Инструменты пользователя

Инструменты сайта


установка_сервра_базопасности

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
установка_сервра_базопасности [2019/05/31 06:28]
admin1 [2.5 Установка программного обеспечения сервера безопасности]
установка_сервра_базопасности [2023/12/20 10:33] (текущий)
infra
Строка 1: Строка 1:
 +<note warning>​Внимание! Это старый мануал! Устанавливайте только новую версию - 7.2.2</​note>​
 +
  ​====== Пошаговая инструкция по установке сервера безопасности Тундук ​ ======  ​====== Пошаговая инструкция по установке сервера безопасности Тундук ​ ======
  
Строка 16: Строка 18:
  
 ^  Ref  ^                                                             ​^ ​ Explanation ​ ^ ^  Ref  ^                                                             ​^ ​ Explanation ​ ^
-|  1.0  |Ubuntu 18.04, 64-bit ​GB RAM, 3 GB free disk space  |Минимальные требования ​ |  ​+|  1.0  |Ubuntu 18.04, 64-bit ​GB RAM, 3 GB free disk space  |Минимальные требования ​ |  ​
 |  1.1  |https://​deb.ordo.gov.kg ​  ​|Хранилище пакетов X-Road| ​   |  1.1  |https://​deb.ordo.gov.kg ​  ​|Хранилище пакетов X-Road| ​  
 |  1.2  |https://​deb.ordo.gov.kg/​key.pub |GPG ключ хранилища ​  ​|  ​ |  1.2  |https://​deb.ordo.gov.kg/​key.pub |GPG ключ хранилища ​  ​|  ​
Строка 44: Строка 46:
  
     - 64-x разрядный Intel dual-core, AMD или совместимый процессор;​ настоятельно рекомендуется наличие поддержки AES инструкций;​     - 64-x разрядный Intel dual-core, AMD или совместимый процессор;​ настоятельно рекомендуется наличие поддержки AES инструкций;​
-    - GB оперативной памяти;​+    - GB оперативной памяти ​(**Для нормального функционирования сервера в промышленной эксплуатации рекомендуется от 8-ми гигабайт и более**);
     - 100 Mbps сетевой интерфейс ;     - 100 Mbps сетевой интерфейс ;
     - USB порты для использования аппаратных токенов.     - USB порты для использования аппаратных токенов.
  
 Требования к по и конфигурации:​ Требования к по и конфигурации:​
-  * При установке Ubuntu 18.04 необходимо использовать данный образ [[http://​cdimage.ubuntu.com/​releases/​18.04.2/​release/​ubuntu-18.04.2-server-amd64.iso]]+  * При установке Ubuntu 18.04 необходимо использовать данный образ [[http://​cdimage.ubuntu.com/​releases/​18.04.4/​release/​ubuntu-18.04.5-server-amd64.iso]]
   * Установленная и настроенная операционная система Ubuntu 18.04 LTS x86-64;   * Установленная и настроенная операционная система Ubuntu 18.04 LTS x86-64;
   ​   ​
Строка 120: Строка 122:
  
  
-== Установить Поддержку аппаратных токенов ==  +==== 2.6 Установить Поддержку аппаратных токенов ====
- +
-  * Для установки JaCarta PKI произведите следующие действия  +
- +
-Скачать драйвер  +
- +
-<​code>​cd /tmp && wget https://​www.aladdin-rd.ru/​support/​downloads/​279f1310-d83d-4858-ba13-ecdbe0d37530/​get -O JaCarta.zip</​code> ​   +
- +
-Распаковать архив  +
-       +
-<​code>​unzip JaCarta.zip</​code>​ +
-  +
-перейти в директорию содержащую deb пакеты ​      +
-  +
-<​code>​cd JaCarta_PKI_Linux/​IDProtect\ Client\ 6.37.03/​DEB/</​code>​ +
-   +
-и выполнить установку пакетов  +
-    +
-<​code>​dpkg -i  idprotectclient_637.03-0_amd64.deb ​ idprotectclientlib_637.03-0_amd64.deb</​code>​ +
-   +
-добавить в конец файла /​etc/​xroad/​devices.ini следующие строки выполнив команду  +
- +
-<​code>​echo "​[JaCarta] +
-library ​/​lib64/​libASEP11.so"​ | sudo tee -a   /​etc/​xroad/​devices.ini</​code>​ +
  
