Перед установкой eCA-VA необходимо выполнить подготовку сервера, где предполагается развертывание eCA-VA, в соответствии с разделом 3 настоящего руководства.
В случае повторной установки ПО рекомендуется произвести очистку кэша используемого веб‑браузера.
Распаковка инсталляционного комплекта
Распакуйте инсталляционный rpm/deb-пакет, находясь в папке, где расположен пакет, выполнив команду:
РЕД ОС | sudo dnf install <наименование пакета>.rpm |
Astra Linux SE | sudo apt install <наименование пакета>.deb |
Альт Сервер | sudo apt-get install <наименование пакета>.rpm |
Инсталляционный rpm/deb-пакет будет автоматически распакован в директорию /opt/aecaVa.
Структура распакованного инсталляционного rpm/deb-пакета eCA-VA приведена в таблице Таблица 4.
Таблица 4 – Структура распакованного инсталляционного rpm/deb-пакета eCA-VA
Структурный элемент | Назначение элемента |
/opt/aecaVa | Установочный комплект eCA-VA, а также используемые дополнительные инструменты |
/opt/aecaVa/bin | Каталог с дополнительными утилитами |
/opt/aecaVa/bin/jcverify | Каталог утилиты контроля целостности «jcverify» |
/opt/aecaVa/bin/jcverify/jcverify | Утилита контроля целостности «jcverify» |
/opt/aecaVa/bin/jcverify/jcverify.txt | Вспомогательный файл для работы утилиты целостности «jcverify» |
/opt/aecaVa/dist | Путь развертывания продукта; содержит создаваемые временные файлы |
/opt/aecaVa/dist/archive/ | Архивы, сформированные в результате очистки журнала событий (путь по умолчанию, может быть изменен) |
/opt/aecaVa/dist/backup/ | Созданные резервные копии eCA-VA |
/opt/aecaVa/dist/certificates/ssl | Расположение сертификатов для управления ssl-соединением |
/opt/aecaVa/dist/environment/ | Расположение переменных окружения сервисов |
/opt/aecaVa/dist/sign-in/initial_admin.txt | Файл, содержащий логин и пароль администратора инициализации, создаваемого при чистой установке eCA-VA |
/opt/aecaVa/dist/logs/ | Расположения технических логов сервисов |
/opt/aecaVa/eula | Файл лицензионного соглашения |
/opt/aecaVa/samples | Содержит шаблоны файлов конфигурации для внутреннего использования программным средством |
/opt/aecaVa/scripts | Содержит скрипты управления eCA-VA |
/opt/aecaVa/scripts/internal | Скрипты для внутреннего использования программы, запускаемые автоматически при выполнении скриптов из каталога /opt/aecaVa/scripts |
/opt/aecaVa/scripts/backup.sh | Cкрипт резервного копирования eCA-VA |
/opt/aecaVa/scripts/config.sh | Файл конфигурации eCA-VA |
/opt/aecaVa/scripts/database_create.sh | Скрипт создания базы данных и ее пользователя на сервере eCA-VA с указанными в конфигурационном файле параметрами |
/opt/aecaVa/scripts/diagnostics.sh | Скрипт сбора диагностической информации eCA-VA |
/opt/aecaVa/scripts/install.sh | Скрипт установки и обновления eCA-VA |
/opt/aecaVa/scripts/integrity_check.sh | Скрипт контроля целостности исполняемых файлов |
/opt/aecaVa/scripts/restore_access.sh | Скрипт восстановления данных для входа администратора инициализации |
/opt/aecaVa/scripts/restore.sh | Скрипт восстановления из резервной копии eCA-VA |
/opt/aecaVa/scripts/uninstall.sh | Скрипт удаления eCA-VA |
/opt/aecaVa/scripts/jc_checksum | Файл с эталонами контрольных сумм исполняемых файлов eCA-VA |
/opt/aecaVa/scripts/key | Файл, содержащий симметричный ключ шифрования паролей в конфигурационном файле eCA-VA |
/opt/aecaVa/services | Сервисы eCA-VA |
/opt/aecaVa/static | Артефакты клиентского компонента eCA-VA |
/opt/aecaVa/digsig/keys/aladdin_pub.key | Открытый ключ АО «Аладдин Р.Д.», используемый для проверки подписи исполняемых файлов и библиотек eCA-VA на Astra Linux Special Edition в режиме замкнутой программной среды (ЗПС) |
Владельцем распакованных файлов будет являться пользователь «root», другие пользователи не будут иметь прав доступа к инсталляционному комплекту.
