Примеры назначения и смены сервисных сертификатов

Внимание!

Смена сервисного сертификата влечет за собой изменения в настройке отношений доверия между компонентами. (см. примеры ниже).

Примечание

При установке новых сервисных сертификатов требуется установка всей цепочки в соответствующие хранилища для корректности проверки данных сертификатов. Требование не распространяется на самоподписанные сертификаты компонентов.

Пример назначения и смены сертификата Центра Идентификации

Назначение и/или смена сервисного сертификата Центра Идентификации происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Центра Идентификации.
  • Смена сертификата в настройках отношений доверия на компонентах DSS (Сервис Подписи, Веб-интерфейс Пользователя, Сервис Аудита).

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Центра Идентификации.

Пример:

# Назначение и/или смена сервисного сертификата Центра Идентификации
Set-DssStsProperties –ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Центра Идентификации необходимо выдать права на доступ к закрытому
# ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance

# Смена сертификата в настройках отношений доверия на Сервисе Подписи
Set-DSSClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# Смена сертификата в настройках отношений доверия на Веб-интерфейсе Пользователя
Set-DSSFeClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# Смена сертификата в настройках отношений доверия на Сервисе Аудита
Set-DssAnalyticsClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# Смена сертификата в настройках отношений доверия на Сервисе Обработки Документов
Set-DssDocumentStoreClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# (!) Примечание
# Значение параметра IssuerName можно посмотреть в выводе командлетов:
# Get-DSSClaimsProviderTrust
# Get-DSSFeClaimsProviderTrust
# Get-DSSAnalyticsClaimsProviderTrust
# Get-DSSDocumentStoreClaimsProviderTrust
# Имя издателя маркеров безопасности будет выведено в столбце «Имя»

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-Dss(...,STS,Fe,Analytics,DocumentStore)Instance

Restart-DssStsInstance
Restart-DssSignServerInstance
Restart-DssFeInstance
Restart-DssAnalyticsServiceInstance
Restart-DssDocumentStoreInstance

Пример назначения и смены сертификата Сервиса Подписи

Назначение и/или смена сервисного сертификата Сервиса Подписи происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Сервиса Подписи.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.
Примечание

Если используется компонент Сервис Обработки Документов, необходимо дополнительно задать отпечаток сертификата Сервиса Подписи для Сервиса Обработки Документов при помощи командлета Set-DssDocumentStoreClaimsProviderTrust. При этом параметр -IssuerName может иметь произвольное значение. Рекомендуется использовать значение signserver.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Подписи.

Пример:

# Назначение и/или смена сервисного сертификата Сервиса Подписи
Set-DssProperties –ServiceCertificateThumbprint <thumbprint>

# (!) Примечание
# Пулу приложений Сервиса Подписи необходимо выдать права на доступ к закрытому
# ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssSignServerInstance

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <signserver_ID> –MetadataUri http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# Смена сертификата в настройках отношений доверия на Сервисе Обработки Документов
Set-DssDocumentStoreClaimsProviderTrust -IssuerName signserver –NewThumbprint <thumbprint>

# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр Сервиса Подписи
# <AppName> – имя веб-приложения Сервиса Подписи. По умолчанию – SignServer
# <signserver_ID> – идентификатор доверенной стороны. Значение параметра можно
#                   посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Сервиса Подписи можно проверить через браузер
# обратившись по адресу:
# http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.

Restart-DssStsInstance
Restart-DssSignServerInstance
Restart-DssDocumentStoreInstance

Пример назначения и смены сертификата Веб-интерфейса Пользователя

Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Веб-интерфейса Пользователя.

Пример:

# Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя
Set-DSSFEProperties -ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Веб-интерфейса Пользователя необходимо выдать 
# права на доступ к закрытому ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssFeInstance.

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <frontend_ID> –MetadataUri https://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# ИЛИ
# если необходимо сменить только сертификат аутентификации Веб-интерфейса Пользователя

$cert = get-item Cert:\LocalMachine\my\<thumbprint>
Set-DssRelyingPartyTrust -Id <frontend_ID> -AuthenticationCertificate $cert

# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр 
#              Веб-интерфейса Пользователя.
# <AppName> – имя веб-приложения веб-интерфейса Пользователя. По умолчанию – Frontend
# <frontend_ID> – идентификатор доверенной стороны. Значение параметра можно
#                   посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Веб-интерфейса Пользователя можно проверить через браузер
# обратившись по адресу:
# https://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.

Restart-DssStsInstance
Restart-DssFeInstance

Пример назначения и смены сертификата Сервиса Аудита

Назначение и/или смена сервисного сертификата Сервиса Аудита происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Сервиса Аудита.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Аудита.

Пример:

# Назначение и/или смена сервисного сертификата Сервиса Аудита
Set-DSSAnalyticsServiceProperties -ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Сервиса Аудита необходимо выдать 
# права на доступ к закрытому нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssAnalyticsServiceInstance.

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <AnalyticsService> –MetadataUri http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр Сервиса Аудита.
# <AppName> – имя веб-приложения Сервиса Аудита. По умолчанию – AnalyticsService
# <AnalyticsService> – идентификатор доверенной стороны. Значение параметра можно
#             посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Сервиса Аудита можно проверить через браузер
# обратившись по адресу:
# http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssAnalyticsServiceInstance.

Restart-DssStsInstance
Restart-DssAnalyticsServiceInstance

Пример назначения и смены сертификата Сервиса Обработки Документов

Назначение и/или смена сервисного сертификата Сервиса Обработки Документов происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Сервиса Обработки Документов.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Обработки Документов.

Пример:

# Назначение и/или смена сервисного сертификата Сервиса Обработки Документов
Set-DSSDocumentStoreProperties -ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Сервиса Обработки Документов необходимо выдать 
# права на доступ к закрытому ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssDocumentStoreInstance.

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
$cert = get-item Cert:\LocalMachine\my\<thumbprint>
Set-DssRelyingPartyTrust -Id <documentstore_ID> -AuthenticationCertificate $cert

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.

Restart-DssStsInstance
Restart-DssDocumentStoreInstance

Совместимость с предыдущими версиями

В ранних версиях (2.03 и ниже) КриптоПро DSS интеграция компонентов могла использовать SOAP-интерфейс. Взаимодействие компонентов с использованием данного интерфейса требует дополнительной настройки отношений доверия, а именно указания сертификата открытого ключа, соответствующий закрытый ключ которого используется для шифрования маркера доступа при аутентификации компонентов КриптоПро DSS на Центре Идентификации.

Добавление сертификата шифрования маркера доступа осуществляется при помощи командлета Set-DssRelyingPartyTrust:

Set-DssRelyingPartyTrust -EncryptionCertificate <Сертификат полностью>
Примечание

Сертификат может быть передан в командлет из файла. Если компоненты КриптоПро DSS развернуты на одном сервере, сертификат может быть передан непосредственно из хранилища сертификатов:

$cert = get-item Cert:\LocalMachine\my\$cert