Перед установкой eCA-VA необходимо выполнить подготовку сервера, где предполагается развертывание eCA-VA, в соответствии с разделом 3 настоящего руководства.

В случае повторной установки ПО рекомендуется произвести очистку кэша используемого веб‑браузера.

Распаковка инсталляционного комплекта

Распакуйте инсталляционный rpm/deb-пакет, находясь в папке, где расположен пакет, выполнив команду:

РЕД ОС

sudo dnf install <наименование пакета>.rpm

Astra Linux SE

sudo apt install <наименование пакета>.deb

Альт Сервер

sudo apt-get install <наименование пакета>.rpm

Инсталляционный rpm/deb-пакет будет автоматически распакован в директорию /opt/aecaVa.

Структура распакованного инсталляционного rpm/deb-пакета eCA-VA приведена в  таблице Таблица 4.

Таблица 4 – Структура распакованного инсталляционного rpm/deb-пакета eCA-VA

Структурный элемент

Назначение элемента

/opt/aecaVa

Установочный комплект eCA-VA, а также используемые дополнительные инструменты

/opt/aecaVa/bin

Каталог с дополнительными утилитами

/opt/aecaVa/bin/jcverify

Каталог утилиты контроля целостности «jcverify»

/opt/aecaVa/bin/jcverify/jcverify

Утилита контроля целостности «jcverify»

/opt/aecaVa/bin/jcverify/jcverify.txt

Вспомогательный файл для работы утилиты целостности «jcverify»

/opt/aecaVa/dist

Путь развертывания продукта; содержит создаваемые временные файлы

/opt/aecaVa/dist/archive/

Архивы, сформированные в результате очистки журнала событий (путь по умолчанию, может быть изменен)

/opt/aecaVa/dist/backup/

Созданные резервные копии eCA-VA

/opt/aecaVa/dist/certificates/ssl

Расположение сертификатов для управления ssl-соединением

/opt/aecaVa/dist/environment/

Расположение переменных окружения сервисов

/opt/aecaVa/dist/sign-in/initial_admin.txt

Файл, содержащий логин и пароль администратора инициализации, создаваемого при чистой установке eCA-VA

/opt/aecaVa/dist/logs/

Расположения технических логов сервисов

/opt/aecaVa/eula

Файл лицензионного соглашения

/opt/aecaVa/samples

Содержит шаблоны файлов конфигурации для внутреннего использования программным средством

/opt/aecaVa/scripts

Содержит скрипты управления eCA-VA

/opt/aecaVa/scripts/internal

Скрипты для внутреннего использования программы, запускаемые автоматически при выполнении скриптов из каталога /opt/aecaVa/scripts

/opt/aecaVa/scripts/backup.sh

Cкрипт резервного копирования eCA-VA

/opt/aecaVa/scripts/config.sh

Файл конфигурации eCA-VA

/opt/aecaVa/scripts/database_create.sh

Скрипт создания базы данных и ее пользователя на сервере eCA-VA с указанными в конфигурационном файле параметрами

/opt/aecaVa/scripts/diagnostics.sh

Скрипт сбора диагностической информации eCA-VA

/opt/aecaVa/scripts/install.sh

Скрипт установки и обновления eCA-VA

/opt/aecaVa/scripts/integrity_check.sh

Скрипт контроля целостности исполняемых файлов

/opt/aecaVa/scripts/restore_access.sh

Скрипт восстановления данных для входа администратора инициализации

/opt/aecaVa/scripts/restore.sh

Скрипт восстановления из резервной копии eCA-VA

/opt/aecaVa/scripts/uninstall.sh

Скрипт удаления eCA-VA

/opt/aecaVa/scripts/jc_checksum

Файл с эталонами контрольных сумм исполняемых файлов eCA-VA

/opt/aecaVa/scripts/key

Файл, содержащий симметричный ключ шифрования паролей в конфигурационном файле eCA-VA

/opt/aecaVa/services

Сервисы eCA-VA

/opt/aecaVa/static

Артефакты клиентского компонента eCA-VA

/opt/aecaVa/digsig/keys/aladdin_pub.key

Открытый ключ АО «Аладдин Р.Д.», используемый для проверки подписи исполняемых файлов и библиотек eCA-VA на Astra Linux Special Edition в режиме замкнутой программной среды (ЗПС)

Владельцем распакованных файлов будет являться пользователь «root», другие пользователи не будут иметь прав доступа к инсталляционному комплекту.

