Быстрый старт КриптоПро DSS

Развертывание КриптоПро DSS может быть частично автоматизировано при помощи скрипта для быстрого старта. Скрипт имеет встроенное меню. Выбор пункта меню осуществляется вводом его номера. С помощью скрипта можно выполнить следующие действия:

  • 1 - Развернуть экземпляры сервисов КриптоПро DSS. Доступно развертывание различных конфигураций КриптоПро DSS, включая DSS + myDSS и DSS + DSS SDK.
  • 2 - Настроить веб-сервер (IIS). Доступна установка необходимых ролей и компонентов веб-сервера, создание и привязка сертификата веб-сервера на выбранный порт.

Все вышеперечисленные действия выполняются на одной рабочей станции.

Примечание

Использование КриптоПро DSS, развернутого с использованием скрипта для быстрого старта, возможно только в тестовом режиме.

Загрузка скрипта и необходимых файлов

Вам понадобится:

  • Загрузить скрипт для быстрого старта КриптоПро DSS.
  • Получить дистрибутив КриптоПро DSS DSSInstall.exe и дополнительное ПО в папке redist. Получить дистрибутив можно на странице загрузки. Рекомендуется устанавливать сертифицированную версию, после чего обновить ее при помощи дистрибутива из раздела "Актуальная версия".
  • Получить дистрибутив и лицензию на КриптоПро CSP. Скачать КриптоПро CSP можно на странице загрузки.
  • Получить дистрибутив и лицензию на КриптоПро .NET. Скачать КриптоПро .NET можно на странице загрузки.

Последовательность действий

  1. Установить КриптоПро CSP и настроить считыватель тестовой гаммы, развернуть необходимые компоненты веб-сервера (IIS) и установить Microsoft .NET Framework 4.6.1. Требуется перезагрузка!
  2. Установить SQL Server Express. Если БД развернута на другом сервере, требуются права администратора для доступа к данному серверу.
  3. Установить КриптоПро DSS (рекомендуется установить все компоненты для обеспечения полной работоспособности скрипта) и дополнительное ПО (из папки redist комплекта КриптоПро DSS). Требуется перезагрузка!

  4. Распаковать содержимое скрипта в папку, из которой будет производиться последующий запуск скрипта. ВНИМАНИЕ: При запуске скрипта убедитесь, что все файлы архива dss_quickstart.zip находятся в одной папке.

  5. Настроить веб-сервер (IIS). Данные действия могут быть выполнены при помощи скрипта для быстрого старта.

  6. Создать и установить необходимые сервисные сертификаты, развернуть и настроить экземпляры компонентов КриптоПро DSS. Данные действия могут быть выполнены при помощи скрипта для быстрого старта.
Примечание

Какое-либо из действий 1-3 можно пропустить, если оно уже было выполнено ранее на рабочей станции, где запускается скрипт.

Примечание

В случае если необходимо развернуть и настроить взаимодействие со службой штампов времени (TSP), требуется задать в следующих параметрах файла DeployConfig.ps1 адрес и имя тестовой службы TSP:

  • $DssTspServiceurl
  • $DssTspServicename

Подробнее об установке КриптоПро DSS

Порядок работы со сценарием автоматического развертывания КриптоПро DSS

Отредактируйте файл DeployConfig.ps1 из состава архива dss_quickstart.zip. Заполните переменные необходимыми значениями и сохраните полученный результат.

Запустите файл DSSDeploy.ps1 в консоли PowerShell от имени администратора. После запуска становится доступным меню скрипта. Введите номер пункта меню в зависимости от этапа, который необходимо выполнить, и нажмите "Enter":

  • 1 - Для развертывания КриптоПро DSS. В рамках развертывания выполняются создание и установка необходимых сервисных сертификатов, развертывание и настройка выбранных экземпляров компонентов КриптоПро DSS. Повторное выполнение этапа в случае ошибок должно производиться только после перезагрузки.
  • 2 - Для настройки веб-сервера IIS.

