhcp4: no
            addresses: [192.168.1.181/24]
            gateway4: 192.168.1.1
            nameservers:
                addresses: [192.168.1.1,8.8.8.8]

де ens160 – системне ім’я мережевого адаптеру, що налаштовується. Дізнатися його можна за допомогою виконання наступної команди:

dmesg|grep eth

addresses – перелік IP-адрес, які будуть встановлені для цього мережевого адаптера,

gateway4 – IP-адреса основного шлюзу,

блок nameservers addresses – перелік IP-адрес серверів імен, які використовуватимуться для визначення IP-адрес за DNS-іменами вузлів мережі.

Примітка. Конкретні значення параметрів у конкретному випадку можуть бути іншими.

Примітка. Якщо віртуальна машина була клонована з метою пришвидшення процесу інсталяції, необхідно змінити ім’я вузла у наступних файлах: /etc/hosts та /etc/hostname.

Після завершення мережевих налаштувань потрібно відключити функції автоматичного оновлення пакетів. Для цього необхідно:

1. Відкрити файл /etc/apt/apt.conf.d/10periodic за допомогою виконання наступної команди:

sudo nano /etc/apt/apt.conf.d/10periodic

2. Встановити значення «0» для параметру «APT::Periodic::UpdatePackage-Lists»:

APT::Periodic::Update-Packages-Lists "0";

3. Закрити редактор, натиснувши комбінацію клавіш «Ctrl+X», а коли буде відображено повідомлення про підтвердження збереження змін – необхідно натиснути «Y», а потім «Enter» для збереження.

4. Відкрити файл /etc/update-manager/release-upgrades за допомогою виконання наступної команди:

sudo nano /etc/update-manager/release-upgrades

5. Встановити значення «never» для параметру «Prompt»:

Prompt=never

6. Закрити редактор, натиснувши комбінацію клавіш «Ctrl+X», а коли буде відображено повідомлення про підтвердження збереження змін – необхідно натиснути «Y», а потім «Enter» для збереження.

7. Перезавантажити операційну систему за допомогою виконання наступної команди:

sudo shutdown -r now

Після завершення налаштування мережі рекомендовано встановити антивірусне програмне забезпечення на всіх компонентах (наприклад, Falcon).

Важливо! Перед виконанням наступних кроків рекомендується зробити резервну копію стану віртуальної машини (snapshot).

6. Встановлення та конфігурація шлюзу безпечного обміну в тестовому середовищі

6.1. Встановлення шлюзу безпечного обміну за допомогою скрипта автоматизації

6.1.1. Завантаження скрипта автоматизації встановлення

Скрипт автоматизації встановлення призначений для виконання інсталяції програмного забезпечення шлюзу безпечного обміну.

Скрипт автоматизованого встановлення можна завантажити за посиланням:

https://portal.trembita.gov.ua/media/website-media/trembita_installation1_12_6.zip.

Після завантаження необхідно розархівувати завантажений архів до домашньої директорії (/home/<username>).

Це можна зробити за допомогою послідовного виконання наступних команд:

wget https://portal.trembita.gov.ua/media/website-media/trembita_installation1_12_6.zip
unzip trembita_installation.zip

 Примітка. Якщо утиліта Unzip не встановлена, її необхідно встановити за допомогою виконання наступної команди:

apt install unzip

Після розархівування в домашній директорії з’являться файли, необхідні для встановлення ШБО.

---

6.1.2. Запуск та робота скрипта автоматизації встановлення для тестового середовища

Для запуску скрипта необхідно:

1. Перейти до відповідної віртуальної машини, де буде здійснюватися встановлення ШБО.

2. Виконати наступну команду:

sudo -s

3. Ввести пароль користувача root для підтвердження адміністративних повноважень у системі.

4. Перейти в теку /trembita_installation домашньої директорії

cd trembita_installation

5. Запустити скрипт наступною командою:

./install_standalone_ss.sh

Важливо! Результат роботи скрипта відмінити неможливо, тому перед його виконанням необхідно зробити резервну копію (снапшот) віртуальної машини, на якій буде запущено скрипт.

Після запуску скрипта на виконання користувачеві буде відображено наступне повідомлення: «Цей сценарій встановить шлюз безпечного обміну версії 1.12.6, будь ласка, переконайтеся, що ця машина має доступ до мережі Інтернет. Щоб почати натисніть клавішу ENTER.».

В ході інсталяції буде запропоновано виконати деякі налаштування вручну, зокрема, наступні:

1. Налаштування локалей. У діалоговому вікні необхідно знайти запис «en_US.UTF-8 UTF-8», поставити позначку за допомогою клавіші «SPACE» (зазвичай позначку встановлено за замовчуванням) та натиснути на клавішу «ENTER»:

2. У діалоговому вікні «Default locale for a system environment» потрібно обрати «en_US.UTF-8» та натиснути на клавішу «ENTER»:

3. Ввести логін для облікового запису Адміністратора вебсервісів. Цей користувач зможе авторизуватися в вебінтерфейсі ШБО. 

Примітка. За замовчуванням встановлено логін «uxpadmin», але за бажання його можна змінити.

