Создание и настройка экземпляра Веб-интерфейса Пользователя

Данный раздел определяет последовательность действий при разворачивании и настройке экземпляра Веб-интерфейса Пользователя КриптоПро DSS.

• Пример разворачивания

Предварительные условия:

• Установленная роль Сервер приложений (IIS);
• Настроенная привязка https на Сервере приложений (IIS);
• Установленный КриптоПро CSP (входит в комплект поставки);
• Выпущенный и установленный сервисный сертификат Веб-интерфейса Пользователя.

Базовая последовательность шагов по настройке (обязательные):

Примечание

После выполнения шагов, перечисленных в данном разделе, доступ к Веб-интерфейсу Пользователя осуществляется по умолчанию по следующим ссылкам:

Веб-интерфейс Сервиса Подписи:

https://<hostname>/Frontend

Личный кабинет Пользователя:

https://<hostname>/STS/Users

1. Создание экземпляра службы Веб-интерфейса Пользователя (командлет New-DssFeInstance). На данном шаге будет создано веб-приложение на Сервере приложений IIS, развёрнуты базы данных, зарегистрированы журналы Windows.

2. Настройка сервисного сертификата Веб-интерфейса Пользователя. На данном шаге экземпляру Сервиса Подписи назначается сервисный сертификат, который используется для аутентификации при межсервисном взаимодействии.

Set-DSSFEProperties -ServiceCertificate <thumbprint>

Примечание

Учетной записи, под которой работает пул приложения Веб-интерфейса Пользователя, необходимо выдать права на доступ к закрытому ключу сервисного сертификата.

3. Настройка URL-адресов компонентов DSS. На данном шаге задаются адреса компонентов DSS для межсервисного взаимодействия c Веб-интерфейсом Пользователя во время выполнения операций подписи и других операций.

Выполнение опциональных пунктов данной настройки (см. ниже) добавит на Веб-интерфейс Пользователя соответствующие кнопки (Проверить подпись и Аудит) в боковом меню.

Настройка осуществляется при помощи командлета Set-DssFEProperties:

• URL Центра Идентификации - параметр -StsAddress. Формат адреса: https://<hostname>/<StsAppName>.
• URL Сервиса Подписи - параметр -SignServerAddress. Формат адреса: http://<hostname>/<SignServiceAppName>.
• (опционально) URL Сервиса Проверки Подписи - параметр -VsAddress. Формат адреса: http://<hostname>/<SVSAppName>.
• (опционально) URL Сервиса Аудита - параметр -AnalyticsServiceAddress. Формат адреса: https://<hostname>/<AnalyticsServiceAppName>.
• (опционально) URL Сервиса Обработки Документов - параметр -DocumentStoreAddress. Формат адреса: https://<hostname>/<DocumentStoreAppName>.

4. Настройка URL-адресов для доступа Пользователей СЭП.

На данном этапе настраиваются URL-адреса, по которым Веб-интерфейс Пользователя будет доступен Пользователям для аутентификации и работы с DSS с использованием протокола OpenID Connect 1.0.

Настройка осуществляется посредством ввода следующих команд:

# Настройка на Центре Идентификации доступа по OpenID Connect

Add-DssClient -Identifier cryptopro.dss.frontend.<FrontendAppName> -Name cryptopro.dss.frontend.<FrontendAppName> -Description "<Frontend OAuth client description>" -AllowedFlow AuthorizationCode,ClientCredentials,TokenExchange -RedirectUri "https://<FEhostname>/<FrontendAppName>/Admins/Users/ExternalCallback","https://<FEhostname>/<FrontendAppName>/Users/ExternalCallback" -GenerateSecret

# Настройка на Веб-интерфейсе доступа по OpenID Connect 

$clientSecret = (Get-DssClientSecret -ClientId cryptopro.dss.frontend.<FrontendAppName>).Value

Set-DssFeOidcSettings -Issuer "https://<STShostname>/<StsAppName>" -Realm "https://<FEhostname>/<FEAppName>" -ClientId cryptopro.dss.frontend.<FrontendAppName> -ClientSecret $clientSecret

Примечание

У Пользователей СЭП должен быть открыт доступ к указанным на данном шаге URL-адресам.