Настройка веб-сервера

Скрипт для быстрого старта DSSDeploy.ps1 позволяет выполнить следующие настройки веб-сервера.

  1. Добавление необходимых компонентов и ролей веб-сервера. Данное действие позволяет включить и установить недостающие компоненты веб-сервера (IIS), необходимые для работы КриптоПро DSS.
  2. Добавление привязки сертификата (RSA) на порт 443. При этом соответствующий сертификат будет сгенерирован автоматически.
  3. Добавление привязки сертификата (ГОСТ) на порт 443. При этом соответствующий сертификат будет сгенерирован автоматически.
  4. Добавление привязки сертификата (ГОСТ) на порт 4430. При этом соответствующий сертификат будет сгенерирован автоматически.
Примечание

Для установления защищенного канала ГОСТ-TLS с используемым мобильным приложением на базе DSS SDK требуется установить на выделенном порту дополнительный сертификат веб-сервера.

  • Для собственных мобильных приложений на базе DSS SDK необходим сертификат с серверной аутентификацией и алгоритмом открытого ключа ГОСТ Р 34.10-2012.
  • Для мобильных приложений myDSS 2.0, DSS Client сертификат необходимо запрашивать по почте dsssupport@cryptopro.ru.

Подробнее о настройке веб-сервера

Развертывание КриптоПро DSS

Скрипт для быстрого старта DSSDeploy.ps1 позволяет развернуть КриптоПро DSS по следующим основным сценариям.

1. Выбор сценария

  • "КриптоПро DSS". Включает развертывание и настройку Центра Идентификации, Сервиса Подписи, Сервиса Аудита и Веб-интерфейса Пользователя.
  • "КриптоПро DSS + DSS SDK". Включает развертывание всех компонентов конфигурации "КриптоПро DSS", дополнительно включает развертывание и настройку Сервиса Операций, Сервиса Обработки Документов и Сервиса Взаимодействия с DSS SDK (mDAG).

Каждая из конфигураций позволяет добавить модуль аутентификации myDSS, что требует дополнительных настроек перед запуском скрипта.

2. Подключение к БД

После того как был выбран вариант конфигурации КриптоПро DSS, выберите расположение БД, которая была создана ранее. Выбор расположения БД влияет на настройки строки подключения создаваемого экземпляра к данной БД. Доступные варианты:

  • На локальном SQL-сервере. Введите адрес SQL-сервера.
  • На удаленном SQL-сервере с SQL-аутентификацией. Введите последовательно адрес SQL-сервера, AsUser, AsUserPassword, ServiceAccountName, ServiceAccountPassword).
  • На удаленном SQL-сервере с Windows-аутентификацией. Введите последовательно адрес SQL-сервера, ServiceAccountName, ServiceAccountPassword.

3. Выбор DNS-имени для сервера с DSS

На следующем этапе необходимо задать DNS-имя сервера DSS. Доступные варианты:

  • Использовать имя компьютера, на котором запущен скрипт.
  • Ввести произвольное имя. При выборе данного пункта скрипт предложит ввести указанные данные.

4. Выбор алгоритма подписи сервисных сертификатов

На следующем этапе необходимо выбрать алгоритм подписи служебных сертификатов. Доступные варианты:

  • RSA
  • ГОСТ Р 34.10-2012
Примечание

Алгоритмы подписи сервисных сертификатов и установленного ранее сертификата веб-сервера должны совпадать.

5. Выбор способа именования экземпляров сервисов

На данном этапе необходимо ввести основное имя экземпляра (на основании него будут сформированы остальные имена): Пример при названии test_, имя ЦИ будет test_idp, имя Сервиса Подписи будет test_ss и т.д.

6. Результат выполнения скрипта

По завершении работы скрипта будет автоматически выполнено следующее:

  • создание и настройка экземпляров сервисов КриптоПро DSS в выбранной конфигурации;
  • создание необходимых сервисных сертификатов (ГОСТ на 15 месяцев или RSA на 50 лет в зависимости от выбранного пункта меню) и назначение их сервисам;
  • выдача прав пулам приложений на доступ к закрытым ключам сервисных сертификатов.