Для підтвердження дії необхідно натиснути на клавішу «ENTER»:

4. Встановити пароль для облікового запису Адміністратора вебсервісів. Для підтвердження дії необхідно натиснути на клавішу «ENTER»:

Для перевірки стану виконання встановлених компонентів ПЗ UXP Security Server після завершення роботи скрипта необхідно виконати наступну команду:

sudo systemctl list-units | grep "uxp"

Список сервісів UXP, які мають бути активними (active/running):

uxp-confclient.service
uxp-jetty.service
uxp-monitor.service
uxp-proxy.service
uxp-signer.service

---

6.1.3. Можливі помилки під час виконання скрипта

Під час роботи скрипта можуть статися помилки. Нижче наведено приклади таких помилок та шляхи їх виправлення:

Текст помилки	Шляхи виправлення
Здається, Ви використовуєте неправильну версію операційної системи. Версія операційної системи зараз ХХ.ХХ, а повинна бути 18.04.	Версія операційної системи відрізняється від Ubuntu 18.04, встановлення не може бути продовжене. Необхідно встановити операційну систему Ubuntu Server 18.04.4 LTS 64bit
Будь ласка, виконайте цей скрипт з правами суперкористувача, тобто root. Для цього перед запуском скрипту виконайте команду sudo -s.	Команда повинна запускатися з привілеями sudo чи від імені користувача root

---

6.1.4. Додавання додаткового облікового запису Адміністратора вебсервісів

Важливо! В разі, якщо виникає необхідність роботи з вебінтерфейсом ШБО у декількох співробітників Учасника системи «Трембіта», кожен з них обов'язково повинен мати власний обліковий запис!

Шлюз безпечного обміну використовує локальних користувачів і групи операційної системи для контролю доступу до вебінтерфейсу адміністрування шлюзу безпечного обміну.

Обліковий запис, що використовується для входу в вебінтерфейс адміністрування шлюзу безпечного обміну – це обліковий запис Адміністратора вебсервісів (за замовчуванням з логіном uxpadmin).

Для створення додаткового Адміністратора вебсервісів, Адміністратору локальних компонентів (системному адміністраторові) необхідно:

1. Послідовно виконати наступні команди:

sudo useradd -M -N <username>
sudo chsh -s /bin/false <username>
sudo passwd <username>

де <username> - логін створюваного користувача латиницею.

2. Ввести пароль нового користувача двічі.

---

6.1.5 Додавання додаткового облікового запису Відповідального за управління ключами

В випадку, коли локальні компоненти системи «Трембіта» адмініструє Оператор, уповноваженому співробітнику Суб’єкта електронної взаємодії, що відповідає за встановлення інформаційної взаємодії та управління особистими ключами електронної печатки (Відповідальному за управління ключами), потрібно надати доступ до функціоналу ШБО.

Для цього потрібно створити обліковий запис Відповідального за управління ключами, який буде використовуватись для входу в вебінтерфейс адміністрування шлюзу безпечного обміну, шляхом послідовного виконання наступних команд:

sudo useradd -M -N <security-officer>
sudo adduser <security-officer> uxp-security-officer
sudo chsh -s /bin/false <security-officer>
sudo passwd <security-officer>

де <security-officer> - логін створюваного користувача латиницею.

Після виконання цих команд необхідно ввести пароль нового користувача двічі.

6.2. Початкова конфігурація шлюзу безпечного обміну

Початкова конфігурація шлюзу безпечного обміну виконується Адміністратором вебсервісів.

---

6.2.1. Завантаження ліцензії для шлюзу безпечного обміну

Для роботи ШБО в тестовому середовищі потрібна діюча ліцензія, без неї він не працюватиме. Файл ліцензії можна знайти в Особистому кабінеті Каталогу системи «Трембіта» в розділі «Адміністрування» на вкладці «Матеріали».

Для того, щоб завантажити ліцензію на ШБО необхідно перейти до його вебінтерфейсу за посиланням: https://<Your-security-server-IP>:4000,

де <Your-security-server-IP> – це внутрішня (локальна) IP-адреса шлюзу безпечного обміну,

використовуючи атрибути доступу користувача з роллю Адміністратор вебсервісів:

Примітка. При першому доступі до вебінтерфейсу ШБО може з’явитись попередження про те, що використовується сертифікат, виданий недовіреним центром сертифікації. При встановленні ШБО використовується самопідписаний сертифікат, тому слід додати виняток для цього сертифікату у браузері.

Примітка. У першу хвилину після перезапуску ШБО його вебінтерфейс може відображати повідомлення «502 Bad Gateway» (зазвичай менше однієї хвилини). Необхідно оновлювати сторінку входу, поки не відобразиться форма входу.

Після першої авторизації в вебінтерфейсі ШБО користувачеві буде відображено діалогове вікно вибору файлу ліцензії, в якому необхідно завантажити файл ліцензії тестового середовища member.test.license.lic.

В даному діалоговому вікні необхідно натиснути на кнопку «Переглянути» та завантажити файл ліцензії.

Після завантаження необхідно його підтвердити, натиснувши на кнопку «Зберегти ліцензію».

---

6.2.2. Ініціалізація шлюзу безпечного обміну

При ініціалізації ШБО необхідно завантажити файл якоря конфігурації тестового середовища (файл configuration anchor).

Файл якоря конфігурації тестового середовища можна знайти в Особистому кабінеті Каталогу системи «Трембіта» в розділі «Адміністрування» на вкладці «Матеріали».

Якір конфігурації необхідно завантажити в наступному діалоговому вікні та підтвердити імпорт, натиснувши на кнопку «Підтвердити» («Confirm»):

Після чого відкриється вікно ініціалізації ШБО:

Для ініціалізації ШБО необхідно заповнити наступні дані:

Власник сервера безпеки (Security Server Owner)
Клас Учасника (Member Class)	GOV
Код Учасника (Member Code)	У якості коду Учасника використовується код ЄДРПОУ організації, яка є Учасником системи «Трембіта». Важливо! Якщо ввести неправильний Member Code, то шлюз безпечного обміну не буде функціонувати коректно і його потрібно буде переінсталювати!
Ім’я Учасника (Member Name)	Ім'я Учасника автоматично отримується з сервера Каталогу Учасників (після введення коду Учасника) відповідно до заявки на реєстрацію Учасника у системі «Трембіта».
Шлюз безпечного обміну (Security Server)
Код сервера безпеки (Security Server Code)	Унікальний код ШБО («сервера безпеки» в вебінтерфейсі) в тестовому середовищі системи «Трембіта», який потрібно створити відповідно до наступного шаблону: MemberCode_SS_T_Number_FreeSymbols, де: MemberCode – код ЄДРПОУ організації; SS – означення ШБО (security server); T – абревіатура тестового середовища системи, не змінюється; Важливо! Варто звернути увагу, що _SS_T_ потрібно вводити великими латинськими літерами з використанням символу нижнього підкреслення «_». Number – порядковий номер ШБО організації (наприклад 01, 02, 03 і тд); Примітка. Нумерація ШБО для тестового та промислового середовищ системи незалежна. FreeSymbols – (за потреби) цифри та літери, які можна додавати до ідентифікатора ШБО задля власної зручності (наприклад, позначення центру обробки даних, позначення інформаційної системи, в якій використовується ШБО тощо). Важливо! Додаткові символи повинні містити лише цифри та великі літери англійського алфавіту.
Програмний токен (Software Token)
PIN	Необхідно придумати PIN-код, який буде використаний для захисту ключів автентифікації, що зберігаються у програмному сховищі (файловій системі ОС). Важливо! Адміністратор вебсервісів має зберігати PIN-код у безпечному місці, оскільки після втрати PIN-коду необхідно відновлювати токен, повторно видавати та реєструвати новий сертифікат автентифікації.
Повторити PIN	Ввести повторно значення PIN-коду.

Після введення інформації необхідно натиснути на кнопку «Відправити» («Submit»). Ініціалізація може зайняти декілька хвилин. Коли буде відображено повідомлення про те, що сервер був ініціалізований, необхідно натиснути на кнопку «OK».

---

6.2.2.1. Введення PIN-коду програмного токену

Шлюз безпечного обміну прив’язує всі особисті ключі до токенів безпеки. Після ініціалізації з’явиться помаранчеве повідомлення у верхній частині сторінки з написом «Будь ласка, введіть PIN-код програмного токену». Це повідомлення вказує на те, що зазначений токен безпеки на даний час заблокований, а особисті ключі не можуть бути використані.

Кожен раз при перезавантаженні ПЗ UXP Security Server або всієї операційної системи ШБО, потрібно вводити PIN-код токену безпеки (у всі використовувані токени безпеки).

Адміністратор вебсервісів має увійти в програмний токен безпеки (softToken), використовуючи PIN-код, введений під час ініціалізації сервера, для чого необхідно:

1. Перейти в розділ «Ключі і сертифікати».

2. Знайти рядок із написом «Токен: softToken-0».

3. Натиснути на кнопку «Введіть PIN-код» в цьому рядку – відкриється діалогове вікно для введення PIN-коду.

4. Ввести PIN-код та натиснути на кнопку «OK».

Якщо все зроблено коректно, повідомлення «Будь ласка, введіть PIN-код програмного токену» зникне, а кнопка «Вихід» – з’явиться замість кнопки «Введіть PIN-код»:

---

6.2.2.2. Налаштування сервера позначок часу

Шлюз безпечного обміну використовує зовнішню службу встановлення позначок часу (timestamping) для встановлення позначок часу на кожне повідомлення.

ШБО може мати декілька довірених служб позначок часу.

Адміністратор вебсервісів може обрати, які служби позначок часу будуть використовуватися даним ШБО (зазвичай, це служба, створена відповідним надавачем електронних довірчих послуг, у якого організація отримала сертифікати печатки та шифрування).

Необхідно додати цю службу в список служб встановлення позначок часу, використовуваних шлюзом безпечного обміну, наступним чином:

1. Перейти в розділ «Параметри системи». Список серверів позначок часу має бути порожнім («Немає (відповідних) записів»).

2. Натиснути на кнопку «Додати» в секції «Сервіси позначки часу».

3. Обрати зі списку доступний сервіс і натиснути на нього.

4. Натиснути на кнопку «OK».

В результаті відобразиться інформація про обраний сервіс позначок часу і його URL в секції «Сервіси позначки часу».

Важливо! Повинен бути зазначений саме TSP-сервер КНЕДП, де організація отримувала електронну печатку!

6.3. Підключення захищених носіїв особистих ключів (апаратних або програмних токенів)

Шлюз безпечного обміну накладає електронну печатку на кожне повідомлення (здійснює його підписання), що відправляється до іншого шлюзу безпечного обміну через систему «Трембіта». Підписання здійснюється з використанням кваліфікованого сертифікату електронної печатки, який було отримано на підготовчих кроках від кваліфікованого надавача електронних довірчих послуг.

В тестовому середовищі системи «Трембіта» використання апаратних токенів або HSM-пристроїв не є обов’язковим, замість них можна використовувати програмні токени.

Якщо особисті ключі електронної печатки та шифрування знаходяться на захищеному носії особистих ключів (апаратному токені), його необхідно правильно підключити до віртуальної машини ШБО. За дану дію відповідає Адміністратор локальних компонентів (системний адміністратор).

За налаштування використання криптографічних ключів та сертифікатів печатки в цілому відповідає працівник Учасника, що є власником ШБО.

За налаштування використання криптографічних ключів та сертифікатів печатки Суб’єкта електронної взаємодії відповідає користувач з роллю Відповідальний за управління ключами Суб’єкта електронної взаємодії через вебінтерфейс ШБО.

Важливо! Паролі до ключів та сертифікатів печатки Суб’єкта електронної взаємодії вводяться через вебінтерфейс шлюзу безпечного обміну Відповідальним за управління ключами та не повинні передаватися співробітникам Оператора та іншим третім особам.

