Планирование перехода с КриптоПро DSS на КриптоПро Ключ
Переход с КриптоПро DSS на КриптоПро Ключ позволяет перенести пользовательские
данные, сертификаты, данные аутентификации (в том числе мобильных приложений за
исключением myDSS 1.0) и конфигурации сервисов КриптоПро DSS в
соответствующие сервисы КриптоПро Ключ. Доступен перенос баз данных всех компонентов.
При осуществлении перехода с КриптоПро DSS на КриптоПро Ключ необходимо учитывать следующие особенности, которые могут повлиять на работоспособность как сервисов КриптоПро Ключ, так и имеющихся интеграций с ИС.
Общее
1. Выполнение процедур по переходу требует обновления КриптоПро DSS и установки КриптоПро Ключ последней версии.
2. Рекомендуется проводить испытания по переходу на тестовом контуре.
3. Во время выполнения переноса данных необходимо обеспечить отсутствие операций создания/удаления пользователей и/или сертификатов, так как это может приводить к ошибкам переноса пользователей и сертификатов и/или их частичному переносу. Во время перехода существующие пользователи могут продолжать работу с существующими сертификатами, подписывать документы и подтверждать операции. После успешного переноса данных в КриптоПро Ключ и проверки работоспособности необходимых сценариев в полном объеме можно переключить обращения пользователей и интегрированных систем с КриптоПро DSS на КриптоПро Ключ.
Для того чтобы переключить обращения мобильных приложений, в инфраструктуре КриптоПро Ключ необходимо развернуть, настроить и опубликовать новый Сервис взаимодействия с SDK вместо аналогичного в КриптоПро DSS. Данный сервис должен быть доступен из Интернет с тем же DNS-именем и по тому же адресу конечной точки (URL).
Примечание
Оба Сервиса взаимодействия с SDK (старый и новый) не должны быть опубликованы в Интернет одновременно.
Подробнее о настройке сервисов КриптоПро Ключ см. Руководство Администратора.
4. Перенос пользователей, использующих аутентификацию при помощи мобильного приложения myDSS 1.0, следует рассматривать отдельно.
5. Перенос Мастер-ключей, хранящихся в КриптоПро HSM, не производится. Для возможности использования ключей в КриптоПро Ключ необходимо обеспечить подключение сервера КриптоПро Ключ к HSM (выполняется администратором).
Примечание
В случае необходимости после выполнения перехода возврат к исходному состоянию КриптоПро Ключ осуществляется штатными средствами резервирования БД.
Оценка времени переноса данных
Рекомендуется оценивать ориентировочное время переноса данных исходя из информации, представленной в таблице ниже.
| Данные | Количество | Время |
|---|---|---|
| Пользователи, использующие аутентификацию при помощи мобильного приложения | 190 000 | 17 минут |
| Сертификаты | 70 000 | 1 минута |
Основные отличия КриптоПро Ключ и КриптоПро DSS
1. КриптоПро Ключ требует развертывания на платформе Astra Linux. Данные пользователей и конфигурации сервисов хранятся в БД PostgreSQL. Для публикации веб-приложений рекомендуется использовать веб-сервер cpnginx. Подробнее см. Руководство Администратора.
2. Подтверждение операций с использованием v1 API (в том числе загрузка документа напрямую в Сервис Подписи) недоступно в КриптоПро Ключ. Следующие конечные точки работают в режиме обратной совместимости:
- Запросы v1 API - Requests - управление запросами на сертификат,
- Сертификаты v1 API - Certificates - управление сертификатами,
- Документы v1 API - Documents - действия с документами (подпись, шифрование и т.д.).
Для поддержки полной функциональности рекомендуется использовать соответствующие конечные точки, поддерживающие подтверждение операций:
- Запросы v2 API - Requests - управление запросами на сертификат,
- Сертификаты v2 API - Certificates - управление сертификатами,
- Подпись v2 API - Signature - подпись документов,
- Шифрование/Расшифрование v2 API - Signature - шифрование и расшифрование документов.
Подробнее см. Руководство Разработчика.
3. Аутентификация при помощи мобильного приложения myDSS 1.0 отсутствует в КриптоПро Ключ. Рекомендуется использовать другие методы аутентификации. Подробнее см. Руководство Разработчика о подтверждении операций.
См. также:
- Перенос пользователей, использующих метод аутентификации при помощи мобильного приложения myDSS 1.0.
4. Взамодействие по протоколу SOAP более не поддерживается. Необходима интеграция с использованием REST API. Подробнее см. Руководство Разработчика.
5. Необходимо учитывать следующие особенности переноса лицензий и их назначения новым пользователям КриптоПро Ключ.
- Лицензии КриптоПро DSS, не ограниченные по сроку действия, не переносятся. Требуется приобрести соответствуюущую лицензию на обновление, после ввода которой перенесенные в КриптоПро Ключ пользователи сохранят возможность работы со своими сертификатами и назначенные методы аутентификации при помощи мобильного приложения (за исключением myDSS 1.0), а также будет доступно создание новых пользователей и выпуск для них сертификатов.
- Лицензии КриптоПро DSS, ограниченные по сроку действия, переносятся для пользователей, которым был назначен метод аутентификации при помощи мобильного приложения. При этом для назначения данного способа аутентификации новым пользователям требуется приобрести новую соответствующую лицензию для КриптоПро Ключ.
Примечание
Каждая новая не ограниченная по сроку действия лицензия для КриптоПро Ключ должна быть рассчитана на количество пользователей, равное или превышающее количество перенесенных пользователей.
Список лицензий, используемых в КриптоПро Ключ (включая дополнительное ПО), перечислен на странице настройки лицензии.
6. В КриптоПро Ключ используются обновленные имена командлетов для администрирования. В случае если для развертывания и настройки сервисов используются скрипты, необходима их актуализация.
Список командлетов КриптоПро Ключ можно получить, выполнив в PowerShell или CPShell следующую команду:
Get-Command -Module *CryptoPro*
Справку по работе определенного командлета и список его параметров можно получить, выполнив следующую команду:
Get-Help <Имя командлета> -Full
Перенос пользователей myDSS
В связи с тем, что в КриптоПро Ключ не поддерживается аутентификация пользователей при помощи мобильного приложения myDSS 1.0, следует рассмотреть следующие варианты:
- Перенос учетных записей пользователей myDSS 1.0 и назначение им иного метода аутентификации - например, с использованием мобильного приложения КриптоПро Ключ или КриптоКлюч.
- Создание новых пользователей и выпуск им сертификатов в КриптоПро Ключ по мере истечения их сертификатов в КриптоПро DSS («плавный» переход).
- Создание новых пользователей и выпуск им сертификатов в КриптоПро Ключ независимо от срока действия их сертификатов в КриптоПро DSS. В этом сценарии у пользователей будут два сертификата - в КриптоПро DSS и в КриптоПро Ключ.
Все перечисленные варианты требуют ввода новых лицензий (на Модуль аутентификации для мобильных приложений или на Модуль аутентификации КриптоКлюч) в КриптоПро Ключ.
Перенос пользовательских данных и настроек сервисов
Перенос пользовательских данных и конфигураций сервисов возможен при помощи утилиты DSStoKey.