Поддержка активного режима замкнутой программной среды в ОС Astra Linux Special Edition
eCA-VA обеспечивает работу ОС Astra Linux Special Edition 1.7 и Astra Linux Special Edition 1.8 в активном режиме замкнутой программной среды (далее – ЗПС). Для этого в состав установочных пакетов eCA-VA включен публичный открытый ключ АО «Аладдин Р.Д.» — aladdin_pub.key. После распаковки установочного пакета ключ находится в каталоге /opt/aecaVa/digsig/keys/aladdin_pub.key.
Для обеспечения режима ЗПС открытый ключ необходимо переместить в каталог /etc/digsig/keys/.
Настройка параметров
Обязательно необходимо задать значение параметра hostname.
Настраиваемые параметры конфигурационного файла /opt/aecaVa/scripts/config.sh позволяют задавать:
- параметры конфигурации развёртывания сервисов eCA-VA;
- параметры конфигурации eCA-VA;
- параметры конфигурации сертификата технического Центра сертификации и сертификата пользователя (администратора) eCA-VA, создаваемого по умолчанию в процессе развёртывания сервера eCA-VA;
- конфигурацию базы данных.
Для настройки параметров отредактируйте конфигурационный файл /opt/aecaVa/scripts/config.sh. Параметры конфигурации приведены в таблице Таблица 5.
Таблица 5 – Параметры конфигурации
Ключ | Значение по умолчанию | Описание |
|---|---|---|
webserver | По умолчанию не задано. | #Используемый web-сервер Допустимые значения: "nginx", "apache", "cpnginx" |
webserver_path | По умолчанию не задано. | #Расположение конфигурации веб-сервера |
aeca_path | '/opt/aecaVa/dist' | #Каталог установки eCA-VA |
environment_path | '/opt/aecaVa/dist/environment' | #Конфигурация развертывания |
cryptotoken_path | '/opt/aecaVa/dist/cryptotoken' | #Каталог хранения контейнеров служб OCSP |
webserver_config_path | '/opt/aecaVa/dist/webserver' | #Расположение конфигурации eCA-VA для веб-сервера |
encryption_key_path | '/opt/aecaVa/scripts/key' | #Ключ для шифрования конфигурационного файла |
proxy_connect_timeout | '320' | #Время ожидания подключения к прокси-серверу перед тем, как будет выдано сообщение об ошибке Только для nginx Настраивается разработчиком eCA-VA, редактировать не следует. |
proxy_send_timeout | '320' | #Время ожидания ответа от прокси-сервера после отправки запроса. Если ответ не получен в течение этого времени, запрос считается неудачным. Только для nginx Настраивается разработчиком eCA-VA, редактировать не следует. |
proxy_read_timeout | '720' | #Время ожидания чтения ответа от прокси-сервера после получения успешного запроса. Если ответ не получен в течение этого времени, запрос считается неудачным. Только для nginx Настраивается разработчиком eCA-VA, редактировать не следует. |
ssl_protocols | 'TLSv1.2 TLSv1.3' | #Поддерживаемые версии протокола TLS Доступно использование только TLSv1.2 и/или TLSv1.3 (при использовании обоих версий необходимо указывать их через пробел). |
ssl_ciphers | По умолчанию не задано. | #Поддерживаемые наборы шифров для TLS-соединения Данный параметр позволяет ограничить наборы шифров (cipher suites), которые могут использоваться при TLS-соединении. Разделитель между наборами – двоеточие (:). Если клиент не поддерживает ни один из указанных в данном параметре наборов, TLS-соединение не будет установлено. По умолчанию значение в данном параметре не задано, что означает отсутствие управления со стороны eCA-VA перечнем допустимых наборов шифров (ciphersuites) TLS-соединения для веб-сервера. В данном параметре могут быть указаны любые наборы шифров, поддерживаемые используемой на сервере eCA-VA версией Openssl для TLS v1.2. Получить список поддерживаемых используемым Openssl наборов шифров для TLS v1.2 можно с помощью команды «openssl ciphers -tls1_2 -s». Данный параметр учитывается только при использовании Nginx или Apache. Конфигурирование наборов шифров TLS-соединения для Cpnginx осуществляется с помощью утилиты «cpconfig» из состава «КриптоПро CSP».[1] |