Поддержка активного режима замкнутой программной среды в ОС Astra Linux Special Edition

eCA-VA обеспечивает работу ОС Astra Linux Special Edition 1.7 и Astra Linux Special Edition 1.8 в активном режиме замкнутой программной среды (далее – ЗПС). Для этого в состав установочных пакетов eCA-VA включен публичный открытый ключ АО «Аладдин Р.Д.» — aladdin_pub.key. После распаковки установочного пакета ключ находится в каталоге /opt/aecaVa/digsig/keys/aladdin_pub.key.

Для обеспечения режима ЗПС открытый ключ необходимо переместить в каталог /etc/digsig/keys/.

Настройка параметров

Обязательно необходимо задать значение параметра hostname.

Настраиваемые параметры конфигурационного файла /opt/aecaVa/scripts/config.sh позволяют задавать:

  • параметры конфигурации развёртывания сервисов eCA-VA;
  • параметры конфигурации eCA-VA;
  • параметры конфигурации сертификата технического Центра сертификации и сертификата пользователя (администратора) eCA-VA, создаваемого по умолчанию в процессе развёртывания сервера eCA-VA;
  • конфигурацию базы данных.

Для настройки параметров отредактируйте конфигурационный файл /opt/aecaVa/scripts/config.sh.  Параметры конфигурации приведены в таблице Таблица 5.

Таблица 5 – Параметры конфигурации

Ключ

Значение по умолчанию

Описание

webserver

По умолчанию не задано.

#Используемый web-сервер

Допустимые значения: "nginx", "apache", "cpnginx"

webserver_path

По умолчанию не задано.

#Расположение конфигурации веб-сервера

aeca_path

'/opt/aecaVa/dist'

#Каталог установки eCA-VA

environment_path

'/opt/aecaVa/dist/environment'

#Конфигурация развертывания

cryptotoken_path

'/opt/aecaVa/dist/cryptotoken'

#Каталог хранения контейнеров служб OCSP

webserver_config_path

'/opt/aecaVa/dist/webserver'

#Расположение конфигурации eCA-VA для веб-сервера

encryption_key_path

'/opt/aecaVa/scripts/key'

#Ключ для шифрования конфигурационного файла

proxy_connect_timeout

'320'

#Время ожидания подключения к прокси-серверу перед тем, как будет выдано сообщение об ошибке


Только для nginx

Настраивается разработчиком eCA-VA, редактировать не следует.

proxy_send_timeout

'320'

 #Время ожидания ответа от прокси-сервера после отправки запроса. Если ответ не получен в течение этого времени, запрос считается неудачным.


Только для nginx

Настраивается разработчиком eCA-VA, редактировать не следует.

proxy_read_timeout

'720'

#Время ожидания чтения ответа от прокси-сервера после получения успешного запроса. Если ответ не получен в течение этого времени, запрос считается неудачным.


Только для nginx

Настраивается разработчиком eCA-VA, редактировать не следует.

ssl_protocols

'TLSv1.2 TLSv1.3'

#Поддерживаемые версии протокола TLS

Доступно использование только TLSv1.2 и/или TLSv1.3 (при использовании обоих версий необходимо указывать их через пробел).

ssl_ciphers

По умолчанию не задано.

#Поддерживаемые наборы шифров для TLS-соединения


Данный параметр позволяет ограничить наборы шифров (cipher suites), которые могут использоваться при TLS-соединении. Разделитель между наборами – двоеточие (:). Если клиент не поддерживает ни один из указанных в данном параметре наборов, TLS-соединение не будет установлено.

По умолчанию значение в данном параметре не задано, что означает отсутствие управления со стороны eCA-VA перечнем допустимых наборов шифров (ciphersuites) TLS-соединения для веб-сервера.

В данном параметре могут быть указаны любые наборы шифров, поддерживаемые используемой на сервере eCA-VA версией Openssl для TLS v1.2.

