Прочее
Другие настройки
Очистка операций в БД Сервиса Операций
1. Укажите время, в которое будет запускаться процесс очистки операций. В конкретном примере это однократный за сутки запуск, в 02:00 ночи:
$time = New-TimeSpan -Hours 02 -Minutes 0 -Seconds 0
2. Укажите, какие операции с каким сроком давности создания требуется удалять. В конкретном примере удаляются операции, созданные более двух суток назад.
Set-IdsOperationEraser -DisplayName $idp_name -Times $time –OperationLimitInMinutes 2880
3. Включите систему мониторинга и очистки операций:
Enable-IdsOperationEraser -DisplayName $idp_name
Профили подписи
Для формирования подписей через Веб-Интерфейс необходимо создать профили подписи. Ниже приведены примеры создания следующих профилей:
- Присоединенная CAdES-BES;
- Отсоединенная CAdES-XLT1;
- Подпись PDF-документов PKCS7 (присоединенная CMS-подпись);
- Отсоединенная CMS-подпись;
- Необработанная подпись данных;
- CAdES-T подпись хэш-значения (ГОСТ Р 34.10-2012 с ключом длиной 256 бит);
- Необработанная подпись хэш-значения (ГОСТ Р 34.11-2012 с длиной хэш-значения 256 бит);
- Необработанная подпись хэш-значения (SHA-256);
- Вложенная подпись XML-документов XMLDSig (Enveloped).
Дополнительные профили можно создать в соответствии с инструкцией.
1. Создайте правила подписей:
#Присоединенная CAdES-BES
Add-SignProcessingRule -DisplayName $ss_name -Format CAdES -DocumentsFormats * -Parameters @{"CADESType"="BES";"IsDetached"="false"}
#Отсоединенная CAdES-XLT1
Add-SignProcessingRule -DisplayName $ss_name -Format CAdES -DocumentsFormats * -Parameters @{"IsDetached"="true"; "CADESType"="XLT1"; "TSPAddress"="http://testca2012.cryptopro.ru/tsp/tsp.srf"}
#Подпись PDF-документов PKCS7
Add-SignProcessingRule -DisplayName $ss_name -Format PDF -DocumentsFormats "pdf" -Parameters @{"PDFFormat"="CMS"}
#Отсоединенная CMS
Add-SignProcessingRule -DisplayName $ss_name -Format CMS -DocumentsFormats * -Parameters @{"IsDetached"="true"}
#Необработанная подпись данных
Add-SignProcessingRule -DisplayName $ss_name -Format GOST3410 -DocumentsFormats *
#CAdES-T подпись хэш-значения (ГОСТ 2012-256)
Add-SignProcessingRule -DisplayName $ss_name -Format CAdES -Parameters @{"CADESType"="T";"TSPAddress"="http://testca2012.cryptopro.ru/tsp/tsp.srf";"IsDetached"="true";"Hash"="true";"HashAlgorithm"="32801"} -DocumentsFormats *
#Необработанная подпись хэш-значения (ГОСТ 2012-256)
Add-SignProcessingRule -DisplayName $ss_name -Format GOST3410 -documentsFormats * -Parameters @{"Hash"="true";"HashAlgorithm"="32801"}
#Вложенная XMLDSig (Enveloped)
Add-SignProcessingRule -DisplayName $ss_name -Format XMLDSig -DocumentsFormats @('xml') -Parameters @{"XMLDSigType"="XMLEnveloped"}
2. Объявите переменные с данными созданных правил:
#Присоединенная CAdES-BES
$bes = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Parameters["CADESType"] -eq "BES"}
#Отсоединенная CAdES-XLT1
$xlt1 = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Parameters["CADESType"] -eq "XLT1"}
#PDF - PKCS7
$pdf = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Format -eq "PDF"}
#Отсоединенная CMS
$cms = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Format -eq "CMS"}
#Необработанная подпись данных
$3410 = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Format -eq "GOST3410" -and $_.Parameters["Hash"] -eq $null}
#CAdES-T подпись хэш-значения (ГОСТ 2012-256)
$t = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Parameters["CADESType"] -eq "T"}
#Необработанная подпись хэш-значения (ГОСТ 2012-256)
$3410gost = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Format -eq "GOST3410" -and $_.Parameters["HashAlgorithm"] -eq "32801"}
#Вложенная XMLDSig (Enveloped)
$xml = Get-SignProcessingRule -DisplayName $ss_name|where {$_.Format -eq "XMLDSig"}
3. Создайте профили подписи:
#Присоединенная CAdES-BES
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $bes.id -Description "Присоединенная CAdES-BES"
#Отсоединенная CAdES-XLT1
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $xlt1.id -Description "Отсоединенная CAdES-XLT1"
#PDF - PKCS7
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $pdf.id -Description "PDF - PKCS7"
#Отсоединенная CMS
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $cms.id -Description "Отсоединенная CMS"
#Необработанная подпись данных
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $3410.id -Description "Необработанная подпись данных"
#CAdES-T подпись хэш-значения (ГОСТ 2012-256)
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $t.id -Description "CAdES-T подпись хэш-значения (ГОСТ 2012-256)"
#Необработанная подпись хэш-значения (ГОСТ 2012-256)
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $3410gost.id -Description "Необработанная подпись хэш-значения (ГОСТ 2012-256)"