backup_path | '/opt/aecaVa/dist/backup' | #Путь до места хранения резервных копий |
logs_base | '/opt/aecaVa/dist/logs' | #Путь хранения лог-файлов |
archive_path | '/opt/aecaVa/dist/archive' | #Путь до архивированных файлов. Можно менять. Только абсолютные пути. Права на каталог должны быть предоставлены пользователю/группе aeca:aeca. |
certificates_ssl_path | '/opt/aecaVa/dist/certificates/ssl' | #Путь хранения контейнера, сертификата и ключа web-сервера, а также цепочек сертификатов разрешенных издателей |
aeca_user | 'aeca' | #Имя локального пользователя, создаваемого при установке eCA-VA |
aeca_group | 'aeca' | #Наименование группы, создаваемой при установке eCA-VA, в которую входит пользователь, создаваемый по параметру «aeca_user» |
memory | '4096' | #Конфигурация памяти (значение в МБ) |
enable_gc_diagnostic | 'false' | #Флаг сбора диагностической информации о памяти |
enable_heap_dump | 'false' | #Флаг сбора дампов памяти для упавших сервисов eCA-VA |
#Конфигурация БД | ||
max_db_pool_size | '50' | Максимальный размер пула подключений к СУБД Настраивается разработчиком eCA-VA, редактировать не следует |
use_tls | 'false' | Флаг обязательного использования TLS для подключения к СУБД. Допустимые значения: true, false |
database_username | 'aeca' | Имя пользователя СУБД |
database_password | По умолчанию не задано. Указывается администратором инициализации при установке. | Пароль пользователя СУБД |
database_host | 'localhost' | Имя хоста СУБД. Указано значение по умолчанию. |
database_port | '5432' | Порт для доступа к СУБД. Указано значение по умолчанию. |
database_name | 'aecava' | Имя БД. Указано значение по умолчанию. |
root_cert_path | По умолчанию не задано. | Абсолютный путь к сертификату корневого ЦС из цепочки сертификатов сервера СУБД. |
#Конфигурация aeca-va | ||
http_port | '80' | #Конфигурация aeca-va |
https_port | '433' | #Конфигурация aeca-va |
hostname | 'localhost' | #Конфигурация aeca-va |
hostname_no_mtls | По умолчанию не задано. | #Параметр используется только в конфигурации с CPNGINX #Имя хоста (должно отличаться от значения hostname), используемое для доступа к интерфейсу без использования mTLS |
number_of_services | '9' | #Конфигурация aeca-va |
logging_response | 'false' | #Переменные окружения, используемые всеми сервисами |
logging_sql | 'false' | #Переменные окружения, используемые всеми сервисами |
#Переменные окружения для logback | ||
logs_file_max_size | '10MB' | Максимальный размер файла лога сервиса перед его архивацией. При достижении данного значения текущий лог-файл (access.log или service.log) будет архивироваться – файл будет сохранен в текущем каталоге логов данного сервиса с именем {access или service}-{дата в формате YYYY-MM-DD}.{индекс лога}.log. |
logs_max_history | '10' | Максимальный срок хранения архивов логов в днях. Архивы логов, срок хранения которых превышает указанное в данном параметре значение, будут автоматически удаляться. |
logs_total_size_cap | '100MB' | Максимальный общий объем логов, включая архивы, каждого типа (access или service) для каждого сервиса При достижении данного объема наиболее старые архивы логов данного типа будут удаляться. |
api_key | '2d2ec9b4-ad3d-4ed0-8961-d2a4ab99d810' | #Ключ для внутренней аутентификации |
#Переменные окружения, используемые settings-service | ||
certificate_server_name | По умолчанию не задано. | #Имя файла сертификата web-сервера |
certificate_raw_server_password | По умолчанию не задано. | #Пароль от контейнера сертификата web-сервера |
issuers_name | 'issuers' | #Имя файла разрешенных издателей |
issuers_sync | '0 */30 * * * *' | #CRON-выражение, по которому выполняется синхронизация разрешенных издателей |