Получить список поддерживаемых используемым Openssl наборов шифров для TLS v1.2 можно с помощью команды «openssl ciphers -tls1_2 -s».

Данный параметр учитывается только при использовании Nginx или Apache. Конфигурирование наборов шифров TLS-соединения для Cpnginx осуществляется с помощью утилиты «cpconfig» из состава «КриптоПро CSP».[1]

backup_path

'/opt/aecaVa/dist/backup'

#Путь до места хранения резервных копий

logs_base

'/opt/aecaVa/dist/logs'

#Путь хранения лог-файлов

archive_path

'/opt/aecaVa/dist/archive'

#Путь до архивированных файлов. Можно менять. Только абсолютные пути. Права на каталог должны быть предоставлены пользователю/группе aeca:aeca.

certificates_ssl_path

'/opt/aecaVa/dist/certificates/ssl'

#Путь хранения контейнера, сертификата и ключа web-сервера, а также цепочек сертификатов разрешенных издателей

aeca_user

'aeca'

#Имя локального пользователя, создаваемого при установке eCA-VA

aeca_group

'aeca'

#Наименование группы, создаваемой при установке eCA-VA, в которую входит пользователь, создаваемый по параметру «aeca_user»

memory

'4096'

#Конфигурация памяти (значение в МБ)

enable_gc_diagnostic

'false'

#Флаг сбора диагностической информации о памяти

enable_heap_dump

'false'

#Флаг сбора дампов памяти для упавших сервисов eCA-VA

#Конфигурация БД

max_db_pool_size

'50'

Максимальный размер пула подключений к СУБД


Настраивается разработчиком eCA-VA, редактировать не следует

use_tls

'false'

Флаг обязательного использования TLS для подключения к СУБД.

Допустимые значения: true, false

database_username

'aeca'

Имя пользователя СУБД

database_password

По умолчанию не задано. Указывается администратором инициализации при установке.

Пароль пользователя СУБД

database_host

'localhost'

Имя хоста СУБД. Указано значение по умолчанию.

database_port

'5432'

Порт для доступа к СУБД. Указано значение по умолчанию.

database_name

'aecava'

Имя БД. Указано значение по умолчанию.

root_cert_path

По умолчанию не задано.

Абсолютный путь к сертификату корневого ЦС из цепочки сертификатов сервера СУБД.

#Конфигурация aeca-va

http_port

'80'

#Конфигурация aeca-va

https_port

'433'

#Конфигурация aeca-va

hostname

'localhost'

#Конфигурация aeca-va

hostname_no_mtls

По умолчанию не задано.

#Параметр используется только в конфигурации с CPNGINX

#Имя хоста (должно отличаться от значения hostname), используемое для доступа к интерфейсу без использования mTLS

number_of_services

'9'

#Конфигурация aeca-va

logging_response

'false'

#Переменные окружения, используемые всеми сервисами

logging_sql

'false'

#Переменные окружения, используемые всеми сервисами

#Переменные окружения для logback

logs_file_max_size

'10MB'

Максимальный размер файла лога сервиса перед его архивацией.

При достижении данного значения текущий лог-файл (access.log или service.log) будет архивироваться – файл будет сохранен в текущем каталоге логов данного сервиса с именем {access или service}-{дата в формате YYYY-MM-DD}.{индекс лога}.log.

logs_max_history

'10'

Максимальный срок хранения архивов логов в днях.

Архивы логов, срок хранения которых превышает указанное в данном параметре значение, будут автоматически удаляться.

logs_total_size_cap

'100MB'

Максимальный общий объем логов, включая архивы, каждого типа (access или service) для каждого сервиса

При достижении данного объема наиболее старые архивы логов данного типа будут удаляться.

api_key

'2d2ec9b4-ad3d-4ed0-8961-d2a4ab99d810'

#Ключ для внутренней аутентификации

#Переменные окружения, используемые settings-service

certificate_server_name

По умолчанию не задано.

#Имя файла сертификата web-сервера

certificate_raw_server_password

По умолчанию не задано.