Примечание

Зарегистрированный clientSecret действителен в течение 1 года с момента его регистрации. После его истечения необходимо сгенерировать новый clientSecret для прежнего клиента:

Set-DssClient -ClientId cryptopro.dss.frontend.<FrontendAppName> -GenerateSecret

$clientSecret = (Get-DssClientSecret -ClientId cryptopro.dss.frontend.<FrontendAppName>).Value

Set-DssFeOidcSettings -ClientId cryptopro.dss.frontend.<FrontendAppName> -ClientSecret $clientSecret

5. Настройка отношений доверия с Центром Идентификации. На данном шаге устанавливается отношение доверия между Центром Идентификации и Веб-интерфейсом Пользователя.

Настройка выполняется в два шага:

• Регистрация на Веб-интерфейсе Пользователя Центра Идентификации в качестве доверенного издателя маркеров безопасности.

Данное действие выполняется при помощи командлета Add-DssFeClaimsProviderTrust.

• Регистрация Веб-интерфейса Пользователя в качестве доверенной стороны на Центре Идентификации.

Данное действие выполняется при помощи командлета Add-DssRelyingPartyTrust.

Примечание

К моменту выполнения шага 5 должен быть развёрнут экземпляр Центра Идентификации.

Примечание

После внесения изменений в конфигурацию экземпляра необходимо перезапустить пул веб-приложения при помощи соответствующей команды.

Дополнительные действия по настройке (опциональные):

1. Кастомизация Веб-интерфейса Пользователя.

Администратор может изменить отображаемые на Веб-интерфейсе Пользователя логотипы, цвета интерфейса, цвета шрифтов, заголовки и т.п.

2. Настройка оповещения Пользователя.

Администратор DSS может настроить SMS- или Email-оповещение Пользователей о действиях, выполненных на Сервисе Подписи.

3. Визуализация документов.

Администратор может настроить отображение документов в Веб-интерфейсе при подписании и шифровании.

4. Настройка размера подписываемых документов.

Администратор может ограничить максимальный размер документа, который может быть подписан через Веб-интерфейс Пользователя. По умолчанию максимальный размер документа равен ~4Mb. Настройка размера документов осуществляется при помощи параметра -MaxIISContentLength командлета Set-DssFEProperties.

5. Интеграция с Сервисом Проверки Подписи.

Администратор может включить отображение дополнительных вкладок на Веб-интерфейсе Пользователя для проверки подписи и сертификата. Данная настройка описана в Шаге 3 Обязательных настроек (см. выше).

6. Интеграция с Сервисом Аудита.

Администратор может включить отображение журнала Сервиса Аудита на Веб-интерфейсе Пользователя. Данная настройка описана в сценарии настройки Сервиса Аудита.

7. Интеграция с Сервисом Обработки Документов.

Администратор может настроить преобразование документов, загружаемых через Веб-интерфейс Пользователя, на Сервисе Обработки Документов. Для этого необходимо указать адрес Сервиса Обработки Документов в параметре -DocumentStoreAddress командлета Set-DssFEProperties:

Set-DssFEProperties -DocumentStoreAddress <string>

Данное действие требует перезапуска пула приложений Веб-интерфейса Пользователя:

Restart-DssFEInstance -DisplayName <string>

Внимание!

В случае включения данной настройки, будут использованы плагины конвертации документов, настроенные для Сервиса Обработки Документов. При этом плагины, настроенные для Веб-интерфейса Пользователя и мобильного приложения более использоваться не будут.

8. Настройка автоопределения формата документа.

9. Настройка журналирования экземпляра.