refresh__token_expire | '86400000' | #Время жизни JWT токена обновления в миллисекундах Значение по умолчанию: 86400000 мс (1 сутки). В течение данного срока маркер обновления можно использовать для получения нового маркера доступа и маркера обновления. По истечению данного срока маркер обновления нельзя использовать для этого. И для получения нового маркера доступа и обновления потребуется повторная аутентификация. |
token_expire | '180000' | #Время жизни JWT токена доступа в миллисекундах Значение по умолчанию: 180000 мс (3 минуты). |
#Переменные окружения, используемые security-service | ||
kerberos_enabled | 'false' | #Активация kerberos |
session_max_count | '100' | #Максимальное число сессий аккаунта (-1 - ограничение отключено) Значение по умолчанию: 100. Допустимые варианты указания предельного количества сессий для учетных записей: 1) натуральное число, представленное в десятичной системе счисления; 2) число «0»; 3) число «-1» (для выключения ограничения на количество сессий). |
kerberos_service_principal | По умолчанию не задано. | #Имя принципала, используемого для авторизации |
kerberos_keytab_location | По умолчанию не задано. | #Расположение keytab файла, содержащего тикет принципала, используемого для авторизации |
kerberos_krb5_location | По умолчанию не задано. | #Расположение файла конфигурации krb5.conf |
kerberos_ad_domain | По умолчанию не задано. | #Имя подключаемого домена |
kerberos_ad_server | По умолчанию не задано. | #Адрес сервера |
resource_type | По умолчанию не задано. | #Тип ресурсной системы (FREE_IPA, ALD_PRO, SAMBA_DC, MS_AD, RED_ADM, ALT_DOMAIN) |
resource_base_dn | По умолчанию не задано. | #Точка подключения ресурса |
ldap_enabled | 'false' | #Активация ldap |
ldap_sign_in_failure_max_count | '5' | #Максимальное количество неудачных попыток аутентификации через LDAP |
ldap_sign_in_failure_delay_millis | '3600000' | # Время задержки после последней неудачной попытки аутентификации через LDAP |
sign_provider | 'EMBEDDED' | #Провайдер подписи (выбирается между стандартным - 'EMBEDDED' и КриптоПро - 'CRYPTO_PRO') |
sign_key_algorithm | 'RSA' | #Алгоритм подписи ключа Для стандартного провайдера подписи доступны алгоритмы 'RSA' и 'ECDSA'. Для провайдера подписи КриптоПро доступны алгоритмы 'RSA' и 'GOST_R_34_10_2012'. |
sign_key_length | '2048' | #Длина ключа подписи |
sign_hash_algorithm | 'SHA512' | #Алгоритм хэширования подписи Доступные для выбора значения алгоритмов хэширования: 1) для стандартного провайдера (EMBEDDED): для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384' для алгоритма ключа 'ECDSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384' 2) для провайдера КриптоПро (CRYPTO_PRO): для алгоритма ключа 'GOST_R_34_10_2012' доступен алгоритм хэширования 'GOST_R_34_11_2012' для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384' |
#Переменные окружения, используемые logs-service | ||
archive_cron | '0 0 0 1 * *' | #CRON выражение, по которому запускается архивация журнала событий. |
archive_enabled | 'true' | #Флаг: включена архивация. Возможные значения: true/false |
archive_millis_ago | '15778800000' | #Архивировать записи старше |
#Переменные окружения, используемые validation-authority-service | ||
ocsp_certificate_renewal_threshold | '90' | #Пороговое значение для проверки сертификатов |
ocsp_certificate_renewal_cron | '0 0 0 * * *' | #CRON-выражение, по которому выполняется синхронизация сертификатов |
validation_authority_status_cron | '0 0/5 * * * *' | #CRON-выражение, по которому выполняется проверка подключения центров валидации к центрам сертификации eCA-CA |
#Переменные окружения, используемые api-gateway-service | ||
max_requests_count | '30' | #Максимальное число параллельных HTTP запросов |
