Создание и настройка экземпляра Сервиса Обработки Документов

Данный раздел определяет последовательность действий при разворачивании и настройке экземпляра Сервиса Обработки Документов КриптоПро DSS.

Предварительные условия:

Базовая последовательность шагов по настройке (обязательные):

0. Настройка потокового доступа к документам (FILESTREAM).

Для ускорения обработки документов на сервере, где разворачивается БД СОД, может быть настроен потоковый доступ к документам (FILESTREAM).

Примечание

По умолчанию FILESTREAM не используется. Все обрабатываемые документы записываются непосредственно в БД СОД, где и происходит их обработка.

Инструкция по настройке FILESTREAM приведена в соответствующем разделе.

1. Создание экземпляра Сервиса Обработки Документов (командлет New-DssDocumentStoreInstance).

На данном шаге будет создано веб-приложение на Сервере приложений IIS, развёрнуты базы данных, зарегистрированы журналы Windows.

New-DssDocumentStoreInstance -SQLServerName <sqlservername> -DisplayName DocumentStore -SiteName "Default Web Site"
Внимание!

Одновременно с созданием экземпляра СОД по умолчанию будут зарегистрированы следующие плагины преобразования документов для отображения в мобильном приложении myDSS:

  • для отображения полного текста PDF-документа - DSS.DocumentConverter.PdfStub.dll. Для изменения параметров данного плагина, либо добавления плагинов для преобразования документов других форматов см. соответствующий раздел.
  • для отображения краткой информации о документе любого формата - шаблон, позволяющий отобразить имя и другие сведения о подписываемом документе DSS.DocumentConverter.Preview.dll. Для изменения параметров шаблона см. соответствующий раздел.

2. Настройка сервисного сертификата Сервиса Обработки Документов.

На данном шаге экземпляру Сервиса Обработки Документов назначается сервисный сертификат, который используется для аутентификации при межсервисном взаимодействии. 

Set-DSSDocumentStoreProperties -ServiceCertificate <thumbprint>
Примечание

Учетной записи, под которой работает пул приложения Сервиса Обработки Документов, необходимо выдать права на доступ к закрытому ключу сервисного сертификата.

3. Настройка отношений доверия с другими компонентами DSS.

Необходима настройка отношений доверия со следующими компонентами DSS:

  • Центр Идентификации
  • Сервис Подписи

Взаимодействие Центра Идентификации и Сервиса Подписи с Сервис Обработки Документов осуществляется по протоколу TLS с аутентификацией по сертификату. Для аутентификации используются сервисные сертификаты Центра Идентификации и Сервиса Подписи.

Примечание

Алгоритм сервисных сертификатов Центра Идентификации и Сервиса Подписи должен соответствовать алгоритму сертификата Веб-сервера (IIS), назначенному на порт в адресе DocumentStoreAddress.

3.1. Центр Идентификации

Настройка выполняется в два шага:

  • Регистрация на СОД Центра Идентификации в качестве доверенного издателя маркеров безопасности.

Данное действие выполняется при помощи командлета Add-DssDocumentStoreClaimsProviderTrust.

Add-DssDocumentStoreClaimsProviderTrust -IssuerName realsts -Thumbprint <Thumbprint>
  • Регистрация Сервиса Обработки Документов в качестве доверенной стороны на Центре Идентификации.

Данное действие выполняется при помощи командлета Add-DssRelyingPartyTrust. 

Add-DssRelyingPartyTrust -Name DocumentStore -Identities urn:cryptopro:dss:documentstore:DocumentStore
Примечание

К моменту выполнения данных действий должен быть развёрнут экземпляр Центра Идентификации.

3.2. Сервис Подписи

  • Регистрация на СОД Сервиса Подписи в качестве доверенного издателя маркеров безопасности.

Данное действие выполняется при помощи командлета Add-DssDocumentStoreClaimsProviderTrust.