#Пароль от контейнера сертификата web-сервера

issuers_name

'issuers'

#Имя файла разрешенных издателей

issuers_sync

'0 */30 * * * *'

#CRON-выражение, по которому выполняется синхронизация разрешенных издателей

refresh__token_expire

'86400000'

#Время жизни JWT токена обновления в миллисекундах

Значение по умолчанию: 86400000 мс (1 сутки).


В течение данного срока маркер обновления можно использовать для получения нового маркера доступа и маркера обновления.

По истечению данного срока маркер обновления нельзя использовать для этого. И для получения нового маркера доступа и обновления потребуется повторная аутентификация.

token_expire

'180000'

#Время жизни JWT токена доступа в миллисекундах

Значение по умолчанию: 180000 мс (3 минуты).

#Переменные окружения, используемые security-service

kerberos_enabled

'false'

#Активация kerberos

session_max_count

'100'

#Максимальное число сессий аккаунта (-1 - ограничение отключено)

Значение по умолчанию: 100.

Допустимые варианты указания предельного количества сессий для учетных записей:

1) натуральное число, представленное в десятичной системе счисления;

2) число «0»;

3) число «-1» (для выключения ограничения на количество сессий).

kerberos_service_principal

По умолчанию не задано.

#Имя принципала, используемого для авторизации

kerberos_keytab_location

По умолчанию не задано.

#Расположение keytab файла, содержащего тикет принципала, используемого для авторизации

kerberos_krb5_location

По умолчанию не задано.

#Расположение файла конфигурации krb5.conf

kerberos_ad_domain

По умолчанию не задано.

#Имя подключаемого домена

kerberos_ad_server

По умолчанию не задано.

#Адрес сервера

resource_type

По умолчанию не задано.

#Тип ресурсной системы (FREE_IPA, ALD_PRO, SAMBA_DC, MS_AD, RED_ADM, ALT_DOMAIN)

resource_base_dn

По умолчанию не задано.

#Точка подключения ресурса

ldap_enabled

'false'

#Активация ldap

ldap_sign_in_failure_max_count

'5'

#Максимальное количество неудачных попыток аутентификации через LDAP

ldap_sign_in_failure_delay_millis

'3600000'

# Время задержки после последней неудачной попытки аутентификации через LDAP

sign_provider

'EMBEDDED'

#Провайдер подписи (выбирается между стандартным - 'EMBEDDED' и КриптоПро - 'CRYPTO_PRO')

sign_key_algorithm

'RSA'

#Алгоритм подписи ключа

Для стандартного провайдера подписи доступны алгоритмы 'RSA' и 'ECDSA'.

Для провайдера подписи КриптоПро доступны алгоритмы 'RSA' и 'GOST_R_34_10_2012'.

sign_key_length

'2048'

#Длина ключа подписи

sign_hash_algorithm

'SHA512'

#Алгоритм хэширования подписи

Доступные для выбора значения алгоритмов хэширования:

1) для стандартного провайдера (EMBEDDED):

для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384'

для алгоритма ключа 'ECDSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384'

2) для провайдера КриптоПро (CRYPTO_PRO):

для алгоритма ключа 'GOST_R_34_10_2012' доступен алгоритм хэширования 'GOST_R_34_11_2012'

для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384'

#Переменные окружения, используемые logs-service

archive_cron

'0 0 0 1 * *'

#CRON выражение, по которому запускается архивация журнала событий.

archive_enabled

'true'

#Флаг: включена архивация. Возможные значения: true/false

archive_millis_ago

'15778800000'

#Архивировать записи старше

#Переменные окружения, используемые validation-authority-service

ocsp_certificate_renewal_threshold

'90'

#Пороговое значение для проверки сертификатов

ocsp_certificate_renewal_cron

'0 0 0 * * *'

#CRON-выражение, по которому выполняется синхронизация сертификатов

validation_authority_status_cron

'0 0/5 * * * *'

#CRON-выражение, по которому выполняется проверка подключения центров валидации к центрам сертификации eCA-CA

#Переменные окружения, используемые api-gateway-service

max_requests_count

'30'