Для обеспечения аутентификации в eCA-VA субъектов домена, к которому подключен eCA-VA и eCA-CA, укажите необходимые значения параметров в конфигурационном файле /opt/aecaVa/scripts/config.sh:
- kerberos_enabled – для активации аутентификации по билету Kerberos, параметр должен иметь значение true;
- session_max_count – предельное количества сессий для учетных записей ресурсной системы;
- kerberos_service_principal – имя принципала, для которого выпущен файл http.keytab; должно совпадать с именем хоста компьютера, на котором запускается eCA-VA; создается в ресурсной системе);
- kerberos_keytab_location – место размещения файла http.keytab для имени принципала хоста, на котором размещается eCA-VA;
- kerberos_krb5_location – путь к файлу krb5.conf хоста, на котором размещается eCA-VA;
- kerberos_ad_domain – имя домена;
- kerberos_ad_server – имя сервера контроллера домена;
- resource_type – тип ресурсной системы;
- resource_base_dn – должен указывать на организационную единицу в ресурсной системе, ограничивая аутентификацию субъектами данной ресурсной системы;
- ldap_enabled – для активации аутентификации по доменным логину и паролю, параметр должен иметь значение true.
Пример настройки параметров для обеспечения аутентификации субъектов домена:
kerberos_enabled=’true’
session_max_count=’100’
kerberos_service_principal=’HTTP/va-22.ms.ad.aldn@MS.AD.ALDN’
kerberos_keytab_location=’/opt/va-22/pki_admin_http.keytab’
kerberos_krb5_location=’/etc/krb5.conf’
kerberos_ad_domain=’MS.AD.ALDN’
kerberos_ad_server=’ldap://dc1.ms.ad.aldn’
resource_type=’MS_AD’
resource_base_dn=’dc=ms,dc=ad,dc=aldn’
ldap_enabled=’true’
[1] Инструкция по установке и настройке cpnginx - https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/440/0/nginx-gost-binary-packages. Описание порядка конфигурирования наборов шифров представлено в разделе 6.
Установка eCA-VA на отдельном сервере
Для инициализации процесса установки eCA-VA необходимо запустить скрипт с правами суперпользователя (от имени пользователя root, либо с использованием sudo):
sudo bash /opt/aecaVa/scripts/install.shВ случае запуска от имени пользователя, не имеющего соответствующих привилегий, будет выведено сообщение, после которого работа инсталлятора завершится:
"This script must be run as root!"После инициализации процесса установки:
- Пользователю будет предложено (в случае, если ранее на сервере был установлен eCA-VA):
- установить обновление eCA-VA;
- установить eCA-VA;
- завершить работу инсталлятора.
Подтвердите выбор действия, вводом цифры 2 и процесс установки продукта будет запущен.
ВНИМАНИЕ! В процессе установки все действия подтверждаются выбором пункта ([Yes], [No] или [Cancel]) посредством нажатия соответствующей цифры (1, 2 или 3 соответственно).
- Автоматически будут созданы:
- системный пользователь (если не существует) и соответствующая группа.
- systemd-служба service, функционирующая от имени заданного пользователя.
- Пользователю будет предложено сформировать файлы конфигурации пакета ПО eCA-VA EJBVA из шаблонов в /opt/aecaVa/properties на основе значений, заданных при редактировании файла в /opt/aecaVa/scripts/config.sh.
- Для более тонкой настройки EJBVA возможно ручное редактирование данных файлов в соответствие с руководствами по эксплуатации EJBV Автоматически будут заменены только параметры со значением CHANGEIT:
- при выборе пункта [Yes] будет осуществлена замена CHANGEIT на значения из конфигурационного файла /opt/aecaVa/scripts/config.sh;
- при выборе пункта [No] будут использоваться файлы конфигурации в неизменном виде;
ВНИМАНИЕ! Только для опытных пользователей! Данный сценарий рекомендуется только в том случае, когда уже имеются корректно сформированные .properties файлы конфигурации EJBVA, которые должны быть скопированы в каталог /opt/aecaVa/properties с заменой существующих файлов.
