Подготовка к развертыванию КриптоПро Ключ

Данный раздел содержит список условий, выполнение которых необходимо для полноценного развертывания КриптоПро Ключ.

Требования

КриптоПро Ключ предъявляет следующие системные требования:

Для функционирования серверной части в nix-системах:

ОС СН Astra Linux SE Смоленск;
СКЗИ «КриптоПро CSP» 5.0 и новее;
СУБД: PostgreSQL 11 и новее, Jatoba 4 Platform V или Pangolin SE 6;
веб-сервер (cpnginx, соответствующий версии КриптоПро CSP, либо nginx 1.18.0 и новее);
утилита конфигурирования CPShell (для ОС СН Astra Linux SE Смоленск в режиме замкнутой программной среды (ЗПС)) либо PowerShell 7.4 и новее.

Для функционирования пользовательского АРМ:

операционная система, поддерживаемая СКЗИ «КриптоПро CSP» 5.0 и новее;
СКЗИ «КриптоПро CSP» 5.0 и новее;
веб-браузер с установленным плагином КриптоПро Browser plug-in (Chromium Gost, Яндекс.Браузер, Opera, Firefox) (опционально).

Для функционирования пользовательского мобильного устройства:

мобильная ОС iOS версии не ниже 13 (при использовании Ключ SDK) либо 15 (при использовании мобильных приложений), Android версии не ниже 8;
мобильное приложение на базе Ключ SDK.

СУБД не требуются для клиентских компонентов и серверных компонентов, которые не имеют собственной БД. В настоящий момент такими компонентами являются Веб-интерфейс Пользователя и Сервис взаимодействия с Ключ SDK.

Сертификаты и ключи:

Ключ доступа типа "Пользователь" для подключения к КриптоПро HSM 2.0;
Сертификат для подключения к КриптоПро HSM 2.0 (в формате .cer);
Ключи и сертификаты веб-сервера, содержащие сооветствующие расширения SAN (для обеспечения взаимодействия с Ключ SDK);
Сервисные сертификаты для экземпляров компонентов КриптоПро Ключ (минимально необходимы сертификаты для Центра Идентификации и Веб-интерфейса, PFX);
Сертификат подписи маркеров безопасности для ЦИ (в формате .cer);
Сертификат Оператора и соответствующие промежуточные и корневые сертификаты для построения цепочки (в формате .cer);
Сертификат администратора ЦР УЦ (для добавления обработчика запросов на сертификат к КриптоПро УЦ 2.0, опционально, PFX);
Иные корневые и промежуточные сертификаты, необходимые для построения цепочек перечисленных сертификатов.

Другое:

лицензии на КриптоПро Ключ, КриптоПро CSP, TSP и OCSP-клиенты (если планируется создание подписей, требующих обращения к соответствующим службам).
Конфигурационные файлы для обработчика запросов на сертификат: rdn.config и templates.config;
Гамма для ДСЧ "Исходный материал" (при использовании КриптоПро Ключ в тестовом режиме).

Порядок развертывания

Развертывание СЭП должно быть выполнено в следующем порядке.

Примечание

Развертывание СЭП на виртуальной машине допустимо только с целью тестового использования.

Установка КриптоПро Ключ выполняется Системным администратором. После установки Системный администратор выполняет следующие действия:

1. Добавление учетных записей, под которыми будут работать сервисы, в специальные группы (idsrv,signsrv,docsrv,auditsrv,mdagsrv,pushsrv, подробнее см. раздел установки).

2. Добавление учетных записей администраторов безопасности в соответствующие группы (idsrvadmin,signsrvadmin,docsrvadmin,auditsrvadmin,mdagsrvadmin,pushsrvadmin, подробнее см. раздел установки).

КриптоПро Ключ работает в ОС СН Astra Linux SE с правами непривилегированного пользователя. Доступ к каталогу, в котором находятся компоненты КриптоПро Ключ, должен быть ограничен следующим образом:

Учетные записи из групп в пункте 1, от которых запускаются программные компоненты
КриптоПро Ключ, имеют право на чтение и исполнение файлов из каталога с программными компонентами КриптоПро Ключ.

Учетные записи администраторов из групп в пункте 2 имеют права на чтение и запись файлов из каталога с программными компонентами КриптоПро Ключ.

Примечание

Использование других учетных записей, кроме учетных записей администраторов и учетных записей необходимых служб (например, учетной записи postgres для СУБД PostgreSQL, учетной записи nginx для веб-сервера Nginx) не допускается.