Перечень тестов и их параметров
В Таблице 5 приводится описание всех доступных в КриптоПро Центр Мониторинга тестов, а также их параметров.
Примечание
Список тестов, доступных в режимах Min или Default, приводится в разделе "Основные настройки".
Таблица 5 — перечень тестов и их параметров
| Тест | Описание | Параметры |
|---|---|---|
| Выполнение указанного скрипта | Тест выполняет указанный powershell-скрипт. При указании пути необходимо указать полный путь к скрипту. Тест завершается успешно, если указанный скрипт завершился без исключения. | * Путь к файлу скрипта |
| Мониторинг счетчика производительности | Тест сравнивает среднее значение указанного системного счётчика с пороговым критическим значением. Если пороговое значение счетчика становится выше(ниже) допустимого, тест завершается с ошибкой. | * Категория счетчика * Объект счетчика * Имя счетчика * Критическое значение – « <» ИЛИ «>» <число> Усреднять значения <количество> запусков Период опроса счетчика <число> секунд |
| Загрузка журналов HSM | При исполнении теста выполняется загрузка журнала аудита и журнала событий HSM. Путь для сохранения журналов должен существовать. Период запуска теста, путь для сохранения журналов и параметры подключения к HSM задаются в настройках теста. Тест не проверяет журналы HSM на наличие ошибок. | * Адрес HSM * Версия HSM (HSM 1.0/ HSM 2.0) * Отпечаток сертификата аудитора HSM * Период тестирования - <количество> часов/дней/месяцев/лет |
| Получение журналов Агента Мониторинга | Тест проверяет наличие ошибок и предупреждений в журналах на удаленной машине с установленным агентом мониторинга. Для конфигурации теста необходимо задать адрес службы удаленного агента и журналы, события с которых необходимо получать. В случае обнаружения ошибок в удаленном журнале текст ошибки будет записан в результат теста. | * Адрес веб-службы мониторинга * Список журналов для проверки (журналы и коды исключаемых событий добавляются аналогично настройке мониторинга журналов) |
| Проверка используемой оперативной памяти | Тест выполняет проверку доли используемой оперативной памяти и выдаёт ошибку при превышении заданного порога. Порог предупреждения задаётся в процентах. | * Предупреждать при превышении – доля используемой оперативной памяти в процентах |
| Проверка используемого места на диске | Тест выполняет проверку доли используемого места на указанном диске и выдаёт ошибку при превышении заданного порога. Порог предупреждения задаётся в процентах. | * Выбор диска – выбор локального диска, на котором производится мониторинг * Предупреждать при превышении – доля используемого места в процентах |
| Проверка количества сообщений в системных очередях ЦР УЦ | Тест проверяет количество сообщений в очередях Центра Регистрации УЦ. Если количество сообщений в какой либо очереди превышает заданное значение, тест завершается с ошибкой. | * Максимально допустимое количество сообщений в очереди |
| Проверка сертификатов Веб-интерфейса DSS | Тест выполняет проверку сертификатов Веб-интерфейса DSS. В список проверяемых сертификатов входит: сертификат Веб-интерфейса Пользователя, TLS-сертификат сервера приложений (IIS), сертификаты доверенных издателей маркеров безопасности. Тест также оповещает о скором истечении срока действия сертификатов. Период времени до истечения срока действия сертификата, а также набор необходимых тестов задаётся в настройках теста. | TLS-сертификат * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Сервисный сертификат * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Проверка сертификатов доверенных издателей * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Проверка сертификатов Сервиса Подписи DSS | Тест выполняет проверку сертификатов Сервиса Подписи DSS. В список проверяемых сертификатов входит: сертификат Сервиса Подписи, TLS-сертификат сервера приложений (IIS), сертификаты обработчиков УЦ, сертификат ключа доступа к ПАКМ «КриптоПро HSM», сертификаты доверенных издателей маркеров безопасности. Тест также оповещает о скором истечении срока действия сертификатов. Период времени до истечения срока действия сертификата, а также набор необходимых тестов задаётся в настройках теста. | TLS-сертификат * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Сервисный сертификат * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Проверка сертификатов доверенных издателей * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Проверка сертификатов операторов УЦ * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Проверка сертификатов Центра Идентификации DSS | Тест выполняет проверку