Add-DssDocumentStoreClaimsProviderTrust -IssuerName signserver -Thumbprint <Thumbprint>
Примечание

К моменту выполнения данных действий должен быть развёрнут экземпляр Сервиса Подписи.

Примечание

Если Сервис Обработки Документов разворачивается на отдельной машине, необходимо добавить на ней сервисные сертификаты Центра Идентификации и Сервиса Подписи в хранилище Trusted People.

4. Настройка адреса Сервиса Обработки Документов на других компонентах DSS.

Данная настройка необходима для взаимодействия СОД и других компонентов в процессе подписи, шифрования и расшифрования документов, хранящихся в СОД. Для регистрации СОД на компоненте DSS необходимо выполнить следующие команды:


# Настройка адреса Сервиса Обработки Документов на Сервисе Подписи:
Set-DssProperties -DocumentStoreAddress https://<hostname>/documentstore

# Настройка адреса Сервиса Обработки Документов на Центре Идентификации:
Set-DssStsProperties -DocumentStoreAddress https://<hostname>/Documentstore

# Настройка адреса Сервиса Обработки Документов на Веб-интерфейсе Пользователя:
Set-DssFeProperties -DocumentStoreAddress https://<hostname>/Documentstore
Примечание

После внесения изменений в конфигурацию экземпляра необходимо перезапустить пул веб-приложения при помощи соответствующей команды.

Дополнительные действия по настройке (опциональные):

1. Настройка конвертации документов.

Администратор может настроить отображение полного текста документа при подтверждении операций в мобильном приложении myDSS при помощи специальных плагинов.

Пример регистрации плагина конвертации документов MS Office Word в PDF:

Add-DssDocumentStoreConverterPlugin -FileExtension pdf -Assembly "C:\Program Files\Crypto Pro\DSS\Plugins\Converters\DSS.DocumentConverter.Word.dll"

Администратор может дополнительно настроить формат отображения краткой информации о документе и (при необходимости) печатной формы документа в мобильном приложении myDSS.

2. Настройка запрета передачи внешних шаблонов документов.

При загрузке документа в СОД, вместе с ним может быть передан шаблон конвертации для отображения краткой информации о документе. Если передача внешних шаблонов включена и шаблон был передан при загрузке документа - конвертация будет происходить по этому шаблону. Передача шаблона с документом приведет к ошибке загрузки всего документа, если данная настройка выключена.

Для запрета внешних шаблонов необходимо выполнить следующую команду:

Set-DssDocumentStoreProperties -AllowExternalTemplates 0

По умолчанию передача внешних шаблонов разрешена.

3. Настройка срока хранения документов.

Документы, отправляемые в СОД при помощи программного интерфейса, могут иметь различные сроки хранения:

Удаление документов производится при помощи мониторинга с заданным интервалом. Если на момент осуществления мониторинга в БД СОД присутствуют документы с истекшим сроком хранения, они будут удалены. Администратор может настроить период мониторинга в минутах при помощи параметра -DocumentsMonitoringPeriod командлета Set-DssDocumentStoreProperties. По умолчанию период мониторинга равен 5 минутам.

4. Настройка размера загружаемых документов.

Администратор может настроить максимальный размер документов, загружаемых на СОД, при помощи параметра -MaxMessageSize командлета Set-DssDocumentStoreProperties. По умолчанию максимальный размер загружаемого файла составляет около 2 ГБ.

5. Ограничение размера хранилища для Пользователя.

Администратор может ввести ограничение на общий объем документов, загруженных Пользователем, параметра -DefaultMemoryLimitPerUserкомандлета Set-DssDocumentStoreProperties. По умолчанию максимальный объем документов, загружаемых одним Пользователем, составляет около 4 ГБ.

6. Настройка аудита. Администратор DSS может настроить сбор событий с Сервиса Обработки Документов и их отправку на Сервис Аудита для ведения журнала событий.

7. Настройка автоопределения формата документа.