---

6.3.1. Налаштування CMP-сервісу кваліфікованого надавача електронних послуг

Для того, щоб шлюз безпечного обміну мав можливість працювати з КНЕДП, що видав сертифікати, необхідно додати інформацію про нього у спеціальний файл, для чого необхідно:

1. Відкрити даний файл за допомогою виконання наступної команди:

sudo nano /etc/uxp/uac/osplm.ini

2. Знайти розділ (у квадратних дужках визначаються розділи) з налаштуваннями CMP-сервісу та встановити наступні параметри доступу:

[\SOFTWARE\Institute of Informational Technologies\Certificate Authority-1.3\End User\CMP]
Use=1
CommonName=
Address=ca-test.czo.gov.ua
Port=80

У поле Address необхідно вказати адресу до сервісу CMP КНЕДП, що видав сертифікати (наприклад, ca.informjust.ua або ca.iit.com.ua тощо, залежно від КНЕДП). Зазначену адресу може надати, зокрема, надавач електронних довірчих послуг або її можна дізнатись з вебінтерфейсу ШБО на вкладці «Параметри системи» в секції «Сервіси позначки часу» (який було вказано в розділі 6.2.2.2 даної інструкції).

Важливо! У випадку використання апаратних токенів необхідно встановити параметр Use=1, а у випадку використання програмних токенів встановити параметр Use=0.

Приклад результату модифікації файлу:

---

6.3.2. Встановлення підтримки захищених носіїв особистих ключів (апаратних токенів)

Встановлення підтримки захищених носіїв особистих ключів (апаратних токенів) виконується Адміністратором локальних компонентів (системним адміністратором).

Шлюз безпечного обміну версії 1.12.6 підтримує наступні захищені носії особистих ключів:

1. Апаратні токени:

- Алмаз-1К;

- Автор Secure Token 337;

- Автор Secure Token 338;

- EfitKey;

- Кристал-1;

2. Мережеві криптомодулі:

- ІІТ Гряда-301;

- Сайфер «Шифр-HSM».

Апаратний токен (захищений носій особистих ключів) необхідно підключити до фізичного обладнання – сервера, який забезпечує функціонування ПЗ шлюзу безпечного обміну. Якщо використовується система віртуалізації на сервері – потрібно налаштувати адресацію фізичного порту, до якого підключений апаратний токен, до віртуальної машини шлюзу безпечного обміну.

Правильність адресації можна перевірити через наявність інформації про ключі у операційній системі, для чого потрібно виконати наступну команду на шлюзі безпечного обміну:

sudo dmesg | grep usb

З результату виконання команди можна побачити, що в системі присутні два апаратних токени – Product: IIT E.Key Crystal-1 та Product: E.Key Almaz-1C – відповідно «Кристал-1» та «Алмаз-1К».

Для роботи усіх апаратних токенів необхідно встановити пакети підтримки електронних ключів операційною системою Linux, а саме Ubuntu 18.04 Server 64bit:

sudo apt-get install pcscd libccid pcsc-tools libccid libpcsclite1 opensc

6.3.2.1. Налаштування Алмаз-1К

Додаткових налаштувань, крім встановлення пакетів підтримки електронних ключів операційною системою Linux, виконувати не потрібно.

6.3.2.2. Налаштування Автор Secure Token 337/ Secure Token 338

Для зазначених токенів Автор необхідно:

1. Завантажити драйвер для 64-розрядної ОС Linux за допомогою виконання наступної команди:

wget https://project-repo.trembita.gov.ua:8081//files/t1/libav337p11d.so

2. Перемістити завантажений файл у директорію /usr/lib/:

sudo cp libav337p11d.so /usr/lib/

3. Перевірити доступність токену в системі можна за допомогою виконання наступної команди:

sudo pkcs11-tool -v --list-slots --module /usr/lib/libav337p11d.so

У випадку, якщо ключ доступний для системи, має бути виведено інформацію про нього, наприклад:

6.3.2.3. Налаштування EfitKey

При використанні захищеного носія EfitKey необхідно виконати наступні дії:

1. Скорегувати файл Info.plist, для того, щоб додати (включити) існуючий PCSC-пристрій (токен EfitKey) до відповідного списку PCSC-пристроїв, які підтримуються системою, відкривши його за допомогою виконання наступної команди:

sudo nano /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist

2. Знайти строку «<key>ifdVendorID</key>» і після елементу «<array>» додати:

«<string>0xC1A6</string>»

3. Знайти строку «<key>ifdProductID</key>» і після елементу «<array>» додати:

«<string>0x0151</string>»

4. Знайти строку «<key>ifdFriendlyName</key>» і після елементу «<array>» додати:

«<string>EfitTechnologies EfitKey</string>»

5. Завантажити та скопіювати бібліотеку драйверів libefitkeynxt.so до директорії /usr/lib/ за допомогою послідовного виконання наступних команд:

wget https://project-repo.trembita.gov.ua:8081//files/t1/libefitkeynxt.so
sudo cp libefitkeynxt.so /usr/lib/

Примітка. Для роботи libefitkeynxt.so і EfitKey необхідно мати запущений демон pcscd.

6. Під’єднати захищений носій ключової інформації EfitKey та перевірити доступність носія в системі:

sudo pkcs11-tool -v --list-slots --module /usr/lib/libefitkeynxt.so

У випадку, якщо ключ доступний для системи, має бути виведено інформацію про нього, наприклад:

6.3.2.4. Налаштування Кристал-1

При використанні токену «Кристал-1» необхідно виконати наступні дії:

1. Створити файл /etc/udev/rules.d/80-uxp-iit-e-keys.rules за допомогою виконання наступної команди:

sudo nano /etc/udev/rules.d/80-uxp-iit-e-keys.rules

2. Прописати в ньому наступні правила:

SUBSYSTEM=="usb", ATTR{idVendor}=="03eb", ATTR{idProduct}=="9301", MODE="0660", GROUP="uxp"
SUBSYSTEM=="usb", ATTR{idVendor}=="03eb", ATTR{idProduct}=="9308", MODE="0660", GROUP="uxp"