- при выборе пункта [Cancel] установка будет прекращена.
- Пользователю будет предложено установить сервер приложений Java EE:
- при выборе пункта [Yes] будет осуществлена автоматическая установка и конфигурирование входящего в комплект поставки сервера приложений Java EE Wildfly-18.0.0.Final с подробным выводом процесса установки и конфигурирования сервера приложений в консоль пользователя;
- при выборе пункта [No] установка сервера приложений Java EE будет пропущена;
ВНИМАНИЕ! Только для опытных пользователей! Данный сценарий рекомендуется только в том случае, когда уже имеется корректно настроенный сервер приложений, функционирующий по пути, указанному в параметре aeca_appserver_home скрипта конфигурации /opt/aecaVa/scripts/config.sh
- при выборе пункта [Cancel] установка будет прекращена.
- Пользователю будет предложено установить пакет ПО eCA-VA EJBVA CE:
- при выборе пункта [Yes] будет осуществлена автоматическая установка и конфигурирование входящего в комплект поставки пакета ПО EJBVA CE с подробным выводом процесса установки и конфигурирования в консоль пользователя;
- при выборе пункта [No] установка EJBVA будет пропущена;
ВНИМАНИЕ! Только для опытных пользователей! Данный сценарий рекомендуется только в том случае, когда уже имеется корректно настроенный EJBVA CE, функционирующий по пути, указанному в параметре aeca_ejbca_home скрипта конфигурации /opt/aecaVa/scripts/config.sh
- при выборе пункта [Cancel] установка будет прекращена.
- Пользователю будет предложено установить eCA-VA соответствующей версии:
- при выборе пункта [Yes] будет осуществлена автоматическая установка и конфигурирование входящего в комплект поставки eCA-VA;
- при выборе пункта [No] установка eCA-VA будет пропущена;
- при выборе пункта [Cancel] установка будет прекращена.
- После завершения установки в директории, выбранной в качестве пути для установки, будут содержаться:
- файл txt (по умолчанию, расположен по пути /opt/aeca/generated_passwords.txt), содержащий все созданные и используемые пароли;
- каталог «p12» (по умолчанию, расположен по пути /opt/aeca/p12/superadmin.p12), содержащий сертификат «Администратора Инициализации», необходимый для дальнейшей аутентификации через Web.
- В процессе установки в случае возникновения ошибки установка будет прекращена, сообщение об ошибке будет выведено в консоль пользователя.
- Так как предусмотрен модульный процесс установки, возможны различные варианты установки:
- возможно использование заранее подготовленных файлов настроек пакета ПО eCA-VA EJBVA;
- если в каталоге «properties» уже находятся файлы конфигурации, необходимые пользователю, то при установке возможно пропустить шаг их формирования, ответив отрицательно за запрос инсталлятора;
- возможно использование заранее подготовленного и корректно настроенного существующего сервера приложений WildFly. Для этого путь, по которому он размещён, должен соответствовать пути, описанному в sh. При установке возможно пропустить данный шаг, ответив отрицательно на запрос инсталлятора;
- возможно использование заранее подготовленного и корректно настроенного установленного пакета ПО EJBCA, если путь, по которому он размещён, соответствует пути, описанному в sh. При установке возможно пропустить данный шаг, ответив отрицательно за запрос инсталлятора.
- каждый шаг установки можно выполнить отдельно или повторно, запустив соответствующий скрипт, выполнив команду:
auxiliary<наименование_действия>.sh- В случае отсутствия config.sh или наличие ошибок в config.sh каждый скрипт установки содержит определённые по умолчанию значения, достаточные для его автономной работы.
Подключение к веб-интерфейсу
Общие сведения
Веб-интерфейс Центра валидации представляется собой графический интерфейс в виде совокупности динамических веб‑страниц, отображаемых в веб-браузере. Веб-интерфейс реализован клиентским компонентом Центра валидации и предназначен для управления серверным компонентом Центра валидации.