сертификатов Центра Идентификации DSS. В список проверяемых сертификатов входит: сертификат Центра Идентификации, TLS-сертификат сервера приложений (IIS), сертификаты проверяющих сторон, сертификаты доверенных издателей маркеров безопасности. Тест также оповещает о скором истечении срока дейтсвия сертификатов. Период времени до истечения срока действия сертификата, а также набор необходимых тестов задаётся в настройках теста. | TLS-сертификат * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Сервисный сертификат * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Проверка сертификатов доверенных издателей * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) Проверка сертификатов проверяющих сторон * Проверка срока действия (чекбокс) * Проверка периода действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Тест CRL | Тест проверяет доступность точки распространения списков аннулированных сертификатов (САС). Проверяется только сетевая доступность точки. Если требуется проверять доступность нескольких СОС, то необходимо создать несколько экземпляров данного теста. | * Адрес точки распространения СОС |
| Тест OCSP-службы | Тест проверяет доступность OCSP-службы. При тестировании происходит создание запроса на получение статуса сертификата и проверка соотвествующего ответа. Если адрес OCSP-службы не указан, то используется следующий алгоритм: производятся попытки получить статус сертификата у OCSP-служб, адреса которых указаны в расширении AIA-сертификата (если есть). Если по какой-либо причине это сделать не удалось, используется адрес по умолчанию из групповой политики (если она существует). Если одна из служб вернула ответ, который прошёл проверки, то дальнейшие посылки запросов прекращаются. Если требуется проверять доступность нескольких OCSP-служб, то необходимо создать несколько экземпляров данного теста. | * Имя хранилища сертификатов (Подгружается автоматически) * Расположение хранилища сертификатов ( Current User/Local Machine) * Отпечаток сертификата (подгружается автоматически в зависимости от выбранного хранилища) * Адрес OCSP-службы |
| Тест TSP-службы | Тест проверяет доступность службы штампов времени (TSP-службы). При тестировании происходит создание запроса на получение штампа времени и проверка полученного штампа. Если требуется проверять доступность нескольких TSP-служб, то необходимо создать несколько экземпляров данного теста. | * Адрес TSP-службы * Алгоритм хэширования ( ГОСТ 34.11–2001, ГОСТ 34.11–2012 256 бит, ГОСТ 34.11–2012 512 бит, SHA-1, SHA-2, SHA-3 256 бит, SHA-3 512 бит) |
| Тест доступности обработчика УЦ | Тест проверяет доступность обработчика Удостоверяющего Центра. Идентификатор обработчика УЦ можно получить при помощи командлета Get-DssEnrollment. Если требуется проверить доступность нескольких Удостоверяющих Центров, необходимо добавить соответствующее количество экземпляров данного теста. Тест осуществляет подключение к Сервису Подписи DSS с учётными данными Пользователя DSS, чтобы проверить наличие обработчика УЦ в настройках экземпляра Сервиса Подписи DSS. Внимание: У Пользователя DSS должен быть хотя бы один действительный сертификат и настроена аутентификация в DSS по логину/паролю или только идентификация. |
* ID обработчика УЦ (в БД Сервиса Подписи DSS) |
| Тест доступности указанной веб-службы | Тест проверяет доступность указанной веб-службы. Проверяется только сетевая доступность службы. Тест завершается успешно, если получен ответ HTTP 200. Если требуется проверять доступность нескольких служб, то необходимо создать несколько экземпляров теста. Тест также может быть использован для получения результатов удаленных проверок Агентов Мониторинга. | * Адрес службы |
| Тест количества оставшихся ключей указанного криптопровайдера | Тест проверяет остаток гаммы для указанного криптопровайдера HSM. В случае если остаток гаммы меньше указанного в параметре значения - тест завершится с предупреждением. Если остаток гаммы недостаточен для генерации ключа - тест завершится с ошибкой. | * Имя криптопровайдера * Тип криптопровайдера * Предупреждать об истечении гаммы за <количество> байт * Просмотреть текущие параметры (при наличии заполненных остальных параметров) |
| Тест компонента ServiceBroker Центра Регистрации УЦ | Тест проверяет состояние компонента Service Broker Центра Регистрации УЦ. Если компонент активирован, тест завершается успешно. | - |
| Тест конечных точек DSS | Тест проверяет доступность служб некоторых экземпляров DSS. Тест выполняет загрузку метаданных Сервиса Подписи и Центра Идентификации, тем самым проверяя сетевую доступность служб и активацию служб. | - |