Дополнительно в папке, откуда был запущен скрипт, будут созданы следующие файлы и директории:

  • Var.txt - список переменных, использованных во время выполнения скрипта;
  • Tekstovka.txt - произведенные настройки экземпляров сервисов КриптоПро DSS;
  • директория certs - все созданные во время выполнения скрипта сертификаты.
Примечание

Последующие запуски скрипта могут перезаписывать указанные файлы, если будут выбраны команды, влияющие на описанные выше файлы.

Дополнительные возможности

В данном разделе описаны дополнительные возможности скрипта для быстрого старта, позволяющие добавить и изменить различные настройки при развертывании КриптоПро DSS. Все описанные настройки выполняются путем редактирования описанных ниже параметров (переменных) в файле скрипта DSSDeploy.ps1.

Включение развертывания компонентов для работы myDSS

Развертывание дополнительных компонентов, необходимых для работы модуля аутентификации myDSS, а также выполнение других настроек выполняется после заполнения переменных в блоке "Настройка DSS + myDSS".

  • $mydssv1mode - Если заполнено, включает развертывание myDSS. Возможные значения:
    • All - Будут созданы новые экземпляры сервисов;
    • Connect - Будет произведено подключение к имеющимся экземлярам. Внимание! Включение данного параметра требует заполнения параметра $ServiceAddress (см. ниже).
  • $ApnClientCertPassword - Пароль клиентского сертификата APN (Apple). Параметр используется для настройки PUSH-уведомлений на ОС iOS.
  • $ApnClientCertPath - Путь к клиентскому сертификату APN (Apple). Параметр используется для настройки PUSH-уведомлений на ОС iOS.
  • $GoogleServerKey - Ключ для PUSH-уведомлений Google. Параметр используется для настройки PUSH-уведомлений на ОС Android.
  • $ServiceAddress - Адрес сервиса myDSSServerInternal. По умолчанию имеет значение http://localhost/MyDssServerInternal/service.svc.

Подробнее о myDSS

Настройка SMS- и Email-оповещений

Добавление записи "SMS-сообщений" в папку C:\inetpub\wwwroot\fakesms_$ApplicationName производится при помощи следующей переменной в разделе "Оповещения (SMS и Email)".

  • $Fakesms - true или false. По умолчанию переменная равна true.

Расширенная настройка SMS-оповещения

Оповещения посредством электронной почты настраиваются при помощи следующих переменных.

  • $mail - Включение/отключение настройки Email-оповещения. Принимает значения true или false. По умолчанию переменная равна false.
  • $emailhost - Адрес почтового сервера.
  • $emailport - Порт обращения к почтовому серверу.
  • $emailFromAddress - Email, с которого будут приходить оповещения.

Расширенная настройка Email-оповещения

Настройка средств УЦ

Скрипт позволяет настроить обработчик запросов на сертификат при помощи следующей переменной.

  • $Enrollmode - принимает значения oob (Out-of-Band) и uc20 (КриптоПро УЦ 2.0). По умолчанию значение равно oob.

В случае если выбрано значение параметра $Enrollmode= "uc20", необходимо задать следующие дополнительные параметры:

  • $UCName - Отображаемое имя обработчика;
  • $CAServiceUrl - URL-адрес Центра Регистрации УЦ в формате https://<ca2.0 host name>/RA/RegAuthLegacyService.svc;
  • $OperatorCertThumbprint - Отпечаток сертификата привилегированного Пользователя (Оператора) удостоверяющего центра;
  • $FolderID - Идентификатор папки с настройками Пользователей УЦ 2.0 (см. документацию на ПАК КриптоПро УЦ 2.0);
  • $AuthorityName - Имя Центра Сертификации УЦ 2.0.