Канал управления является защищенным — организован по протоколу HTTPS/TLS с двусторонней аутентификацией и шифрованием передаваемых данных. Идентификация и аутентификация пользователей выполняется по предъявленному сертификату, который должен быть предварительно установлен в хранилище веб‑браузера или хранилище сертификатов используемой ОС. Пример установки сертификата администратора из контейнера закрытого ключа PKCS#12 приведен в подразделе 4.5.2.
При использовании СКЗИ «КриптоПро CSP» канал взаимодействия клиентского и серверного компонента Центра валидации должен быть организован по протоколу TLS ГОСТ с использованием отечественных криптографических алгоритмов. Для этого на компьютере, предназначенном для подключения к веб-интерфейсу, должны быть выполнены следующие действия:
- Установлен криптопровайдер СКЗИ «КриптоПро CSP» в соответствии с инструкцией, описанной в разделе 2 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101-03 91 03.
- Установлена клиентская лицензия СКЗИ «КриптоПро CSP», дающая право использовать двустороннюю аутентификацию по протоколу TLS. Порядок установки лицензии описан в разделе 4 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
- Сертификат учетной записи администратора для взаимодействия с Центром сертификации из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, должен быть установлен в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP». Порядок установки сертификата из контейнера закрытого ключа приведен в подразделе 2.6.5 документа «СКЗИ «КриптоПро CSP». Инструкция по использованию графического приложения Инструменты КриптоПро (cptools)» ЖТЯИ.00101‑03 92 06.
- Установлен веб-браузер Chromium с поддержкой TLS ГОСТ из состава используемой сертифицированной ОС. Данный веб-браузер входит в состав базовых репозиториев ОС Astra Linux SE, Альт Сервер и РЕД ОС.
Установка сертификата администратора
Для первичной настройки программного комплекса необходимо установить сертификат учётной записи администратора Центра сертификации, к которому подключён Центр валидации, в доверенное хранилище сертификатов веб-браузера[1].
Процесс установки сертификата рассмотрим на примере браузера Firefox:
- Откройте браузер Firefox / Настройки / Приватность и Защита / Сертификаты (см. рисунок Рисунок 1). Нажмите кнопку <Просмотр сертификатов>.
Рисунок 1 – Окно настроек браузера
- Выберите вкладку «Ваши сертификаты», в открывшейся вкладке нажмите кнопку <Импортировать> (см. рисунок Рисунок 2).
Рисунок 2 – Окно управления сертификатами
- Выберите предварительно подготовленный файл сертификата, подписанный Центром сертификации. Нажмите кнопку <Открыть> (см. рисунок Рисунок 3).
Рисунок 3 – Окно выбора импортируемого файла сертификата
- Введите PIN-код сертификата доступа в открывшемся окне и нажмите кнопку <OK> (см. рисунок Рисунок 4).
Рисунок 4 – Окно ввода PIN-кода сертификата
PIN-код сертификата устанавливается администратором Центра сертификации при выпуске сертификата доступа.
- В таблице окна «Управление сертификатами» появится запись об импортированном сертификате (см. рисунок Рисунок 5). Нажать кнопку <ОК>.
Рисунок 5 – Окно «Управление сертификатами»
[1] Сертификат администратора из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, устанавливается в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP».
Подключение к веб-интерфейсу
Порядок подключения к веб-интерфейсу:
- Запустите веб-браузер и в адресной строке введите IP-адрес или доменное имя компьютера, на котором установлен Центр валидации (например, https://172.22.5.21).
- В открывшемся окне выберите импортированный сертификат для аутентификации (см. рисунок Рисунок 8). Нажмите кнопку <ОК>.
Доступ к программе
eCA-VA предоставляет возможность аутентификации в нем:
- администраторам подключённых eCA-CA[1];
- администратору инициализации eCA-VA.
eCA-VA позволяет администраторам подключённых eCA-CA аутентифицироваться в нем по сертификатам.
Для учетных записей администраторов eCA-CA, созданных на основе субъектов ресурсных систем, к которому подключен eCA-VA и данный eCA-CA аутентификация возможна:
- по имени и паролю доменного пользователя, на основе которого создана учетная запись;
- по Kerberos-билету доменного пользователя, на основе которого создана учетная запись.
eCA-VA позволяет администратору инициализации аутентифицироваться в нем по логину и паролю[2].