| Тест криптопровайдеров myDSS | Тест проверяет доступность зарегистрированных в myDSS криптопровайдеров. Во время теста проверяется доступность только криптопровайдеров в состоянии "Включен". При тестировании группы криптопровайдеров тест завершается успешно, если хотя бы один криптопровайдер из группы доступен. | * Тестировать группы криптопровайдеров (чекбокс) * Тестировать период действия Мастер-ключа (чекбокс) * Сообщать об истечении за <количество> дней * Сообщать о переходе в статус Read-Only за <количество> дней * Не сообщать о переведенных в Read-Only (чекбокс) |
| Тест криптопровайдеров Сервиса Аудита DSS | Тест проверяет доступность зарегистрированных на Сервисе Аудита DSS криптопровайдеров (в том числе и HSM). Во время теста проверяется доступность только криптопровайдеров в состоянии «Включен». При тестировании группы криптопровайдеров тест завершается успешно, если хотя бы один криптопровайдер из группы доступен. | * Тестировать группы криптопровайдеров (чекбокс) * Тестировать период действия Мастер-ключа * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Тест криптопровайдеров Сервиса Подписи DSS | Тест проверяет доступность зарегистрированных на Сервисе Подписи DSS криптопровайдеров (в том числе и HSM). Во время теста проверяется доступность только криптопровайдеров в состоянии «Включен». При тестировании группы криптопровайдеров тест завершается успешно, если хотя бы один криптопровайдер из группы доступен. | * Тестировать группы криптопровайдеров (чекбокс) * Тестировать период действия Мастер-ключа * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Тест криптопровайдеров Центра Идентификации DSS | Тест проверяет доступность зарегистрированных на Центре Идентификации DSS криптопровайдеров (в том числе и HSM). Во время теста проверяется доступность только криптопровайдеров в состоянии «Включен». При тестировании группы криптопровайдеров тест завершается успешно, если хотя бы один Тест состояния HSM из группы доступен. | * Тестировать группы криптопровайдеров (чекбокс) * Тестировать период действия Мастер-ключа * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Тест лицензии Сервиса Подписи DSS | Тест проверяет количество и сроки действия лицензий Сервиса Подписи DSS. Необходимо указать сроки предупреждения об её истечении. Если необходимо тестировать лицензии нескольких типов, нужно создать несколько экземпляров данного теста. | * Сообщать об истечении срока действия за <количество> часов/дней/месяцев/лет * Сообщать об окончании числа доступных пользователей за <количество> пользователей |
| Тест лицензии Центра Идентификации DSS | Тест проверяет количество и сроки действия лицензий Центра Идентификации DSS. Необходимо указать в параметрах теста тип тестируемой лицензии и сроки предупреждения об её истечении. Если необходимо тестировать лицензии нескольких типов, нужно создать несколько экземпляров данного теста. | * Тип лицензии (CloudCSP/MobileAuth/SimAuth) * Сообщать об истечении срока действия за <количество> часов/дней/месяцев/лет * Сообщать об окончании числа доступных пользователей за <количество> пользователей |
| Тест лицензий HSM | Тест проверяет сроки действия лицензий HSM. В случае истечения лицензии тест завершается с ошибкой. Для отслеживания скорого истечения лицензии можно настроить предупреждение через параметры теста. | * Адрес HSM * Отпечаток сертификата аудитора HSM * Сообщать об истечении срока действия за <количество> часов/дней/месяцев/лет |
| Тест подключения к БД Сервиса Подписи DSS | Тест проверяет доступность БД Сервиса Подписи DSS. Строка подключения к SQL-cерверу заполяется автоматически из настроек экземпляра Сервиса Подписи. Если используется Windows-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными службы HealthMonitor. Если используется SQL-аутентификация, подключение к SQL-серверу будет осуществляться с учётными данными, указанными в строке подключения. | - |
| Тест подключения к БД Центра Идентификации DSS | Тест проверяет доступность БД Центра Идентификации DSS. Строка подключения к SQL-cерверу заполняется автоматически из настроек экземпляра Центра Идентификации. Если используется Windows-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными службы HealthMonitor. Если используется SQL-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными, указанными в строке подключения. | - |
