Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия Следующая версия Следующая версия справа и слева | ||
установка_сервра_базопасности [2019/03/15 06:58] admin1 |
установка_сервра_базопасности [2020/06/15 04:17] admin1 |
||
---|---|---|---|
Строка 9: | Строка 9: | ||
==== 2.1 Поддерживаемые платформы ==== | ==== 2.1 Поддерживаемые платформы ==== | ||
Сервер Безопасности работает под управлением операционной системы Ubuntu Server 18.04 Long-Term Support (LTS) на 64 разрядной платформе. Дистрибутив Сервера Безопасности распространяется в пакетах формата .deb через официальное хранилище которое расположено по адресу https://deb.ordo.gov.kg | Сервер Безопасности работает под управлением операционной системы Ubuntu Server 18.04 Long-Term Support (LTS) на 64 разрядной платформе. Дистрибутив Сервера Безопасности распространяется в пакетах формата .deb через официальное хранилище которое расположено по адресу https://deb.ordo.gov.kg | ||
- | Программное обеспечение может быть развернуто как на физическом, так и на виртуализированном оборудовании (на данный момент работы ПО была протестирована в виртуальном окружении [[https://ru.wikipedia.org/wiki/KVM|KVM]] ). | + | Программное обеспечение может быть развернуто как на физическом, так и на виртуализированном оборудовании (на данный момент работа ПО была протестирована в виртуальном окружении [[https://ru.wikipedia.org/wiki/KVM|KVM]] ). |
==== 2.2 Справочные данные ==== | ==== 2.2 Справочные данные ==== | ||
Строка 16: | Строка 16: | ||
^ Ref ^ ^ Explanation ^ | ^ Ref ^ ^ Explanation ^ | ||
- | | 1.0 |Ubuntu 18.04, 64-bit 4 GB RAM, 3 GB free disk space |Минимальные требования | | + | | 1.0 |Ubuntu 18.04, 64-bit 8 GB RAM, 3 GB free disk space |Минимальные требования | |
| 1.1 |https://deb.ordo.gov.kg |Хранилище пакетов X-Road| | | 1.1 |https://deb.ordo.gov.kg |Хранилище пакетов X-Road| | ||
| 1.2 |https://deb.ordo.gov.kg/key.pub |GPG ключ хранилища | | | 1.2 |https://deb.ordo.gov.kg/key.pub |GPG ключ хранилища | | ||
Строка 44: | Строка 44: | ||
- 64-x разрядный Intel dual-core, AMD или совместимый процессор; настоятельно рекомендуется наличие поддержки AES инструкций; | - 64-x разрядный Intel dual-core, AMD или совместимый процессор; настоятельно рекомендуется наличие поддержки AES инструкций; | ||
- | - 4 GB оперативной памяти; | + | - 8 GB оперативной памяти (**Для нормального функционирования сервера в промышленной эксплуатации рекомендуется от 8-ми гигабайт и более**); |
- 100 Mbps сетевой интерфейс ; | - 100 Mbps сетевой интерфейс ; | ||
- USB порты для использования аппаратных токенов. | - USB порты для использования аппаратных токенов. | ||
Требования к по и конфигурации: | Требования к по и конфигурации: | ||
+ | * При установке Ubuntu 18.04 необходимо использовать данный образ [[http://cdimage.ubuntu.com/releases/18.04.4/release/ubuntu-18.04.4-server-amd64.iso]] | ||
* Установленная и настроенная операционная система Ubuntu 18.04 LTS x86-64; | * Установленная и настроенная операционная система Ubuntu 18.04 LTS x86-64; | ||
| | ||
Строка 98: | Строка 98: | ||
==== 2.5 Установка программного обеспечения сервера безопасности ==== | ==== 2.5 Установка программного обеспечения сервера безопасности ==== | ||
* Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия. | * Чтобы установить программное обеспечение сервера безопасности X-Road, выполните следующие действия. | ||