При обращении к пользовательскому интерфейсу eCA-VA неаутентифицированному пользователю предлагается необязательный выбор сертификата для установки двустороннего TLS-соединения. При этом выбранный пользователем сертификат в дальнейшем автоматически используется для аутентификации в eCA-VA в случае, если пользователем будет выбрана аутентификация по сертификату. В случае, если пользователем не был выбран сертификат, с веб-сервером eCA-VA устанавливается одностороннее TLS-соединение.
В пользовательском интерфейсе eCA-VA при попытке доступа неаутентифицированного пользователя после установки TLS-соединения должно отображается окно авторизации (см. рисунок Рисунок 6).
Рисунок 6 — Окно авторизации
В окне авторизации eCA-VA присутствуют:
- поле выбора подключения «Подключение». В данном поле отображаются все подключения к eCA-CA, а также вариант выбора «Локальное». Подключения к eCA-CA отображаются в списке в формате «Отображаемое имя подключения (адрес хоста подключения)», например, «Тестовое подключение (192.168.111.100)».
- поля ввода реквизитов пользователя («Имя пользователя» и «Пароль»).
- текстовый блок, содержащий имя домена, к которому подключен eCA-VA;
- кнопка «Войти» для выполнения аутентификации по введенным пользователем реквизитам.
- кнопка «Сертификат» для выполнения аутентификации пользователя по ранее выбранному для установки двустороннего TLS-соединения сертификату. Данная кнопка заблокирована, если выбрано «Локальное» подключение;
- кнопка «Kerberos» для выполнения аутентификации пользователя по Kerberos-билету. Данная кнопка заблокирована, если выбрано «Локальное» подключение.
Для аутентификации по имени и паролю администратора инициализации в окне авторизации eCA-VA:
- Выберите «Локальное» в поле «Подключение».
- Выберите INITIAL_ADMIN «Имя пользователя».
- Введите пароль в поле «Пароль».
- Нажмите кнопку «Войти».
- При необходимости введите пароль контейнера Crypto-Pro (см. рисунок Рисунок 7).
Рисунок 7 — Окно ввода пароля контейнера Crypto-Pro
Для аутентификации по сертификату в окне авторизации eCA-VA:
- Выберите подключение к eCA-CA в поле «Подключение».
- Нажмите кнопку «Сертификат».
- При необходимости введите пароль контейнера Crypto-Pro (см. рисунок Рисунок 7).
Для аутентификации по доменным имени и паролю в окне авторизации eCA-VA:
- Выберите подключение к eCA-CA в поле «Подключение».
- Введите доменное имя пользователя в поле «Имя пользователя».
- Введите доменный пароль в поле «Пароль».
Для аутентификации по Kerberos-билету:
- В терминале хоста, на котором планируется выполнить вход в интерфейс eCA-VA:
- Получите Kerberos-билет для субъекта ресурсной системы, от имени которого должен быть осуществлен вход, путем ввода команды kinit "user_name", где "user_name" это логин субъекта ресурсной системы.
- Проверьте получение Kerberos-билета путём ввода команды klist.
- В окне авторизации eCA-VA:
- Выберите подключение к eCA-CA в поле «Подключение».
- Нажмите кнопку Kerberos.
Рисунок 8 – Окно выбора сертификата
- Далее на открывшейся странице с предупреждением системы безопасности (см. рисунок Рисунок 9) нажмите кнопку <Дополнительно>, примите риск и продолжите подключение.
Рисунок 9 – Страница с предупреждением системы безопасности
- В результате вы подключитесь к веб-интерфейсу Центра валидации, где необходимо пройти аутентификацию.
- Установка Центра валидации завершена.
- Порт, используемый для защищённой связи программы с веб-браузером, 443.
- Для работы программного комплекса подключение к глобальной сети Интернет не требуется.
[1] Управление подключениями к eCA-CA осуществляется администратором инициализации в разделе «Настройки».
[2] Учётная запись администратора инициализации Aladdin eVA создается при чистой установке Aladdin eVA.








