DSS Cloud Proxy
DSS Cloud Proxy - это дополнительное программное обеспечение для КриптоПро DSS, позволяющее использовать облачный криптопровайдер Cloud CSP после перехода КриптоПро DSS на использование программного интерфейса второй версии (APIv2).
Использование Cloud Proxy необходимо, если требуется обеспечить доступ к хранящимся в облаке ключам пользователей, подтверждающих операции при помощи мобильного приложения на базе DSS SDK. Кроме этого, использование Cloud Proxy позволяет не опубликовывать сервисы DSS из внутренней сети организации в интернет. Для этого Cloud Proxy должен располагаться в выделенном сегменте сети (DMZ), как это изображено на рисунке ниже.
Настройка DSS Cloud Proxy
DSS Cloud Proxy представляет собой веб-приложение, развернутое на сервере приложений IIS. Сервис не требует БД. Перед установкой и развертыванием DSS Cloud Proxy необходимо учитывать следующее:
- DSS Cloud Proxy ДОЛЖЕН использоваться при подтверждении операций с "облачными" ключами в мобильном приложении на базе DSS SDK;
- DSS Cloud Proxy НЕ требуется, но может использоваться как прокси при подтверждении операций с "облачными" ключами в мобильном приложении myDSS.
Для разворачивания DSS Cloud Proxy требуется следующее:
- Сервер в DMZ (выделять отдельный сервер необязательно)
- ОС Microsoft Windows Server 2016 и новее
- Установленный и настроенный IIS (Инструкция)
- Файлы из архива DSS Cloud Proxy (Загрузка)
Подготовка веб-сайта
Примечание
DSS Cloud Proxy должен быть развернут на отдельном веб-сайте и выделенном порту.
На данном этапе системный администратор должен создать на IIS новый веб-сайт. Возможно использовать веб-сайт по умолчанию (Default Web Site), но в этом случае на данном сайте не должно быть развернуто других веб-приложений.
Установка DSS Cloud Proxy
На данном этапе системный администратор устанавливает дистрибутив DSS Cloud Proxy, полученный им ранее на странице загрузки. Для этого необходимо в корневой каталог сайта, предназначенного для развертывания Cloud Proxy, скопировать содержимое загруженного архива.
Конфигурирование DSS Cloud Proxy
Настройка DSS Cloud Proxy производится путем редактирования файла конфигурации reverse-proxy.json,
расположенного в директории, куда были скопированы файлы DSS Cloud Proxy.
Основные правила заполнения файла reverse-proxy.json приведены в таблице ниже.
| Имя блока | Требования к содержимому |
|---|---|
"$schema" |
Адрес json-схемы для файла конфигурации reverse-proxy.json. |
"baseAddress" |
Базовый адрес сервера и порт, на котором Cloud Proxy прослушивает входящие подключения. Внимание! поле должно закачиваться символом /. |
"ProxiedApps" |
Секция содержит блоки, каждый из которых относится к одному экземпляру веб-приложения Сервиса Подписи и/или Центра Идентификации. * "baseAddress" - адрес экземпляра сервиса, который подключается к Cloud Proxy. * "appName" - имя приложения. Данное поле должно полностью соответствовать имени приложения в поле "baseAddress" того же блока. * "appType" - тип подключаемого экземпляра. Поддерживаются следующие значения: STS для Центра Идентификации, SignServer для Сервиса Подписи. * "props" - необязательные дополнительные свойства для расширения конфигурации (на данный момент поддерживается только свойство defaultClientId, см. примечание ниже). |
Примечание
В случае когда сервисы КриптоПро DSS опубликованы из внутренней сети организации, описанных в данном разделе настроек достаточно. В случае если сервисы не опубликованы, требуется произвести дополнительные настройки IIS данного сервера.
Примечание
Для работы Cloud CSP из состава КриптоПро CSP версии 5.0.12222 (Lilith) и ниже в silent-режиме
необходимо задать дополнительное свойство defaultClientId в разделе конфигурации приложения STS
со значением cryptopro.cloud.csp (см. пример конфигурации ниже).
