Инструменты пользователя

Инструменты сайта


установка_сервера_безопасности

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Следующая версия
Предыдущая версия
Следующая версия Следующая версия справа и слева
установка_сервера_безопасности [2020/09/24 08:37]
admin1 создано
установка_сервера_безопасности [2021/04/16 09:54]
admin1 [2.6 Установить Поддержку аппаратных токенов]
Строка 16: Строка 16:
  
 ^  Ref  ^                                                             ​^ ​ Explanation ​ ^ ^  Ref  ^                                                             ​^ ​ Explanation ​ ^
-|  1.0  |Ubuntu 18.04, 64-bit 8 GB RAM, GB free disk space  |Минимальные требования ​ |  ​+|  1.0  |Ubuntu 18.04, 64-bit 8 GB RAM, 50 GB free disk space  |Минимальные требования ​ |  ​
 |  1.1  |https://​deb.ordo.gov.kg ​  ​|Хранилище пакетов X-Road| ​   |  1.1  |https://​deb.ordo.gov.kg ​  ​|Хранилище пакетов X-Road| ​  
 |  1.2  |https://​deb.ordo.gov.kg/​key.pub |GPG ключ хранилища ​  ​|  ​ |  1.2  |https://​deb.ordo.gov.kg/​key.pub |GPG ключ хранилища ​  ​|  ​
Строка 120: Строка 120:
  
  
-==== 2.6 Установить Поддержку аппаратных токенов ====+==== 2.6 Установить Поддержку аппаратных токенов ​(Smart-card,​ USB Token, Hardware Security Module) ​==== 
 + 
 +<color #​22b14c>​В данном разделе инструкция описана относительно использования Rutoken ЭЦП 2.0 
 +Для высоконагруженных и промышленных масштабов требуется использовать HSM оборудование так как  
 +USB токены имеют ограниченные возможности и могут со временем не справляться с высокий нагрузкой.</​color>​
  
   * Для установки ​ Rutoken ЭЦП 2.0 произведите следующие действия   * Для установки ​ Rutoken ЭЦП 2.0 произведите следующие действия
  
-<​code>​ apt-get install opensc-pkcs11 opensc </​code>​+<​code> ​sudo apt-get install opensc-pkcs11 opensc </​code>​
 добавить в конец файла /​etc/​xroad/​devices.ini следующие строки выполнив команду ​ добавить в конец файла /​etc/​xroad/​devices.ini следующие строки выполнив команду ​
 <​code>​echo "​[Rutoken] <​code>​echo "​[Rutoken]
Строка 131: Строка 135:
  
 Отформатировать токен Отформатировать токен
-<​code>​pkcs15-init --erase-card -p rutoken_ecp</​code>​+<​code>​sudo pkcs15-init --erase-card -p rutoken_ecp</​code>​
  
 Задать Пин код администратора токена. (Сгенерируйте свой пин код) Задать Пин код администратора токена. (Сгенерируйте свой пин код)
-<​code>​pkcs15-init --create-pkcs15 --so-pin "​Sheich0e"​ --so-puk ""</​code>​+<​code>​sudo pkcs15-init --create-pkcs15 --so-pin "​Sheich0e"​ --so-puk ""</​code>​
  
 Задать пин код пользователя токена используя пин администратора. (Сгенерируйте свой пин код) Задать пин код пользователя токена используя пин администратора. (Сгенерируйте свой пин код)
-<​code>​pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "​Xo7ahkup"​ --puk ""​ --so-pin "​Sheich0e"​ --finalize</​code>​+<​code>​sudo pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "​Xo7ahkup"​ --puk ""​ --so-pin "​Sheich0e"​ --finalize</​code>​
  
 +**Важно**:​ <color #​ed1c24>​Надежно сохранить сгенерированные ПИНы</​color>​
  
  
Строка 201: Строка 206:
 При первом входе в систему система запрашивает следующую информацию.. При первом входе в систему система запрашивает следующую информацию..
 Файл привязки глобальной конфигурации(The global configuration anchor file) (смотрите пункт: 2.1). Файл привязки глобальной конфигурации(The global configuration anchor file) (смотрите пункт: 2.1).
-Проверьте значение хеша привязки с опубликованным значением.+Проверьте значение хеша привязки с опубликованным значением. ​Файл привязки можно получить у администратора СМЭВ "​Тундук"​
  
 {{:​ss-anchor.png}} {{:​ss-anchor.png}}
Строка 253: Строка 258:
  
   * Создание сертификата подписи   * Создание сертификата подписи
-в меню MANAGEMENT => Keys and Certificates выберите **token: JaCarta**+в меню MANAGEMENT => Keys and Certificates выберите **token: JaCarta** ​или **token: Rutoken** в зависимости какого производителя у вас токен.
 Нажать **GENERATE KEY** и в появившемся диалоговом окне в поле **LABEL** ​ задать значение SIGN  Нажать **GENERATE KEY** и в появившемся диалоговом окне в поле **LABEL** ​ задать значение SIGN 
    
Строка 274: Строка 279:
   * Затем необходимо отправить два запроса (скачанных файла) на подписание в Удостоверяющий Центр и дождаться сертификатов от удостоверяющего центра ​   * Затем необходимо отправить два запроса (скачанных файла) на подписание в Удостоверяющий Центр и дождаться сертификатов от удостоверяющего центра ​
  
-==== 3.8 Импорт сертификатов ==== +==== 3.8 Импорт сертификатов ​и Регистрация ​==== 
 После получения сертификатов импортировать сертификаты ключей ​ После получения сертификатов импортировать сертификаты ключей ​
  
установка_сервера_безопасности.txt · Последние изменения: 2023/12/21 05:16 — infra