3. Перевірити, чи встановлено бібліотеку libusb-0.1-4 за допомогою виконання наступної команди:

sudo apt list --installed | grep libusb-0.1-4

У випадку, якщо бібліотеку не встановлено, встановити її за допомогою виконання наступної команди:

sudo apt-get install libusb-0.1-4

6.3.2.5. Налаштування ІІТ Гряда-301

При використанні токену безпеки ІІТ «Гряда-301» необхідно виконати наступні дії:

1. Відкрити файл /etc/uxp/uac/osplm.ini за допомогою виконання наступної команди:

sudo nano /etc/uxp/uac/osplm.ini

2. Додати в нього наступний блок параметрів:

[\SOFTWARE\Institute of Informational Technologies\Key Medias\NCM Gryada-301]
[\SOFTWARE\Institute of Informational Technologies\Key Medias\NCM Gryada-301\Modules]
[\SOFTWARE\Institute of Informational Technologies\Key Medias\NCM Gryada-301\Modules\<Serial Number>]
OrderNumber=0
SN=<Serial Number>
Address=<Your-Gryada-301-IP>
AddressMask=255.0.0.0

де <Serial Number> – це останні три цифри серійного номеру пристрою ІІТ Гряда-301 (серійний номер пристрою має вигляд 301XXX, останні три цифри ХХХ необхідно додати у файл),

<Your-Gryada-301-IP> – це мережева адреса пристрою,

AddressMask – маска підмережі, у якій знаходиться пристрій.

3. Перезавантажити сервіс uxp-signer за допомогою виконання наступної команди:

sudo systemctl restart uxp-signer

6.3.2.6. Налаштування Сайфер «Шифр-HSM»

Для забезпечення роботи токену безпеки «Шифр-HSM» необхідна бібліотека libcihsm.so. Її потрібно розмістити в директорії /var/tmp/uxp/EUSign-x64-1.3.263/ файлової системи шлюзу безпечного обміну.

Примітка. Дана бібліотека поставляється компанією-виробником разом з токеном безпеки.

Після цього необхідно виконати наступні кроки:

1. Змінити права доступу до бібліотеки за допомогою виконання наступної команди:

chmod 644 /var/tmp/uxp/EUSign-x64-1.3.263/libcihsm.so

2. Впевнитись, що шлюз безпечного обміну має підключення до модулю «Шифр-HSM» за допомогою виконання наступної команди:

PKCS11_PROXY_SOCKET=tcp://<Your-CipherHSM-IP>:23454 pkcs11-tool \
--module /var/tmp/uxp/EUSign-x64-1.3.263/libcihsm.so -

де <Your-CipherHSM-IP> – IP-адреса модулю.

Після виконання команди будуть показані усі доступні слоти на модулі, наприклад:

3. Відкрити файл /etc/uxp/services/local.conf за допомогою виконання наступної команди:

sudo nano /etc/uxp/services/local.conf

та додати в нього наступну строку:

export PKCS11_PROXY_SOCKET=tcp://<Your-CipherHSM-IP>:23454

4. Переглянути всі ключі та сертифікати на токені, скориставшись інструментом pkcs11-tool, за допомогою виконання наступної команди:

PKCS11_PROXY_SOCKET=tcp://<Your-CipherHSM-IP>:23454 pkcs11-tool \
--module /var/tmp/uxp/EUSign-x64-1.3.263/libcihsm.so \
--slot <SlotNunber> -O -v -l --pin <PIN Code>

де <Your-CipherHSM-IP> – IP адреса модулю;

<PIN Code> – PIN–код модулю.

Примітка. Якщо після виконання команди було отримано помилку CKR_USER_ALREADY_LOGGED_IN, необхідно видалити розділ входу -l --pin <PIN Code> з попередньої команди.

5. Скопіювати сертифікат з попереднього кроку та сертифікат КНЕДП в директорію /etc/uxp/uac/certificates/.

6. Перезавантажити сервіс uxp-signer за допомогою виконання наступної команди:

sudo systemctl restart uxp-signer

Після проведених дій з обраним ключем обов’язково необхідно перезавантажити операційну систему:

sudo shutdown -r now

Після чого використовуваний ключ повинен з’явитись в вебінтерфейсі ШБО в розділі «Ключі і сертифікати».

---

6.3.3. Додавання програмних захищених носіїв особистих ключів (програмних токенів)

Якщо використовується програмний (файловий) контейнер для зберігання особистих ключів електронної печатки та шифрування, його необхідно підготувати для імпорту на ШБО.

Для цього потрібно помістити файл особистого ключа (зазвичай, це Key-6.dat) та обидва сертифікати (печатки та шифрування) у ZIP-архів, без вкладення файлів у директорію. Зазначені файли повинні мати лише латинські літери та цифри у найменуванні.

Примітка. Для програмних (файлових) ключів та сертифікатів від КНЕДП ТОВ «ЦСК «Україна» необхідно, перед створенням зазначеного вище ZIP-архіву, файл з особистим ключем (що має розширення файлу .ZS2) перейменувати на Key-6.dat, а файлам сертифікатів (що мають розширення файлу .CRT) змінити розширення на .CER.

Далі необхідно виконати наступні кроки:

1. Перейти в розділ «Ключі і сертифікати».

2. Натиснути на кнопку «Додати файл токену».

3. У вікні «Додати файл токену» обрати значення параметру «Тип файлу токена» – DSTU4145 Token (ZIP containing Key-6.dat and DER-encoded certificates).

4. У поле «ID файлу токена» ввести зрозумілий ідентифікатор, наприклад, uaToken.

5. Натиснути на кнопку «Переглянути» та обрати з файлової системи робочої станції користувача ZIP-архів з ключем та сертифікатами.

Ввести коректний PIN-код особистого ключа, що знаходиться у файлі ZIP-архіву, у поле PIN та натиснути на кнопку «ОК».

