Создание и настройка экземпляра ЦИ

Данный раздел определяет последовательность действий при разворачивании и настройке экземпляра Центра Идентификации КриптоПро DSS.

• Пример разворачивания

Предварительные условия:

• Установленный SQL-Server;
• Установленная роль Сервер приложений (IIS);
• Настроенная привязка https на Сервере приложений (IIS);
• Выпущенный и установленный сервисный сертификат Центра Идентификации.

Базовая последовательность шагов по настройке (обязательные):

1. Создание экземпляра службы Центра Идентификации (командлет New-DssStsInstance). На данном шаге будет создано веб-приложение на Сервере приложений IIS, развёрнуты базы данных, зарегистрированы журналы Windows.

2. Настройка сервисного сертификата Центра Идентификации. На данном шаге экземпляру Центра Идентификации назначается сервисный сертификат, который используется для аутентификации при межсервисном взаимодействии.

Примечание

Учетной записи, под которой работает пул приложения Центра Идентификации, необходимо выдать права на доступ к закрытому ключу сервисного сертификата.

3. Настройка Службы маркеров безопасности. При необходимости можно задать собственный сертификат подписи службы маркеров безопасности. По умолчанию сервисный сертификат ЦИ и сертификат подписи Службы маркеров безопасности совпадают, а сама Служба создается автоматически при создании экземпляра ЦИ.

4. Регистрация доверенных сторон.

Для полноценной работы компонентов КриптоПро DSS необходимо настроить отношения доверия между ними и Центром Идентификации:

Внимание!

Для выполнения данного пункта небходимо наличие экземпляров всех доверенных сторон и их сервисных сертификатов.

• регистрация доверенных сторон;
• Регистрация Центра Идентификации в качестве доверенного издателя маркеров безопасности - см. сценарий настройки остальных компонентов КриптоПро DSS.

Примечание

После внесения изменений в конфигурацию экземпляра необходимо перезапустить пул веб-приложения при помощи соответствующей команды.

Дополнительные действия по настройке (опциональные):

1. Ввод лицензии на методы аутентификации.

2. Настройка аутентификации. По умолчанию для нового Пользователя включены следующие методы аутентификации:

• По логину и паролю
• По сертификату

Администратор DSS может настроить технические требования к аутентификационным данным Пользователя (например, длину и сложность пароля) и разрешить/запретить Пользователю менять эти настройки самостоятельно. При этом Пользователь может изменять данные аутентификации - например, сменить пароль или назначить другой сертификат для входа.

При этом назначать способы аутентификации Пользователю должен Оператор DSS.

3. Настройка профиля Пользователя. Администратор может настроить следующие параметры профиля Пользователя:

• Состав компонентов имени Пользователя (RDN) - имя, фамилия, должность, адрес, организация, ИНН и т.д.;
• Критичность наличия компонентов имени Пользователя;
• Значения по умолчанию для компонентов различительного имени Пользователя (например, страна, организация и т.п.).
• Возможность самостоятельного редактирования профиля Пользователем (включено по умолчанию).
• Требования к уникальности данных (например, номера телефона, адреса электронной почты, различительного имени Пользователя).

4. Настройка профиля Оператора. Администратор может зарегистрировать учётные данные Операторов DSS.

Оператор DSS является привилегированной учётной записью на Центре Идентификации, которой разрешено создавать, редактировать, удалять учётные записи Пользователей; также Оператор DSS может управлять сертификатами Пользователей: создавать, одобрять, отклонять запросы на сертификаты Пользователей.

Для Оператора с полными правами может быть задана контактная информация для возможности отправлять ему уведомления.

5. Настройка оповещения Пользователей. Администратор DSS может настроить SMS- или Email-оповещение Пользователей о действиях, выполненных на Центре Идентификации.

Примечание

Оповещение Пользователей требует подключения ЦИ к SMS-шлюзу оператора сотовой связи или к почтовому серверу в соответствии со схемой размещения компонентов см. документ ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание) и в соответствии с требованиями к подключению к сетям общего пользования, описанными в Разделе 10 ЖТЯИ.00096-02 95 01 КриптоПро HSM. Правила пользования.

6. Настройка аудита. Администратор DSS может подключить Центр Идентификации к Сервису Аудита для ведения журнала аудита. Для этого потребуется включить отображение пункта меню "Аудит" в личном кабинете Пользователя или Оператора.

7. Кастомизация. Администратор DSS может кастомизировать веб-интерфейс Центра Идентификации: изменить цвета фона, текста, логотипы, тексты заголовков и т.п. при помощи набора командлетов.

Пример скрипта для кастомизации веб-интерфейса Центра Идентификации:

Set-DSSSTSCustomization -AdditionalColor f37c20 -MainColor 02458d -StsLinksColor f37c20
Set-DSSSTSCustomization -FontColor f37c20 -Font Calibri
Set-DSSSTSCustomization -FavIconFile E:\Temp\favicon.ico -LogotypeFile E:\Temp\logo.jpg -HelpFile E:\Temp\Help.html
Set-DSSSTSCustomization -Title "Центр идентификации Тест" –Copyright "Тест"

8. Настройка автоопределения формата документа.

9. Настройка журналирования экземпляра.