- | <code>apt-get install xroad-securityserver xroad-addon-opmonitoring xroad-addon-hwtokens libccid pcscd pcsc-tools unzip </code> | + | <code>apt-get install net-tools xroad-securityserver xroad-addon-opmonitoring xroad-addon-hwtokens libccid pcscd pcsc-tools unzip </code> |
=== При первой установке пакетов система запросит следующую информацию. === | === При первой установке пакетов система запросит следующую информацию. === | ||
Строка 120: | Строка 120: | ||
- | == Установить Поддержку аппаратных токенов == | + | ==== 2.6 Установить Поддержку аппаратных токенов ==== |
- | * Для установки JaCarta PKI произведите следующие действия | + | * Для установки Rutoken ЭЦП 2.0 произведите следующие действия |
- | Скачать драйвер | + | <code> apt-get install opensc-pkcs11 opensc </code> |
+ | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
+ | <code>echo "[Rutoken] | ||
+ | library = /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
- | <code>cd /tmp && wget https://www.aladdin-rd.ru/support/downloads/279f1310-d83d-4858-ba13-ecdbe0d37530/get -O JaCarta.zip</code> | ||
- | Распаковать архив | + | Отформатировать токен |
- | | + | <code>pkcs15-init --erase-card -p rutoken_ecp</code> |
- | <code>unzip JaCarta.zip</code> | + | |
- | + | Задать Пин код администратора токена. (Сгенерируйте свой пин код) | |
- | перейти в директорию содержащую deb пакеты | + | <code>pkcs15-init --create-pkcs15 --so-pin "Sheich0e" --so-puk ""</code> |
- | + | ||
- | <code>cd JaCarta_PKI_Linux/IDProtect\ Client\ 6.37.03/DEB/</code> | + | Задать пин код пользователя токена используя пин администратора. (Сгенерируйте свой пин код) |
- | + | <code>pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "Xo7ahkup" --puk "" --so-pin "Sheich0e" --finalize</code> | |
- | и выполнить установку пакетов | + | |
- | + | ||
- | <code>dpkg -i idprotectclient_637.03-0_amd64.deb idprotectclientlib_637.03-0_amd64.deb</code> | + | |
- | + | ||
- | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | + | |
- | <code>echo "[JaCarta] | ||
- | library = /lib64/libASEP11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
- | * Для установки Rutoken ЭЦП 2.0 произведите следующие действия | ||
- | <code> apt-get install opensc-pkcs11 opensc </code> | ||
- | добавить в конец файла /etc/xroad/devices.ini следующие строки выполнив команду | ||
- | <code>echo "[Rutoken] | ||
- | library = /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so" | sudo tee -a /etc/xroad/devices.ini</code> | ||
Строка 160: | Строка 151: | ||
<code>sudo reboot</code> | <code>sudo reboot</code> | ||
- | ==== 2.1 Проверка сервера после установки ==== | + | ==== 2.7 Проверка сервера после установки ==== |
Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. | Установка выполнена успешно, если запущены системные службы и пользовательский интерфейс отвечает. | ||
Строка 197: | Строка 188: | ||
| 2.2 |GOV - Привителственный,COM - Коммерческий |Класс участника владельца сервера безопасности| | | 2.2 |GOV - Привителственный,COM - Коммерческий |Класс участника владельца сервера безопасности| | ||
| 2.3 |<регистрационный код владельца владельца сервера безопасности> Получить от администраторов СМЭВ Тундук|Код участника владельца сервера безопасности| | | 2.3 |<регистрационный код владельца владельца сервера безопасности> Получить от администраторов СМЭВ Тундук|Код участника владельца сервера безопасности| | ||
- | | 2.4 |<Задаить идентификационное имя сервера безопасности>|Код сервера безопасности (Security server's code)| | + | | 2.4 |<Задать идентификационное имя сервера безопасности>|Код сервера безопасности (Security server's code). Имя сервера безопасности так или иначе должен содержать название организации | |