6.4. Реєстрація шлюзу безпечного обміну

6.4.1. Імпорт ключа підпису та шифрування

Для імпорту ключа підпису та шифрування потрібно мати згенеровані ключі печатки та шифрування, а також відповідні сертифікати, видані одним з КНЕДП, що підтримуються системою «Трембіта».

Отримання сертифікатів виконується на підготовчому етапі підключення до системи.

Ключі електронної печатки та шифрування для тестового середовища системи «Трембіта» можуть зберігатися або на апаратних захищених носіях особистих ключів, які повинні бути підключені та налаштовані згідно розділу 6.3.2 даної інструкції, або на програмних захищених носіях особистих ключів, які повинні бути підключені та налаштовані згідно розділу 6.3.3 даної інструкції.

Для імпорту ключів електронної печатки та шифрування на ШБО потрібно виконати наступні дії в його вебінтерфейсі:

1. Перейти в розділ «Ключі і сертифікати».

2. Ввести PIN-код до підключеного токену або HSM.

3. Навпроти кожного сертифікату натиснути на кнопку «Імпортувати», щоб виконати цю дію для відповідних сертифікатів.

Примітка. У випадку використання апаратного модулю Сайфер «Шифр-HSM», PIN-код токену вводиться в форматі ##slot_id##password. Наприклад, ##231036361##1234567890.

---

6.4.2. Створення ключа автентифікації для шлюзу безпечного обміну

Шлюз безпечного обміну повинен автентифікуватися при відправці повідомлень до інших шлюзів безпечного обміну. Сертифікат автентифікації використовується для перевірки автентичності шлюзу безпечного обміну.

За створення ключа автентифікації та подальші дії з ним відповідає Адміністратор вебсервісів.

Для того, щоб створити новий ключ автентифікації у вебінтерфейсі шлюзу безпечного обміну, необхідно:

1. Перейти в розділ «Ключі і сертифікати».

2. Обрати токен «softToken-0», натиснувши на ньому мишкою.

3. Натиснути на кнопку «Генерувати ключ».

4. Ввести позначку для ключа автентифікації. Рекомендовано ввести позначку – authKey.

5. Натиснути на кнопку «OK».

Генерація ключа може зайняти кілька секунд. Якщо все зроблено вірно, щойно створений ключ з’явиться під токеном безпеки з написом «authKey (?)».

---

6.4.3. Генерація запиту на сертифікат (Certificate Signing Request) ключа автентифікації

Сертифікати автентифікації, які використовуються шлюзами безпечного обміну, повинні бути підписані технологічним центром сертифікації ключів тестового середовища системи «Трембіта».

Для цього спочатку необхідно створити запит на підпис сертифікату (Certificate Signing Request (CSR)) для попередньо створеного ключа через вебінтерфейс ШБО. Центр сертифікації приймає заявки на підпис у вигляді файлів в текстовому форматі PEM.

Для створення запиту необхідно виконати наступні дії в вебінтерфейсі ШБО:

1. Перейти в розділ «Ключі і сертифікати».

2. Вибрати ключ автентифікації, згенерований на попередньому кроці (authKey).

3. Натиснути на кнопку «Генерувати CSR» – відкриється діалог «Створити запит на підпис сертифіката».

4. У діалоговому вікні необхідно встановити наступні значення:

Поле	Значення
Використання (Usage)	Auth
Сервіс сертифікації (Certification Service)	Необхідно обрати технологічний центр сертифікації ключів тестового середовища системи: «Trembita CA Diia TEST».
CSR Format	PEM

5. Натиснути на кнопку «OK».

6. Відобразиться діалог підтвердження з інформацією про шлюз безпечного обміну. Якщо найменування організації у полі «Organization (O)» не відображається – це означає, що організація ще не зареєстрована в Каталозі Учасників системи «Трембіта». В такому разі потрібно звернутися до Адміністратора системи «Трембіта» для уточнення. Якщо всі поля заповнені – необхідно натиснути на кнопку «OK».

7. Зберегти файл з розширенням *.pem на комп’ютері.

---

6.4.4. Отримання сертифікату для ключа автентифікації

Згенерований *.pem файл запиту (CSR) використовується для створення та отримання сертифікату автентифікації для шлюзу безпечного обміну. Сертифікат автентифікації видає Адміністратор системи «Трембіта».

Для цього необхідно згенерований *.pem файл надіслати Адміністратору системи «Трембіта» шляхом подачі відповідної заявки засобами Особистого кабінету Каталогу системи «Трембіта» (Видача нового сертифікату автентифікації (Тестове середовище)).

Порядок подання зазначеної заявки вказаний у п. 7.3.3 Регламенту роботи системи «Трембіта».

Адміністратор системи «Трембіта» має обробити дану заявку та у відповідь засобами Особистого кабінету Каталогу системи «Трембіта» надати сертифікат автентифікації. Цей сертифікат потрібен для виконання наступного кроку реєстрації ШБО.

Важливо! Без цього сертифікату подальші кроки неможливі!

---

6.4.5. Імпорт сертифікату для ключа автентифікації на шлюз безпечного обміну

Для імпорту виданого на попередньому кроці сертифікату автентифікації до шлюзу безпечного обміну Адміністратору вебсервісів потрібно виконати наступні дії в вебінтерфейсі ШБО:

1. Перейти в розділ «Ключі і сертифікати».

2. Натиснути на кнопку «Імпорт сертифікату».

3. Натиснути на кнопку «Переглянути» і обрати сертифікат автентифікації, отриманий на попередньому кроці.

4. Натиснути на кнопку «OK».

Якщо все зроблено правильно, у вебінтерфейсі ШБО буде відображена інформація про доданий сертифікат під ключем автентифікації authKey.