Дополнительно скрипт для быстрого старта позволяет выдать права на доступ к закрытому ключу сертификата Оператора УЦ при помощи задания следующей переменной:

  • $OperatorUCKeyName - если используется обработчик УЦ 2.0, значение данной переменной должно быть равным $OperatorCertThumbprint

Подробнее об обработчиках запроса на сертификат

Адрес службы штампов времени
  • DssTspServiceurl - Адрес тестовой службы TSP. По умолчанию переменная имеет значение false, что отключает добавление тестовой службы TSP.
  • DssTspServicename - Отображаемое имя тестовой службы TSP.

Изменение сайта\порта для веб-приложений DSS

  • $SiteName - Позволяет изменить веб-сайт, на котором разворачиваются сервисы DSS. По умолчанию $SiteName = "Default Web Site".
  • $sslport - Позволяет изменить порт, по которому будут доступны сервисы DSS.

Задание имен экземпляров сервисов вручную

  • $namemode - Режим задания имен экземпляров создаваемых сервисов:
    • avto - имена сервисов и БД генерируются автоматически из ключевого имени (задается один раз в диалоговом меню скрипта);
    • manual - имена сервисов и БД необходимо вводить вручную.

Использование готовых сервисных сертификатов

  • $manualcert - Режим использования заранее подготовленных сервисных сертификатов. По умолчанию переменная имеет значение false, что означает, что сервисные сертификаты генерируются автоматически. В случае если значение переменной true, во время работы скрипта будет предложено вручную задавать отпечатки сертификатов для каждого из создаваемых сервисов.

Аудит

  • $noaudit - Позволяет отключить развертывание Сервиса Аудита (значение true). По умолчанию значение переменной равно false.
  • $auditreserve - Позволяет включить резервирование аудита (значение true). По умолчанию значение переменной равно false.
  • $auditreport - Добавляет отчеты аудита (значение true). По умолчанию значение переменной равно true.
Примечание

В случае если выбрано добавление отчетов аудита, необходимо выдать права на доступ к БД ЦИ учетной записи, из-под которой работает пул приложения Сервиса Аудита.

Ввод лицензии

Скрипт поддерживает ввод следующих лицензий с возможностью указания действующей (при наличии) или Демонстрационной лицензии, активируемой по умолчанию:

  • На Сервис Подписи
  • На компоненты Центра Идентификации:
    • myDSS
    • DSS Client
    • Cloud CSP
Лицензия на Сервис Подписи
  • $DssSignServerLicense - Режим лицензирования Сервиса Подписи:
    • demo - Активация демо-лицензии на 10 Пользователей. Используется в качестве режима по умолчанию;
    • lic - Ввод собственной лицензии. Требует заполнения переменных $SerialNumberSignServerLicense и $CompanyNameSignServerLicense.
  • $SerialNumberSignServerLicense - Серийный номер лицензии на Сервис Подписи.
  • $CompanyNameSignServerLicense - Имя компании, использующей лицензию.

По умолчанию конфигурационный файл DeployConfig.ps1 содержит значение переменной $DssSignServerLicense = "demo", что активирует Демонстрационную лицензию на Сервис Подписи.

Лицензия на компоненты Центра Идентификации

Компоненты ЦИ, лицензия на которые может быть введена в файле DeployConfig.ps1:

  • Модуль аутентификации myDSS
    • $SerialNumberMydssLicense - серийный номер лицензии
    • $CompanyNameMydssLicense - имя компании, использующей лицензию
  • Модуль аутентификации DSS Client
    • $SerialNumberDSSClient - серийный номер лицензии
    • $CompanyNameMydssLicense - имя компании, использующей лицензию
  • Модуль доступа Cloud CSP
    • $SerialNumberCloudLicense - серийный номер лицензии
    • $CompanyNameCloudLicense - имя компании, использующей лицензию

По умолчанию конфигурационный файл DeployConfig.ps1 не содержит введенных лицензий на компоненты ЦИ, что активирует Демонстрационную лицензию на 10 пользователей.

