Создание и настройка экземпляра Сервиса Операций
Данный раздел определяет последовательность действий при разворачивании и настройке экземпляра Сервиса Операций КриптоПро DSS.
Предварительные условия:
- Установленный и настроенный Сервис Подписи
- Установленный и настроенный Центр Идентификации
Базовая последовательность шагов по настройке (обязательные):
На данном шаге база данных Сервиса Операций подключается к Сервису Подписи и Центру Идентификации.
$SQLServer = ".\SQLExpress"
$DBNameOpStore = "OperationStoreDb"
#Подключение базы данных к Центру Идентификации
Connect-DssStsOperationStore -SQLServerName "$SQLServer" -DBName $DBNameOpStore
#Подлючение базы данных к Сервису Подписи
Connect-DssOperationStore -SQLServerName "$SQLServer" -DBName $DBNameOpStore
Примечание
Подключение БД Сервиса Операций к другим сервисам может выполняться в любом порядке. Первая из выполненных команд создаёт базу данных. Вторая подключает к развёрнутой базе данных соответствующий сервис.
Важно: В обеих командах должно быть указано одно и то же имя БД $DBNameOpStore.
В простых случаях, когда SQL Server равёрнут на сервере DSS или на удалённом сервере с Windows-аутентификацией и
у Администратора DSS достаточно прав для создания базы данных, необходимо в командах Connect-DssStsOperationStore и Connect-DssOperationStore
указать имя SQL-сервера -SQLServerName и имя базы данных -DBName.
В сложных случаях, когда, например, у Администратора DSS недостаточно прав для создания базы данных или используется SQL-аутентификация, необходимо
заполнить параметр строки подключения к БД -ConnectionInfo.
Создать объект ConnectionInfo можно с помощью команды New-DssSqlConnectionInfo.
Пример:
$SQLServer = ".\SQLExpress"
$DBNameOpStore = "OperationStoreDb"
$connInfo = New-DssSqlConnectionInfo -ServerName $SQLServer -DatabaseName $DBNameOpStore -BeginUseEmpty
Connect-DssOperationStore -ConnectionInfo $connInfo
Connect-DssStsOperationStore -ConnectionInfo $connInfo
Другие параметры команды New-DssSqlConnectionInfo приведены в разделе Развертывание баз данных экземпляров компонентов
Дополнительные действия по настройке (опциональные):
Очистка данных об операциях
Данные и состояние подтверждаемых пользователем операций сохраняются в базе данных
Сервиса Обработки Документов (по умолчанию имя БД OperationStoreDb).
По умолчанию данные подтверждаемых операций хранятся бессрочно.
В КриптоПро DSS реализован механизм удаления устаревших данных о подтверждаемых операций. Настройка выполняется при помощи следующих командлетов:
- Get-DssStsOperationEraser
- Set-DssStsOperationEraser
Данные командлеты позволяют настроить время хранения данных об операциях и период очистки.
| Параметр | Описание |
|---|---|
| IsEnabled | Включить/отключить очистку устаревших данных. |
| Times | Точное время запуска очистки устаревших данных. Формат: hh:mm:ss. |
| OperationLimitInMinutes | Время хранения данных об операциях в минутах. При очистке будут удалены все записи, созданные ранее указанного времени. |
| BatchSize | Размер блока удаляемых за одну итерацию записей. По умолчанию 100. |
Время хранения записей OperationLimitInMinutes необходимо указывать не менее времени подтверждения операции и времени выполнения операции.
Время подтверждения операции задается на Центре Идентификации - параметр OtpConfirmationTimeOut командлетов Get-DssStsProperties/Set-DssStsProperties.
Время выполнения операции задаётся на Сервисе Подписи - параметр TokenTimeout командлетов Get-DssProperties/Set-DssProperties.
Если прикладная система использует API DSS для получения сведений о выполненных операциях, то время хранения данных об операция нужно задавать, исходя из требований прикладной системы.
Например, прикладной системе необходимо собирать статистику о пользовательских операциях в течении месяца, тогда необходимо задать значение -OperationLimitInMinutes равным 44640.
Если прикладной системе необходимо иметь возможность повторно выгрузить подписанные и/или исходные документы, можно использовать их идентификаторы в DSS.
Идентификаторы подписанных и исходных документов, хранимых в Сервисе Обработки Документов, хранятся
в данных операции. В данном случае в Сервисе Обработки Документов должно быть настроено соответствующее время хранения документов.
Примечание
Пул приложений Центра Идентификации должен быть активен в указанное время очистки от устаревших записей. Активность пула поддерживается наличием запросов от пользователей (или систем мониторинга Health Check) или настройками пула на сервере приложений IIS - режим AlwaysRunning.
Настройка времени жизни операций
Параметр -MaxTransactionLifetime командлета из модуля настроек ЦИ (командлет
Get-DssStsProperties) позволяет передавать время
жизни операции из прикладных систем. При этом необходимо учитывать следующее:
Если
MaxTransactionLifetime> 0 и передано время жизни в запросе, то используется время жизни из запроса. Время, переданное в запросе, не может превышатьMaxTransactionLifetime.Если время в запросе не передано, то используется значение параметра
-OtpConfirmationTimeOutкомандлета Get-DssStsProperties.Если
MaxTransactionLifetime= 0, то используется значение параметра-OtpConfirmationTimeOutкомандлета Get-DssStsProperties.
Перечисленные параметры командлета Get-DssStsProperties
-OtpConfirmationTimeOut и -MaxTransactionLifetime управляют временем подтверждения
операции на ЦИ.
На Сервисе Подписи настраивается время выполнения операции. Для этого используется
параметр -TokenTimeout командлета . Значение данного
параметра должно быть равно или больше каждого из параметров -OtpConfirmationTimeOut
и -MaxTransactionLifetime.