| Тест подключения к БД Центра Регистрации УЦ | Тест проверяет доступность БД Центра Регистрации УЦ. Строка подключения к SQL-серверу заполняется автоматически из из настроек Центра Регистрации. Если используется Windows-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными службы HealthMonitor. Если используется SQL-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными, указанными в строке подключения. | - |
| Тест подключения к БД Центра Сертификации УЦ | Тест проверяет доступность базы данных Центра Сертификации УЦ. Строка подключения к SQL-серверу заполняется автоматически из из настроек Центра Сертификации. Если используется Windows-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными службы HealthMonitor. Если используется SQL-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными, указанными в строке подключения. | - |
| Тест проверки срока действия ClientSecret | Тест проверяет сроки действия ClientSecret для зарегистрированных OAuth-клиентов DSS. Если у клиента присутсвует хотя бы один действующий ClientSecret, или отсутсвуют вовсе — тест завершается успешно. Если у клиента найден истекающий ClientSecret — тест завершается с предупреждением. | * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Тест сбойных операций | Тест проверяет количество сбойных операций за указанный интервал времени и выдает ошибку при превышении порогового значения. Значение строки подключения необходимо взять из вывода команды Get-DssStsProperties параметр OperationsDbConnectionString. | * Окно (мин) * Процент ошибок (%) \ Количество ошибок * Использовать абсолютное количество ошибок (чекбокс) * Строка подключения к проверяемой БД |
| Тест Сервиса Проверки Подписи | Тест проверяет доступность Сервиса Проверки Подписи (SVS). Проверяется только сетевая доступность сервиса. Если требуется проверять доступность нескольких SVS, то необходимо создать несколько экземпляров данного теста. | * Адрес SVS |
| Тест синхронизации времени служб TSP и OCSP | Тест проверяет синхронизацию времени служб TSP и OCSP путём сравнения времени в ответах служб. При тестировании происходит создание запроса на получение статуса сертификата и проверка соответствующего ответа. Если адрес OCSP-службы не указан, то используется следующий алгоритм: производятся попытки получить статус сертификата у OCSP-служб, адреса которых указаны в расширении AIA-сертификата (если есть). Если по какой-либо причине это сделать не удалось, используется адрес по умолчанию из групповой политики (если она существует). Если одна из служб вернула ответ, который прошёл проверки, то дальнейшие посылки запросов прекращаются. Далее происходит создание запроса на получение штампа времени и проверка полученного штампа. Затем происходит сравнение полей времени в ответах обоих служб. Если разница между временами больше указанной допустимой точности - тест завершается с ошибкой. | * Имя Хранилища * Расположение Хранилища * Отпечаток сертификата * Адрес OCSP-службы * Адрес TSP-службы * Алгоритм хэширования * Допустимая точность (в секундах) |
| Тест состояния HSM | Тест получает текущее состояние HSM и проверяет наличие свободного места на жёстком диске HSM и количество оставшегося ключевого материала (гаммы). Если количество гаммы или оставшееся свободное место на диске меньше заданного значения - тест завершается с ошибкой. Если настроен настроен мониторинг RPC-сессий - необходимо указать имя и тип криптопровайдера HSM, а также использовать отпечаток сертификата администратора HSM. В противном случае можно использовать сертификат аудитора HSM. | * Адрес HSM * Отпечаток сертификата администратора HSM * Предупреждать об истечении гаммы за (ключей) * Предупреждать о заканчивающемся месте за (Мбайт) * Предупреждать об истечении числа RPC сессий за (Количество сессий) * Имя криптопровайдера * Тип криптопровайдера |
| Тест состояния очередей ЦР УЦ | Тест проверяет доступность системных очередей Центра Регистрации УЦ. Если одна из очередей не принимает сообщения, тест завершается с ошибкой. | - |
| Тест состояния удаленного Агента Мониторинга | Тест запрашивает у указанного агента мониторинга результат последнего запуска тестов. Тест завершается успешно, если последний запуск всех тестов агента завершился успешно. Если необходимо тестировать несколько экземпляров тестирования или агентов - необходимо создать несколько экземпляров теста. | * Адрес веб-службы агента мониторинга * Имя экзепляра тестирования (на агенте мониторинга) |
| Тест срока действия CRL | Тест проверяет доступность и сроки действия CRL. CRL могут быть загружены из указанной папки по указанному сетевому адресу или из указанного хранилища. При выполнении теста производится проверка срока действия полученных CRL на текущий момент. При указании хранилища как источника CRL можно ограничить тестирование только для CRL указанного издателя. Если имя издателя не было указано, будут протестированы все CRL в хранилище. | * Тип источника CRL (URL/Папка/Хранилище сертификатов) * Путь к CRL * Имя издателя * Проверять дату следующей публикации (чекбокс) |