- | | 2.5 |<Задаить ПИН для программного токена>|PIN-код программного токена (token’s PIN)| | + | | 2.5 |<Задать ПИН для программного токена>|PIN-код программного токена (token’s PIN)| |
==== 3.3 Настройка ==== | ==== 3.3 Настройка ==== | ||
Строка 218: | Строка 209: | ||
* Класс участника владельца сервера безопасности (смотрите пункт: 2.2). | * Класс участника владельца сервера безопасности (смотрите пункт: 2.2). | ||
* Код участника владельца сервера безопасности (смотрите пункт: 2.3). | * Код участника владельца сервера безопасности (смотрите пункт: 2.3). | ||
- | * Код сервера безопасности (Security server code) (смотрите пункт: 2.4), который выбирается администратором сервера безопасности и который должен быть уникальным для всех серверов безопасности, принадлежащих этому экземпляру СМЭВ Тундук. | + | * Код сервера безопасности (Security server code) (смотрите пункт: 2.4), который выбирается администратором сервера безопасности и который должен быть уникальным для всех серверов безопасности, принадлежащих этому экземпляру СМЭВ Тундук. Имя сервера безопасности так или иначе должен содержать название организации. |
* PIN-код программного токена (software token’s PIN) (смотрите пункт: 2.5). PIN-код будет использоваться для защиты ключей, хранящихся в программном токене. PIN-код должен храниться в безопасном месте, в случае утери, PIN-кода, будет невозможно использовать или восстановить закрытые ключи находящиеся в токене. | * PIN-код программного токена (software token’s PIN) (смотрите пункт: 2.5). PIN-код будет использоваться для защиты ключей, хранящихся в программном токене. PIN-код должен храниться в безопасном месте, в случае утери, PIN-кода, будет невозможно использовать или восстановить закрытые ключи находящиеся в токене. | ||
{{:ss-parameters.png}} | {{:ss-parameters.png}} | ||
Строка 282: | Строка 273: | ||
* Затем необходимо отправить два запроса (скачанных файла) на подписание в Удостоверяющий Центр и дождаться сертификатов от удостоверяющего центра | * Затем необходимо отправить два запроса (скачанных файла) на подписание в Удостоверяющий Центр и дождаться сертификатов от удостоверяющего центра | ||
+ | |||
+ | === Импорт сертификатов === | ||
+ | После получения сертификатов импортировать сертификаты ключей | ||
+ | |||
+ | Выбираем KEY: AUTH => REQUEST | ||
+ | Нажимем IMPORT CERTIFICATE => OK | ||
+ | |||
+ | {{ :ss-auth-import.png |}} | ||
+ | |||
+ | Повторяем тоже самое с ключем подписи | ||
+ | |||
+ | Выбираем KEY: SIGN => REQUEST | ||
+ | Нажимем IMPORT CERTIFICATE => OK | ||
+ | {{ :ss-sign-import.png |}} | ||
+ | |||
+ | |||
+ | * Активация сертификата аутентифкации | ||
+ | Вабрать аутентификационный сертификат | ||
+ | {{ :ss-auth-cert-choose.png |}} | ||
+ | Нажать **ACTIVATE** | ||
+ | |||
+ | Затем нажать **REGISTER** | ||
+ | В открывшемся диалоговом окне ввести публичное DNS имя сервера | ||
+ | {{ :ss-auth-cert-register.png |}} | ||
+ | Затем нажать **ОК** | ||
+ | |||
+ | Теперь когда горит стату registration in progress необходимо передать аутентификационный сертификат сервера Администраторам центра электронного взаимодействия. | ||
+ | И дождаться подтверждия регистрации в системе. | ||
+ | После того, как Центр электронного взаимодействия одобрит вашу регистрацию в системе установка сервера безопасности завершена. | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | Автор С.Бутенко |