---

6.4.6. Активація сертифікатів автентифікації та підпису

На цьому етапі сертифікати автентифікації та електронної печатки вже імпортовані до шлюзу безпечного обміну, однак, вони за замовчуванням відключені (в колонці «OCSP-відповідь» для сертифікату вказано «відключений»).

Важливо! Відключені сертифікати не використовуються шлюзом безпечного обміну.

Для їх активації Адміністратору вебсервісів необхідно виконати наступні дії в вебінтерфейсі шлюзу безпечного обміну:

1. Перейти в розділ «Ключі і сертифікати».

2. Обрати сертифікат автентифікації, який імпортовано на попередньому кроці (наступний рядок під authKey, з числовим серійним номером).

3. Натиснути на кнопку «Активувати».

4. Вибрати сертифікат печатки (під рядком «Ключ: uaToken-sign (sign)»).

5. Натиснути на кнопку «Активувати».

---

6.4.7. Відправка запиту на реєстрацію сертифікатів

Сертифікат автентифікації використовується іншими шлюзами безпечного обміну для перевірки автентичності ШБО конкретного Учасника. Для цього шлюзи безпечного обміну повинні обмінятися зареєстрованими сертифікатами автентифікації та довіряти їм.

Довірені сертифікати автентифікації поширюються через сервер Каталогу Учасників системи «Трембіта». Адміністратор системи «Трембіта» повинен перевірити отриманий запит на реєстрацію і, якщо запит дійсний, додати сертифікат автентифікації у перелік зареєстрованих у промисловому середовищі системи «Трембіта».

Варто звернути увагу, що статус сертифіката автентифікації, який імпортовано в попередньому стані, «збережений», а не «зареєстровано». Це означає, що цей сертифікат ще не був відправлений на реєстрацію до серверу Каталогу Учасників.

Для реєстрації сертифікату автентифікації та сертифікату шифрування Адміністратор вебсервісів у вебінтерфейсі шлюзу безпечного обміну повинен виконати наступні дії:

1.Перейти в розділ «Ключі і сертифікати».

2.Вибрати сертифікат шифрування (рядок під «Ключ: uaToken-encr (encr)»).

3.Натиснути на кнопку «Зареєструвати». Якщо всі попередні кроки виконані успішно, буде відображено повідомлення зеленого кольору з інформацією, що запит надіслано успішно, а також статус сертифіката шифрування повинен стати «в процесі реєстрації».

4.Обрати сертифікат автентифікації, який імпортовано на попередньому кроці.

5.Натиснути на кнопку «Зареєструвати». Відкриється діалог «Запит на реєстрацію».

6.Ввести загальнодоступну («білу/публічну») IP-адресу ШБО (яка доступна через мережу Інтернет, була виділена для цього шлюзу безпечного обміну та налаштована на підготовчих кроках) або відповідне DNS-ім’я та натиснути на кнопку «OK».

Якщо все зроблено коректно, статус сертифіката автентифікації повинен змінитися на «в процесі реєстрації». Це означає, що запит був успішно відправлений шлюзом безпечного обміну.

Наступним кроком є подача заявки на реєстрацію шлюзу безпечного обміну засобами Особистого кабінету Каталогу системи «Трембіта» (Реєстрація ШБО в ядрі системи (Тестове середовище)). Порядок подачі зазначеної заявки вказаний в п. 7.3.4 Регламенту роботи системи «Трембіта».

Після чого Адміністратор системи «Трембіта» повинен обробити заявку та підтвердити запит.

Коли запит на реєстрацію буде схвалено, статус сертифікату автентифікації та сертифікату шифрування зміниться на «зареєстровано». Це може зайняти деякий час (з врахуванням часу обробки заявки), поки глобальна конфігурація не буде оновлена. Після отримання відповіді на заявку на реєстрацію шлюзу безпечного обміну можна перевірити сторінку «Ключі і сертифікати» у вебінтерфейсі ШБО. В разі необхідності можна оновлювати її, оновлення глобальної конфігурації може зайняти декілька хвилин.

Приклад вебінтерфейсу, коли всі сертифікати коректно зареєстровані:

6.5. Створення підсистем

Щоб опублікувати сервіси або здійснювати запити до інших сервісів через систему «Трембіта» на шлюзі безпечного обміну Адміністратор вебсервісів повинен створити та зареєструвати принаймні одну підсистему, яка представлятиме реальну інформаційну систему Суб’єкта електронної взаємодії у тестовому середовищі системи «Трембіта».

Для реєстрації підсистем у вебінтерфейсі шлюзу безпечного обміну необхідно виконати наступні дії:

1. Обрати розділ «Клієнти сервера безпеки» та натиснути на кнопку «Додати клієнта».

2. Обрати «Клас Учасника» – GOV.

3. Ввести в поле «Код Учасника» код ЄДРПОУ організації, яка є власником інформаційної системи (Суб’єкта електронної взаємодії).

Примітка. При створенні кластера підсистему можна додати шляхом вибору її з глобального списку, натиснувши на відповідну кнопку в інтерфейсі – «Виберіть клієнта з глобального списку», знайти необхідну підсистему шляхом пошуку по коду підсистеми, після чого натиснути на кнопку «ОК».

4. Ввести назву підсистеми (правила іменування зазначені у розділі 6.3 Регламенту роботи системи «Трембіта»).

5. Натиснути послідовно на кнопки «OK» і потім «Підтвердити». 

Якщо попередні кроки виконано успішно, буде виведено повідомлення зеленого кольору про успішність відправлення запиту. Запит ШБО буде переданий на сервер Каталогу Учасників системи «Трембіта».

Після цього необхідно подати заявку на реєстрацію підсистеми та прив’язку її до конкретного ШБО засобами Особистого кабінету Каталогу системи «Трембіта» (Реєстрація підсистеми на ШБО (Тестове середовище)). Порядок подання зазначеної заявки наведено в п. 7.5.2 Регламенту роботи системи «Трембіта».