Пример
{
"$schema": "http://dss.cryptopro.ru/schemas/json/reverse-proxy/v1/reverse-proxy-schema.json",
"baseAddress": "https://fastdss:4431/",
"ProxiedApps": [
{
"baseAddress": "https://fastdss/oness",
"appName": "oness",
"appType": "SignServer",
"documentStore": {
"baseAddress": "https://fastdss/oneds",
"appName": "oneds"
}
},
{
"baseAddress": "https://fastdss/oneidp",
"appName": "oneidp",
"appType": "STS",
"documentStore": {
"baseAddress": "https://fastdss/oneds",
"appName": "oneds"
},
"props": {
"defaultClientId": "cryptopro.cloud.csp"
}
}
]
}
Настройка взаимодействия DSS с Cloud Proxy
На данном этапе требуется добавить сведения о DSS Cloud Proxy в настройки отношений доверия на Центре Идентификации DSS. Для этого адрес сервера, где развернут Cloud Proxy, и соответствующий порт помещаются в настройки доверенной стороны, относящиеся к Сервису Подписи.
$DisplayNameidp ="<Имя экземпляра ЦИ>"
$DisplayNamess ="<Имя экземпляра Сервиса Подписи>"
$port ="<Порт привязки в IIS, на котором опубликован Cloud Proxy>"
$DNSName ="<Публичное имя сервера, на котором развернут Cloud Proxy>"
# Получение объекта, содержащего настройки Сервиса Подписи как доверенной стороны на Центре Идентификации
# По умолчанию Сервис Подписи как доверенная сторона зарегистрирован на Центре Идентификации с именем SignServer
$signserver_rpt = Get-DssRelyingPartyTrust -DisplayName $DisplayNameidp | where {$_.DisplayName -eq "SignServer"}
#Добавление настроек Cloud CSP в настройки доверенной стороны
$signserver_rpt.Identities.Add("https://$DNSName`:$port/$DisplayNamess")
$signserver_rpt.Identities.Add("https://$DNSName`:$port/$DisplayNamess/rest")
# Сохранение изменений
Set-DssRelyingPartyTrust -DisplayName $DisplayNameidp -Id $signserver_rpt.Id -Identities $signserver_rpt.Identities
# Перезапуск экземпляра Центра Идентификации
Restart-DssStsInstance -DisplayName $DisplayNameidp
Настройка размера подписываемых документов
При использовании Cloud CSP можно настроить размер документов, подписываемых при помощи облачного криптопровайдера. Для этого необходимо выполнить следующие действия.
1. Настройка КриптоПро CSP
Запустите КриптоПро CSP с правами администратора. Перейдите на вкладку "Оборудование" и выберите "Настроить считыватели - Облачный токен - Свойства - Настройки".
Выберите максимальный размер документа из выпадающего списка, как это указано на рисунке ниже.
Примените изменения.
Примечание
Если в процессе настройки КриптоПро CSP было запущено приложение "Иструменты КриптоПро", потребуется перезапустить его, чтобы изменения вступили в силу.
2. Настройка IIS
Запустите дистпетчер служб IIS. Выберите сайт, где развернут Cloud Proxy (1). На начальной странице
данного сайта в разделе "Управление" запустите Редактор конфигураций (2). Перейдите в раздел
system.webServer/security/requestFiltering (3). Разверните строку requestLimits (4) и
внесите в поле maxAllowedContentLength (5) новое значение размера подписываемых документов,
выраженное в байтах.
Примечание
Рекомендуется указывать значение maxAllowedContentLength так, чтобы оно приблизительно на
треть превышало размер документов, которые требуется подписывать.
Нажмите кнопку "Применить" в меню справа в разделе "Действия".
В Редакторе конфигураций сайта, где развернут Cloud Proxy, перейдите в раздел system.web/httpRuntime (1).
Внесите в поле maxRequestLength (2) новое значение размера подписываемых документов,
выраженное в байтах.
Примечание
Рекомендуется указывать значение maxRequestLength так, чтобы оно приблизительно на
треть превышало размер документов, которые требуется подписывать.
Нажмите кнопку "Применить" в меню справа в разделе "Действия".
Перезапустите сайт, нажав кнопку "Перезапустить" в разделе "Управление веб-сайтом" на начальной странице сайта.