Создание и настройка экземпляра Сервиса Подписи

Данный раздел определяет последовательность действий при разворачивании и настройке экземпляра Сервиса Подписи КриптоПро DSS.

Предварительные условия:

Базовая последовательность шагов по настройке (обязательные):

1. Создание экземпляра службы Сервиса Подписи (командлет New-DssSignServerInstance). На данном шаге будет создано веб-приложение на Сервере приложений IIS, развёрнуты базы данных, зарегистрированы журналы Windows.

New-DssSignServerInstance -SiteName "Default Web Site" -ApplicationName SignServer -SQLServerName “.\SQLEXPRESS” –DisplayName SignServer

2. Настройка сервисного сертификата Сервиса Подписи. На данном шаге экземпляру Сервиса Подписи назначается сервисный сертификат, который используется для аутентификации при межсервисном взаимодействии. 

Set-DssProperties –DisplayName SignServer -ServiceCertificateThumbprint <Отпечаток сертификата компонента>
Примечание

Учетной записи, под которой работает пул приложения Сервиса Подписи, необходимо выдать права на доступ к закрытому ключу сервисного сертификата.

3. Ввод лицензии.

Пример ввода временной лицензии:

Add-DssLicense

4. Регистрация криптопровайдеров. На данном шаге в экземпляре Сервиса Подписи регистрируется криптопровайдер, который используется для создания и работы с закрытыми ключами Пользователей.

Пример добавления HSM-провайдера с Мастер-ключом:

Add-DssCryptoProvider -DisplayName SignServer -TypeId GostWithMasterKey -ProviderType 80 -ProviderName "Crypto-Pro GOST R 34.10-2012 HSM Svc CSP" -Exportable

5. Регистрация обработчика, реализующего функцию по созданию запроса на сертификат.

Add-DssEnrollment -DisplayName SignServer –Type EnrollOutOfBand –EnrollDisplayName <Имя обработчика> –RdnConfig <Путь к файлу политики имен> -TemplatesConfig <Путь к файлу шаблонов сертификатов>

6. Настройка отношений доверия с Центром Идентификации. На данном шаге устанавливается отношение доверия между Центром Идентификации и Сервисом Подписи, которое необходимо для аутентификации Пользователей и Операторов на Сервисе Подписи.

Настройка выполняется в два шага:

  • Регистрация на Сервисе Подписи Центра Идентификации в качестве доверенного издателя маркеров безопасности.

Данное действие выполняется при помощи командлета Add-DssClaimsProviderTrust.

Данное действие выполняется при помощи командлета Add-DssRelyingPartyTrust.

Примечание

К моменту выполнения данного шага в настройке Сервиса Подписи должен быть развёрнут экземпляр Центра Идентификации.

Пример настройки отношений доверия:

Add-DssRelyingPartyTrust -Name "SignServer" -MetadataUri http://<signserver_host>/SignServer/FederationMetadata/2007-06/FederationMetadata.xml
Add-DssClaimsProviderTrust -IssuerName realsts -Thumbprint <Отпечаток сертификата Центра Идентификации>
Примечание

После внесения изменений в конфигурацию экземпляра необходимо перезапустить пул веб-приложения при помощи соответствующей команды.

Пример перезапуска: 

# Перезапуск пула приложений Сервиса Подписи:
Restart-DssSignServerInstance -DisplayName <string>

Дополнительные действия по настройке (опциональные):

1. Настройка параметров подписи (Командлет Set-DssProperties). Администратор может ограничить набор форматов подписи, которые может создавать Сервис Подписи. По умолчанию доступны все форматы подписи (см. Общее Описание).

Для подписи формата CAdES-T и CAdES-X Long Type 1 необходимо задать адреса служб штампов времени (см. документацию на Службы УЦ 2.0). Список настроенных служб штампов времени будет отображаться в Веб-интерфейсе Пользователя.

Администратор может настроить политику ввода ПИН-кода на закрытый ключ при помощи командлета Set-DssProperties:

  • количество попыток ввода ПИН-кода (параметр -MaxPinAttempts);
  • обязательность задания ПИН-кода (параметр PinMode) со следующими значениями:
    • обязательно - Required;
    • не требовать - Forbid;
    • опционально - Allow.

По умолчанию задание ПИН-кода на закрытый ключ является опциональным.

Администратор может настроить обязательную проверку статуса сертификата перед подписью.

2. Настройка оповещения Пользователя. Администратор DSS может настроить SMS- или Email-оповещение Пользователей о действиях, выполненных на Сервисе Подписи.

3. Настройка аудита. Администратор DSS может настроить сбор событий с Сервиса Подписи и их отправку на Сервис Аудита для ведения журнала событий. Для этого потребуется включить отображение пункта меню "Аудит" в личном кабинете Пользователя или Оператора.

4. Настройка конечных точек. Администратор DSS может настроить параметры взаимодействия Сервиса Подписи со интегрируемыми системами. Например, можно ограничить размер документов, которые будут подписываться и/или шифроваться на Сервисе Подписи, ограничить максимальное время отправки/получения документов по сети, задать параметры безопасности при взаимодействии с интегрируемыми системами.

5. Регистрация профилей подписи. Администратор DSS может создать правила для различных форматов подписи и объединить данные правила в профиль. Профиль можно указать при подписи документов через API v2.

6. Включение режима асинхронной подписи. Администратор DSS может настроить и активировать асинхронную подпись. Асинхронная подпись упрощает взаимодействие с информационной системой, отправляющей в DSS запросы на подпись. При включенной асинхронной подписи DSS возвращает информационной системе результат работы, таким образом оповещая ее о завершении операции.

Внимание!

Асинхронная подпись возможна только для операций подписи с подтверждением при использовании APIv2.

Настройка производится следующим образом:

  • Настройка асинхронной подписи (командлет Set-DssAsyncOperationSettings). Необходимо указать параметр -ThreadCount <число> - количество обработчиков асинхронной подписи. Рекомендуется рассчитывать, исходя из количества ядер процессора узла, где расположен Сервис Подписи, умноженного на 2;
  • Включение асинхронной подписи (командлет Enable-DssAsyncOperationSettings).

Пример:

Set-DssAsyncOperationSettings -ThreadCount 4
Enable-DssAsyncOperationSettings -DisplayName <SignServer AppName>

7. Настройка журналирования экземпляра.