#Максимальное число параллельных HTTP запросов

Для обеспечения аутентификации в eCA-VA  субъектов домена, к которому подключен eCA-VA и eCA-CA, укажите необходимые значения параметров в конфигурационном файле /opt/aecaVa/scripts/config.sh:

  • kerberos_enabled – для активации аутентификации по билету Kerberos, параметр должен иметь значение true;
  • session_max_count – предельное количества сессий для учетных записей ресурсной системы;
  • kerberos_service_principal – имя принципала, для которого выпущен файл http.keytab; должно совпадать с именем хоста компьютера, на котором запускается eCA-VA; создается в ресурсной системе);
  • kerberos_keytab_location – место размещения файла http.keytab для имени принципала хоста, на котором размещается eCA-VA;
  • kerberos_krb5_location – путь к файлу krb5.conf хоста, на котором размещается eCA-VA;
  • kerberos_ad_domain – имя домена;
  • kerberos_ad_server – имя сервера контроллера домена;
  • resource_type – тип ресурсной системы;
  • resource_base_dn – должен указывать на организационную единицу в ресурсной системе, ограничивая аутентификацию субъектами данной ресурсной системы;
  • ldap_enabled – для активации аутентификации по доменным логину и паролю, параметр должен иметь значение true.

Пример настройки параметров для обеспечения аутентификации субъектов домена:

kerberos_enabled=’true’

session_max_count=’100’

kerberos_service_principal=’HTTP/va-22.ms.ad.aldn@MS.AD.ALDN’

kerberos_keytab_location=’/opt/va-22/pki_admin_http.keytab’

kerberos_krb5_location=’/etc/krb5.conf’

kerberos_ad_domain=’MS.AD.ALDN’

kerberos_ad_server=’ldap://dc1.ms.ad.aldn’

resource_type=’MS_AD’

resource_base_dn=’dc=ms,dc=ad,dc=aldn’

ldap_enabled=’true’

[1] Инструкция по установке и настройке cpnginx - https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/440/0/nginx-gost-binary-packages. Описание порядка конфигурирования наборов шифров представлено в разделе 6.

Установка eCA-VA на отдельном сервере

Для инициализации процесса установки eCA-VA необходимо запустить скрипт с правами суперпользователя (от имени пользователя root, либо с использованием sudo):

sudo bash /opt/aecaVa/scripts/install.sh

В случае запуска от имени пользователя, не имеющего соответствующих привилегий, будет выведено сообщение, после которого работа инсталлятора завершится:

"This script must be run as root!"

После инициализации процесса установки:

  • Пользователю будет предложено (в случае, если ранее на сервере был установлен eCA-VA):
    • установить обновление eCA-VA;
    • установить eCA-VA;
    • завершить работу инсталлятора.

Подтвердите выбор действия, вводом цифры 2 и процесс установки продукта будет запущен.

ВНИМАНИЕ! В процессе установки все действия подтверждаются выбором пункта ([Yes], [No] или [Cancel]) посредством нажатия соответствующей цифры (1, 2 или 3 соответственно).

  • Автоматически будут созданы:
    • системный пользователь (если не существует) и соответствующая группа.
    • systemd-служба service, функционирующая от имени заданного пользователя.
  • Пользователю будет предложено сформировать файлы конфигурации пакета ПО eCA-VA EJBVA из шаблонов в /opt/aecaVa/properties на основе значений, заданных при редактировании файла в /opt/aecaVa/scripts/config.sh.
  • Для более тонкой настройки EJBVA возможно ручное редактирование данных файлов в соответствие с руководствами по эксплуатации EJBV Автоматически будут заменены только параметры со значением CHANGEIT:
    • при выборе пункта [Yes] будет осуществлена замена CHANGEIT на значения из конфигурационного файла /opt/aecaVa/scripts/config.sh;
    • при выборе пункта [No] будут использоваться файлы конфигурации в неизменном виде;

ВНИМАНИЕ! Только для опытных пользователей! Данный сценарий рекомендуется только в том случае, когда уже имеются корректно сформированные .properties файлы конфигурации EJBVA, которые должны быть скопированы в каталог /opt/aecaVa/properties с заменой существующих файлов.