Внимание!

Скрипт для быстрого старта не позволяет одновременного ввода лицензий различных типов. Поэтому необходимо заполнить переменные ТОЛЬКО для одного типа лицензии. В случае указания лицензий нескольких типов не будет введена ни одна лицензия, включая Демонстрационную.

Подробнее о совместимости лицензий

Оператор DSS

  • $Login - Логин Оператора DSS. По умолчанию значение переменной равно oper_dss.
  • $OperatorName - Отображаемое в веб-интерфейсе имя Оператора DSS. По умолчанию совпадает с логином.
  • $SslAuthPort - Выделенный порт для аутентификации Оператора DSS. По умолчанию равен 443.
  • $SslAuthHostName - Выделенный сайт для аутентификации Оператора DSS. По умолчанию не задается.

Криптопровайдеры

Настройка криптопровайдеров типа GostWithMasterKey.

  • $ProviderType - Тип криптопровайдера. По умолчанию имеет значение 80.
  • $ProviderName - Имя криптопровайдера. По умолчанию имеет значение Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider.

Срок действия ClientSecret

  • $SecretLifetime - Срок действия ClientSecret в секундах при настройке аутентификации с использованием OAuth 2.0. По умолчанию имеет значение 8760. В тестовых целях значение может быть установлено равным 0, что делает данный ClientSecret бессрочным.

Режимы Сервиса Подписи (DSS Lite)

Установка и настройка КриптоПро CSP

Получите дистрибутив КриптоПро CSP. Скачать КриптоПро CSP можно на странице загрузки. КриптоПро DSS в тестовом режиме поддерживает все представленные на данной странице версии.

Установка КриптоПро CSP может производиться автоматически при помощи приложенного к настоящему документу скрипта. В случае ручного развертывания КриптоПро DSS необходимо установить КриптоПро CSP самостоятельно из приложенного к настоящему документу дистрибутива или со страницы загрузки.

Примечание

При первой установке КриптоПро CSP активируется демонстрационная лицензия на 3 месяца. По истечении этого срока необходимо приобрести лицензию, чстобы продолжить пользоваться КриптоПро CSP.

Для генерации закрытых ключей Пользователей DSS при помощи КриптоПро CSP потребуется также настроить в нем датчик случайных чисел (ДСЧ). Для осуществления настройки ДСЧ при установленном КриптоПро CSP необходимо выполнить следующие действия.

1. Чтобы сгенерировать гамму для ДСЧ, выполните в консоли PowerShell, запущенной с правами администратора, следующую команду:

New-Item -Path 'C:\Gamma' -ItemType Directory
& "C:\Program Files (x86)\Crypto Pro\CSP\genkpim.exe" 5 10101010 C:\Gamma

2. Запустите оснастку КриптоПро CSP с правами администратора и перейдите на вкладку «Оборудование».

image1.png

3. В разделе «Датчики случайных чисел» нажмите «Настроить ДСЧ».

image2.png

4. В открывшемся окне нажмите «Добавить».

image3.png

5. Запустится Мастер установки ДСЧ. Нажмите «Далее», затем в области «Производители» выберите «Компания КРИПТО-ПРО», а в области «Доступные ДСЧ» выберите «КриптоПро Исходный Материал». Нажмите «Далее».

image4.png image5.png

6. Укажите в поле «Имя ДСЧ» имя ДСЧ или оставьте предложенное без изменений. Нажмите «Далее».

image6.png

7. В открывшемся окне нажмите «Обзор» и укажите путь к папке со случайными числами Gamma, которая была создана в п.1. Нажмите «Далее».

image7.png

8. В окне завершения работы Мастера установки ДСЧ нажмите «Готово».

image7.png

9. Убедитесь, что новый ДСЧ находится на первом месте в списке ДСЧ. Положение ДСЧ можно отредактировать кнопками со стрелками.

image7.png