Після виконання Адміністратором системи «Трембіта» заявки з’явиться зелена позначка навпроти підсистеми у вебінтерфейсі та буде забезпечено можливість використання тестового середовища системи «Трембіта». Якщо підсистеми зареєстровані вірно, інтерфейс ШБО буде виглядати наступним чином:

7. Журнали і системні сервіси

Найважливішими системними журналами шлюзу безпечного обміну є наступні:

Журнал	Призначення
/var/log/uxp/audit.log	Запис успішних і невдалих дій користувачів в інтерфейсі користувача ШБО
/var/log/uxp/proxy.log	Запис дій, пов'язаних з обміном повідомленнями (підключення до ШБО, права доступу, пересилання запиту, мітка часу, архівування)
/var/log/uxp/configuration_client.log	Запис дій, пов’язаних із завантаженням глобальної конфігурації
/var/log/uxp/signer.log	Запис дій, пов’язаних із керуванням ключами та сертифікатами ШБО (помилки підписання; відсутні ключі та сертифікати; проблеми із закінченням терміну дії та статусом)
/var/log/uxp/proxymonitoragent.log	Записи дій, пов’язаних зі збором даних моніторингу про ШБО; результати доступні на сторінці стану системи
/var/log/uxp/jetty/jetty.log	Записи запитів до сервера додатків, що забезпечує інтерфейс користувача
/var/log/uxp/clientproxy_access.log	Стандартні записи вебдоступу запитів від клієнтської інформаційної системи (наприклад, UXP Portal) до ШБО
/var/log/uxp/serverproxy_access.log	Стандартні записи вебдоступу запитів від іншого ШБО до поточного ШБО
/var/log/postgresql/postgresql-<version>-main.log	Записи помилок доступу до бази даних

Доступ до даних журналів має Адміністратор локальних компонентів (системний адміністратор).

Найважливішими системними сервісами шлюзу безпечного обміну є наступні:

Сервіс	Призначення	Журнал
uxp-confclient	Клієнтський процес для дистриб’ютора глобальної конфігурації	/var/log/uxp/configuration_client.log
uxp-jetty	Програмний сервер додатків, який забезпечує функціонування вебінтерфейсу адміністрування шлюзу безпечного обміну	/var/log/uxp/jetty/
uxp-proxy	Сервіс обміну повідомленнями	/var/log/uxp/proxy.log
uxp-signer	Сервіс, що керує функціями підписання	/var/log/uxp/signer.log
uxp-monitor	Сервіс внутрішнього моніторингу ШБО	/var/log/uxp/proxymonitoragent.log
nginx	Вебсервер, який розподіляє конфігурацію і реалізує протокол TLS в вебінтерфейсі адміністрування ШБО	/var/log/nginx/

Сервіси керуються через налаштування systemd об’єктів.

Щоб запустити сервіс UXP на шлюзі безпечного обміну Адміністратору локальних компонентів (системному адміністратору) необхідно виконати наступну команду:

sudo systemctl start <service>

Щоб зупинити сервіс, необхідно виконати наступну команду:

sudo systemctl stop <service>

Щоб перевірити статус сервісу, необхідно виконати наступну команду:

sudo systemctl status <service>

Журнали системних сервісів можна перевірити за допомогою виконання наступної команди:

sudo sudo journalctl -u <service>

8. Найпоширеніші помилки

В таблиці нижче наведено приклади найпоширеніших помилок та способи їх вирішення.

Помилка	Причина	Виправлення
Помилка при виклику вебсервісу	Немає прав доступу до сервісу для підсистеми даної організації	Звернутися до адміністратора організації власника вебсервісу для надання доступу
	Не введені PIN-коди для токенів	Ввести PIN-коди для токенів авторизації і підпису/шифрування
	Закінчився термін дії сертифіката авторизації і/або підпису/шифрування	Отримати та завантажити діючі сертифікати
	Сервер позначок часу не відповідає	Обрати інший  сервер позначок часу згідно розділу 6.2.2.2 даної інструкції
	При реєстрації було вказано неправильну адресу шлюзу безпечного обміну	Виправити адресу шлюзу безпечного обміну на сервері Каталогу Учасників системи «Трембіта» (звернутися до Адміністратора системи «Трембіта»)
Помилка нестачі пам'яті («java.lang.OutOfMemoryError: Java heap space»)	Для віртуальної машини Java (JVM) служби  uxp-proxy виділено недостатньо оперативної пам'яті	Збільшити кількість пам'яті JVM для служби uxp-proxy згідно розділу 8.1 даної інструкції

---

8.1 Виправлення помилки нестачі пам’яті

Дана помилка також може характеризуватися наявністю наступного повідомлення у журналі /var/log/uxp/proxy.log:

<faultcode>Server.ServerProxy.ServiceFailed.InternalError</faultcode><faultstring>Self-suppression not permitted</faultstring>

Для виправлення даної помилки Адміністратор локальних компонентів (системний адміністратор) повинен збільшити обсяг пам'яті JVM для сервісу uxp-proxy.

Для цього необхідно виконати наступні дії:

1. Відкрити на редагування файл конфігурації /etc/uxp/services/local.conf за допомогою виконання наступної команди:

sudo nano /etc/uxp/services/local.conf

2. Вказати нове значення обсягу виділеної оперативної пам’яті в наступному рядку:

PROXY_JVM_OPTS="${PROXY_JVM_OPTS} -Xmx<size>

де <size> - розмір виділеної оперативної пам’яті в МБ.

Наприклад, для того, щоб задати максимально можливий обсяг виділеної оперативної пам’яті, необхідно вказати значення 1024 MB:

PROXY_JVM_OPTS = "${PROXY_JVM_OPTS} -Xmx1024m"