    • при выборе пункта [Cancel] установка будет прекращена.
  • Пользователю будет предложено установить сервер приложений Java EE:
    • при выборе пункта [Yes] будет осуществлена автоматическая установка и конфигурирование входящего в комплект поставки сервера приложений Java EE Wildfly-18.0.0.Final с подробным выводом процесса установки и конфигурирования сервера приложений в консоль пользователя;
    • при выборе пункта [No] установка сервера приложений Java EE будет пропущена;

ВНИМАНИЕ! Только для опытных пользователей! Данный сценарий рекомендуется только в том случае, когда уже имеется корректно настроенный сервер приложений, функционирующий по пути, указанному в параметре aeca_appserver_home скрипта конфигурации /opt/aecaVa/scripts/config.sh

    • при выборе пункта [Cancel] установка будет прекращена.
  • Пользователю будет предложено установить пакет ПО eCA-VA EJBVA CE:
    • при выборе пункта [Yes] будет осуществлена автоматическая установка и конфигурирование входящего в комплект поставки пакета ПО EJBVA CE с подробным выводом процесса установки и конфигурирования в консоль пользователя;
    • при выборе пункта [No] установка EJBVA будет пропущена;

ВНИМАНИЕ! Только для опытных пользователей! Данный сценарий рекомендуется только в том случае, когда уже имеется корректно настроенный EJBVA CE, функционирующий по пути, указанному в параметре aeca_ejbca_home скрипта конфигурации /opt/aecaVa/scripts/config.sh

    • при выборе пункта [Cancel] установка будет прекращена.
  • Пользователю будет предложено установить eCA-VA соответствующей версии:
    • при выборе пункта [Yes] будет осуществлена автоматическая установка и конфигурирование входящего в комплект поставки eCA-VA;
    • при выборе пункта [No] установка eCA-VA будет пропущена;
    • при выборе пункта [Cancel] установка будет прекращена.
  • После завершения установки в директории, выбранной в качестве пути для установки, будут содержаться:
    • файл txt (по умолчанию, расположен по пути /opt/aeca/generated_passwords.txt), содержащий все созданные и используемые пароли;
    • каталог «p12» (по умолчанию, расположен по пути /opt/aeca/p12/superadmin.p12), содержащий сертификат «Администратора Инициализации», необходимый для дальнейшей аутентификации через Web.
  • В процессе установки в случае возникновения ошибки установка будет прекращена, сообщение об ошибке будет выведено в консоль пользователя.
  • Так как предусмотрен модульный процесс установки, возможны различные варианты установки:
    • возможно использование заранее подготовленных файлов настроек пакета ПО eCA-VA EJBVA;
    • если в каталоге «properties» уже находятся файлы конфигурации, необходимые пользователю, то при установке возможно пропустить шаг их формирования, ответив отрицательно за запрос инсталлятора;
    • возможно использование заранее подготовленного и корректно настроенного существующего сервера приложений WildFly. Для этого путь, по которому он размещён, должен соответствовать пути, описанному в sh. При установке возможно пропустить данный шаг, ответив отрицательно на запрос инсталлятора;
    • возможно использование заранее подготовленного и корректно настроенного установленного пакета ПО EJBCA, если путь, по которому он размещён, соответствует пути, описанному в sh. При установке возможно пропустить данный шаг, ответив отрицательно за запрос инсталлятора.
    • каждый шаг установки можно выполнить отдельно или повторно, запустив соответствующий скрипт, выполнив команду:
auxiliary<наименование_действия>.sh
  •  В случае отсутствия config.sh или наличие ошибок в config.sh каждый скрипт установки содержит определённые по умолчанию значения, достаточные для его автономной работы.

Подключение к веб-интерфейсу

Общие сведения

Веб-интерфейс Центра валидации представляется собой графический интерфейс в виде совокупности динамических веб‑страниц, отображаемых в веб-браузере. Веб-интерфейс реализован клиентским компонентом Центра валидации и предназначен для управления серверным компонентом Центра валидации.