| Тест указанного криптоконтейнера ключа | Тест проверяет наличие и срок действия закрытого ключа в указанном ключевом контейнере. Во время теста доступность проверяется путем создания контекста криптопровайдера и открытия указанного контейнера. | * Имя криптопровайдера * Тип криптопровайдера * Уникальное имя контейнера * Хранилище локального компьютера (чекбокс) * Сообщать об истечении за <количество> дней |
| Тест указанного криптопровайдера | Тест проверяет доступность указанного криптопровайдера (в том числе HSM). При отсутвии имени криптопровайдера будет использован криптопровайдер указанного типа по умолчанию. Во время теста доступность проверяется путём создания контекста криптопровайдера и получения его параметров. | * Имя криптопровайдера (текстовое) * Тип криптопровайдера (число) |
| Тест указанного сертификата | Тест выполняет проверку указанного сертификата. Тест также оповещает о скором истечении срока действия сертификатов. Период времени до истечения срока действия сертификата, а также набор необходимых тестов задаётся в настройках теста. | * Имя хранилища сертификатов (Подгружается автоматически) * Расположение хранилища сертификатов ( Current User/Local Machine) * Отпечаток сертификата (подгружается автоматически в зависимости от выбранного хранилища) * Проверять период действия закрытого ключа (чекбокс) * Проверять аннулирование сертификата (чекбокс) * Сообщать об истечении за <количество> часов/дней/месяцев/лет |
| Тест указанной базы данных | Тест проверяет доступность базы данных. Строка подключения к SQL-серверу указывается в параметрах теста. Если используется Windows-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными службы HealthMonitor. Если используется SQL-аутентификация, то подключение к SQL-серверу будет осуществляться с учётными данными, указанными в строке подключения. | * Строка подключения к БД |
| Тест указанной службы | Тест проверяет статус указанной локальной службы. Если состояние службы отличается от «Выполняется», тест завершается с ошибкой. | * Имя локальной Windows-службы |
| Тестирование связи с Центром Сертификации УЦ | Тест проверяет связь Центра Регистрации с Центром Сертификации. Если связь присутвует, но Центр Сертификации не может выпускать сертификаты, выводится предупреждение. Если связь отсуствует, тест завершается с ошибкой. Если имя ЦС не было задано, будет использовано значение по умолчанию. | * Имя Центра Сертификации УЦ |
| Тестовая аутентификация | Тест аутентификации. Для выполнения теста необходимо настроить подключение к Центру Идентификации DSS (в параметрах экземпляра тестирования DSS); задать учётные данные (логин/пароль) Пользователя, от имени которого будет произведена аутентификация. Тест использует учётные данные пользователя ЦИ, для которого настроена аутентификация по логину/паролю или только идентификация. | - |
| Тестовая подпись | Тест создания подписи. Тест проверяет корректность выполнения операций в DSS по созданию электронных подписей следующих форматов: 1. Усовершенствованная подпись (CMS Advanced Electronic Signatures, CAdES); 2. XML Digital Signature (XMLDSig); 3. Электронная подпись ГОСТ 34.10–2001, ГОСТ 34.10–2012; 4. Подпись документов формата PDF; 5. Подпись документов Microsoft Office; Для выполнения теста необходимо настроить подключение к Сервису Подписи и Центру Идентификации; задать учётные данные (логин/пароль) пользователя от имени, которого будет создана тестовая подпись (в параметрах экземпляра тестирования DSS). Тест использует учётные данные пользователя ЦИ, для которого настроена аутентификация по логин/паролю или только идентификация. Если идентификатор сертификата не указан, будет использоваться сертификат по умолчанию. Если требуется проверить несколько форматов подписи, то необходимо создать соответствующее количество экземпляров данного теста. |
* Тип подписи (XMLDSig/GOST3410/CAdES/PDF/MSOffice/CMS) * Параметры подписи Для XMLDSig: - Enveloped - Enveloping - подпись по шаблону ГОСТ 34.10 2001 и ГОСТ 34.11–94- подпись по шаблону ГОСТ 34.10 2012 c длиной хэш-кода 256 бит - подпись по шаблону ГОСТ 34.10 2012 c длиной хэш-кода 512 бит Для CAdES: - CAdES-BES - CAdES-T - CAdES-X Long Type 1 Для PDF: - CMS - CAdES-T - CAdES-X Long Type 1 * Адрес TSP-службы (только для CAdES-T и CAdES XLT1) * Идентификатор сертификата |