#Вложенная XMLDSig (Enveloped)
New-SignProcessingTemplate -DisplayName $ss_name -ProcessingRulesIds $xml.id -Description "Вложенная XMLDSig (Enveloped)"
Асинхронная подпись
См. также:
1. Активируйте режим асинхронной подписи:
Enable-SignAsyncOperationSettings -Displayname $ss_name
2. Зарегистрируйте транспортные плагины:
#Центр Идентификации
$idp_callback_plugin = Add-IdsPlugin -DisplayName $idp_name -PluginTypeName "CryptoPro.Plugins.Notification.Http.HttpTransportPlugin,CryptoPro.Plugins.Notification.Http" -PluginType AuthenticationResult -Settings @{}
#Сервис Подписи
$ss_callback_plugin = Add-SignPlugin -DisplayName $ss_name -PluginTypeName "CryptoPro.Plugins.Notification.Http.HttpTransportPlugin,CryptoPro.Plugins.Notification.Http" -PluginType AuthenticationResult -Settings @{}
3. Зарегистрируйте модули оповещения для доставки calback-ов:
#Центр Идентификации
Add-IdsNotifier -DisplayName $idp_name -TransportPluginID $idp_callback_plugin.ID -NotifierType AuthenticationResultCallback -Settings @{}
#Сервис Подписи
Add-SignNotifier -DisplayName $ss_name -TransportPluginID $ss_callback_plugin.ID -NotifierType AuthenticationResultCallback -Settings @{} -Type "CryptoPro.Plugins.Notification.Http.AuthenticationResultNotifier,CryptoPro.Plugins.Notification.Http"
Плагины формирования отчетов
В настоящий момент в Сервисе Аудита можно сформировать следующие виды отчетов:
- Количество созданных подписей;
- Количество созданных сертификатов;
- Количество созданных пользователей.
Для формирования данных отчетов необходимо зарегистрировать соответствующие плагины.
1. Объявите переменные с текущими строками подключения к БД экземпляров Центра Идентификации и Сервиса Аудита:
#Строка подключения к БД экземпляра Центра Идентификации
$idp_conn = (Get-IdsRegistryProperties -DisplayName $idp_name -ShowSqlPassword)[0].ConnectionString
#Строка подключения к БД экземпляра Сервиса Аудита
$audit_conn = (Get-AuditRegistryProperties -DisplayName $audit_name -ShowSqlPassword).ConnectionString
2. Зарегистрируйте плагины формирования отчетов:
Add-AuditReportPlugin -DisplayName $audit_name -FileExtension csr -Assembly CryptoPro.Plugins.Reports.AuditService.dll -Classname CryptoPro.Plugins.Reports.AuditService.Reports.CreatedSignaturesReport -Parameters @{"AuditConnectionString"="$audit_conn";"StsConnectionString"="$idp_conn"; "InstanceName"="$ss_name";"ReportName"="Количество созданных подписей"}
#Количество созданных сертификатов
Add-AuditReportPlugin -DisplayName $audit_name -FileExtension ccr -Assembly CryptoPro.Plugins.Reports.AuditService.dll -Classname CryptoPro.Plugins.Reports.AuditService.Reports.CreatedCertificatesReport -Parameters @{"AuditConnectionString"="$audit_conn";"InstanceName"="$ss_name"; "ReportName"="Количество созданных сертификатов"}
#Количество созданных пользователей
Add-AuditReportPlugin -DisplayName $audit_name -FileExtension сur -Assembly CryptoPro.Plugins.Reports.AuditService.dll -Classname CryptoPro.Plugins.Reports.AuditService.Reports.CreatedUsersReport -Parameters @{"AuditConnectionString"="$audit_conn";"InstanceName"="$idp_name"; "ReportName"="Количество созданных пользователей"}
Cloud CSP
Регистрация облачного провайдера Cloud CSP производится с использованием утилиты csptest и указанием дополнительного адреса Сервиса Обработки Документов. Пример регистрации облачного провайдера с использованием утилиты csptest:
csptest -cloud -login -register -save -unique {{идентификатор_сервера}} -auth {{адрес_ЦИ}} -rest {{адрес_СП}} -docstore {{адрес_СОД}} -user {{логин}} -password {{пароль}}
#Где:
unique – произвольный идентификатор облачного сервера
auth – адрес Центра Идентификации
rest – адрес Сервиса Подписи
docstore – адрес Сервиса Обработки Документов
user – логин УЗ пользователя
password – пароль УЗ пользователя
1. Откройте конфигурационный файл nginx.conf Сервиса Подписи:
sudo nano /etc/opt/cprokey/signsrv/signserver/nginx.conf
2. Продублируйте секцию location /signserver и вставьте ее в конец этого же файла.
Во второй секции location /signserver скорректируйте конечные точки таким образом, чтобы содержимое файла nginx.conf имело следующий вид:
location /signserver {
rewrite /signserver/(.*) /$1 break;
proxy_pass http://localhost:51000;
}
location /signserver/rest {
rewrite /signserver/rest/(.*) /$1 break;
proxy_pass http://localhost:51000;
}
Добавление второй секции с префиксом /rest обусловлено тем фактом,
что при регистрации облачного провайдера/работе с ключами в
Cloud CSP в URL Сервиса Подписи всегда добавляется префикс /rest.
Для проксирования таких запросов и необходимо добавить вторую секцию в nginx.confСервиса Подписи.