Канал управления является защищенным — организован по протоколу HTTPS/TLS с двусторонней аутентификацией и шифрованием передаваемых данных. Идентификация и аутентификация пользователей выполняется по предъявленному сертификату, который должен быть предварительно установлен в хранилище веб‑браузера или хранилище сертификатов используемой ОС. Пример установки сертификата администратора из контейнера закрытого ключа PKCS#12 приведен в подразделе 4.5.2.

При использовании СКЗИ «КриптоПро CSP» канал взаимодействия клиентского и серверного компонента Центра валидации должен быть организован по протоколу TLS ГОСТ с использованием отечественных криптографических алгоритмов. Для этого на компьютере, предназначенном для подключения к веб-интерфейсу, должны быть выполнены следующие действия:

  • Установлен криптопровайдер СКЗИ «КриптоПро CSP» в соответствии с инструкцией, описанной в разделе 2 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101-03 91 03.
  • Установлена клиентская лицензия СКЗИ «КриптоПро CSP», дающая право использовать двустороннюю аутентификацию по протоколу TLS. Порядок установки лицензии описан в разделе 4 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
  • Сертификат учетной записи администратора для взаимодействия с Центром сертификации из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, должен быть установлен в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP». Порядок установки сертификата из контейнера закрытого ключа приведен в подразделе 2.6.5 документа «СКЗИ «КриптоПро CSP». Инструкция по использованию графического приложения Инструменты КриптоПро (cptools)» ЖТЯИ.00101‑03 92 06.
  • Установлен веб-браузер Chromium с поддержкой TLS ГОСТ из состава используемой сертифицированной ОС. Данный веб-браузер входит в состав базовых репозиториев ОС Astra Linux SE, Альт Сервер и РЕД ОС.

Установка сертификата администратора

Для первичной настройки программного комплекса необходимо установить сертификат учётной записи администратора Центра сертификации, к которому подключён Центр валидации, в доверенное хранилище сертификатов веб-браузера[1].

Процесс установки сертификата рассмотрим на примере браузера Firefox:

  • Откройте браузер Firefox / Настройки / Приватность и Защита / Сертификаты (см. рисунок Рисунок 1). Нажмите кнопку <Просмотр сертификатов>.

Рисунок 1 – Окно настроек браузера

  • Выберите вкладку «Ваши сертификаты», в открывшейся вкладке нажмите кнопку <Импортировать> (см. рисунок Рисунок 2).

Рисунок 2 – Окно управления сертификатами

  • Выберите предварительно подготовленный файл сертификата, подписанный Центром сертификации. Нажмите кнопку <Открыть> (см. рисунок Рисунок 3).

Рисунок 3 – Окно выбора импортируемого файла сертификата

  • Введите PIN-код сертификата доступа в открывшемся окне и нажмите кнопку <OK> (см. рисунок Рисунок 4).

Рисунок 4 – Окно ввода PIN-кода сертификата

PIN-код сертификата устанавливается администратором Центра сертификации при выпуске сертификата доступа.

  • В таблице окна «Управление сертификатами» появится запись об импортированном сертификате (см. рисунок Рисунок 5). Нажать кнопку <ОК>.


Рисунок 5 – Окно «Управление сертификатами»

[1] Сертификат администратора из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, устанавливается в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP».

Подключение к веб-интерфейсу

Порядок подключения к веб-интерфейсу:

  • Запустите веб-браузер и в адресной строке введите IP-адрес или доменное имя компьютера, на котором установлен Центр валидации (например, https://172.22.5.21).
  • В открывшемся окне выберите импортированный сертификат для аутентификации (см. рисунок Рисунок 8). Нажмите кнопку <ОК>.

Доступ к программе

eCA-VA предоставляет возможность аутентификации в нем:

  • администраторам подключённых eCA-CA[1];
  • администратору инициализации eCA-VA.

eCA-VA позволяет администраторам подключённых eCA-CA аутентифицироваться в нем по сертификатам.

Для учетных записей администраторов eCA-CA, созданных на основе субъектов ресурсных систем, к которому подключен eCA-VA и данный eCA-CA аутентификация возможна:

  • по имени и паролю доменного пользователя, на основе которого создана учетная запись;
  • по Kerberos-билету доменного пользователя, на основе которого создана учетная запись.

eCA-VA позволяет администратору инициализации аутентифицироваться в нем по логину и паролю[2].

При обращении к пользовательскому интерфейсу eCA-VA неаутентифицированному пользователю предлагается необязательный выбор сертификата для установки двустороннего TLS-соединения. При этом выбранный пользователем сертификат в дальнейшем автоматически используется для аутентификации в eCA-VA в случае, если пользователем будет выбрана аутентификация по сертификату. В случае, если пользователем не был выбран сертификат, с веб-сервером eCA-VA устанавливается одностороннее TLS-соединение.

В пользовательском интерфейсе eCA-VA при попытке доступа неаутентифицированного пользователя после установки TLS-соединения должно отображается окно авторизации (см. рисунок Рисунок 6).

Рисунок 6 — Окно авторизации

В окне авторизации eCA-VA присутствуют:

  • поле выбора подключения «Подключение». В данном поле отображаются все подключения к eCA-CA, а также вариант выбора «Локальное». Подключения к eCA-CA отображаются в списке в формате «Отображаемое имя подключения (адрес хоста подключения)», например, «Тестовое подключение (192.168.111.100)».
  • поля ввода реквизитов пользователя («Имя пользователя» и «Пароль»).
  • текстовый блок, содержащий имя домена, к которому подключен eCA-VA;
  • кнопка «Войти» для выполнения аутентификации по введенным пользователем реквизитам.
  • кнопка «Сертификат» для выполнения аутентификации пользователя по ранее выбранному для установки двустороннего TLS-соединения сертификату. Данная кнопка заблокирована, если выбрано «Локальное» подключение;
  • кнопка «Kerberos» для выполнения аутентификации пользователя по Kerberos-билету. Данная кнопка заблокирована, если выбрано «Локальное» подключение.

Для аутентификации по имени и паролю администратора инициализации в окне авторизации eCA-VA:

  • Выберите «Локальное» в поле «Подключение».
  • Выберите INITIAL_ADMIN «Имя пользователя».
  • Введите пароль в поле «Пароль».
  • Нажмите кнопку «Войти».
  • При необходимости введите пароль контейнера Crypto-Pro (см. рисунок Рисунок 7).

Рисунок 7 — Окно ввода пароля контейнера Crypto-Pro

Для аутентификации по сертификату в окне авторизации eCA-VA:

  • Выберите подключение к eCA-CA в поле «Подключение».
  • Нажмите кнопку «Сертификат».
  • При необходимости введите пароль контейнера Crypto-Pro (см. рисунок Рисунок 7).


Для аутентификации по доменным имени и паролю в окне авторизации eCA-VA:

  • Выберите подключение к eCA-CA в поле «Подключение».
  • Введите доменное имя пользователя в поле «Имя пользователя».
  • Введите доменный пароль в поле «Пароль».


Для аутентификации по Kerberos-билету:

  • В терминале хоста, на котором планируется выполнить вход в интерфейс eCA-VA:
    • Получите Kerberos-билет для субъекта ресурсной системы, от имени которого должен быть осуществлен вход, путем ввода команды kinit "user_name", где "user_name" это логин субъекта ресурсной системы.
    • Проверьте получение Kerberos-билета путём ввода команды klist.
  • В окне авторизации eCA-VA:
    • Выберите подключение к eCA-CA в поле «Подключение».
    • Нажмите кнопку Kerberos.

Рисунок 8 – Окно выбора сертификата

  • Далее на открывшейся странице с предупреждением системы безопасности (см. рисунок Рисунок 9) нажмите кнопку <Дополнительно>, примите риск и продолжите подключение.

Рисунок 9 – Страница с предупреждением системы безопасности

  • В результате вы подключитесь к веб-интерфейсу Центра валидации, где необходимо пройти аутентификацию.
  • Установка Центра валидации завершена.
  • Порт, используемый для защищённой связи программы с веб-браузером, 443.
  • Для работы программного комплекса подключение к глобальной сети Интернет не требуется.

[1] Управление подключениями к eCA-CA осуществляется администратором инициализации в разделе «Настройки».

[2] Учётная запись администратора инициализации Aladdin eVA создается при чистой установке Aladdin eVA.