   * Для установки ​ Rutoken ЭЦП 2.0 произведите следующие действия   * Для установки ​ Rutoken ЭЦП 2.0 произведите следующие действия
Строка 150: Строка 128:
 <​code>​ apt-get install opensc-pkcs11 opensc </​code>​ <​code>​ apt-get install opensc-pkcs11 opensc </​code>​
 добавить в конец файла /​etc/​xroad/​devices.ini следующие строки выполнив команду ​ добавить в конец файла /​etc/​xroad/​devices.ini следующие строки выполнив команду ​
 +<​code>​echo "​[Rutoken]
 +library = /​usr/​lib/​x86_64-linux-gnu/​pkcs11/​opensc-pkcs11.so" ​ | sudo tee -a  /​etc/​xroad/​devices.ini</​code>​
 +
  
 Отформатировать токен Отформатировать токен
-pkcs15-init --erase-card -p rutoken_ecp+<​code>​pkcs15-init --erase-card -p rutoken_ecp</​code>​
  
-Задать Пин код администратора токена  +Задать Пин код администратора токена. (Сгенерируйте свой пин код) 
-pkcs15-init --create-pkcs15 --so-pin "​Sheich0e"​ --so-puk ""​+<​code>​pkcs15-init --create-pkcs15 --so-pin "​Sheich0e"​ --so-puk ""​</​code>​ 
 + 
 +Задать пин код пользователя токена используя пин администратора. (Сгенерируйте свой пин код) 
 +<​code>​pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "​Xo7ahkup"​ --puk ""​ --so-pin "​Sheich0e"​ --finalize</​code>​
  
-Задать пин код пользователя токена используя пин администратора ​ 
-pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "​Xo7ahkup"​ --puk ""​ --so-pin "​Sheich0e"​ --finalize 
-$ pkcs15-tool -D 
  
  
Строка 165: Строка 146:
  
  
-<​code>​echo "​[Rutoken] 
-library = /​usr/​lib/​x86_64-linux-gnu/​pkcs11/​opensc-pkcs11.so" ​ | sudo tee -a  /​etc/​xroad/​devices.ini</​code>​ 
  
  
Строка 174: Строка 153:
 <​code>​sudo reboot</​code>​ <​code>​sudo reboot</​code>​
  
-==== 2.Проверка сервера после установки ====+==== 2.Проверка сервера после установки ====
  
 Установка выполнена успешно,​ если запущены системные службы и пользовательский интерфейс отвечает. Установка выполнена успешно,​ если запущены системные службы и пользовательский интерфейс отвечает.
Строка 211: Строка 190:
 | 2.2  |GOV - Привителственный,​COM - Коммерческий ​          ​|Класс участника владельца сервера безопасности| | 2.2  |GOV - Привителственный,​COM - Коммерческий ​          ​|Класс участника владельца сервера безопасности|
 | 2.3  |<​регистрационный код владельца владельца сервера безопасности>​ Получить от администраторов СМЭВ Тундук|Код участника владельца сервера безопасности| | 2.3  |<​регистрационный код владельца владельца сервера безопасности>​ Получить от администраторов СМЭВ Тундук|Код участника владельца сервера безопасности|
-| 2.4  |<​Задать идентификационное имя сервера безопасности>​|Код сервера безопасности (Security server'​s code)|+| 2.4  |<​Задать идентификационное имя сервера безопасности>​|Код сервера безопасности (Security server'​s code). Имя сервера безопасности так или иначе должен содержать название организации ​|
 | 2.5  |<​Задать ПИН для программного ​ токена>​|PIN-код программного токена (token’s PIN)| | 2.5  |<​Задать ПИН для программного ​ токена>​|PIN-код программного токена (token’s PIN)|
  
Строка 232: Строка 211:
   * Класс участника владельца сервера безопасности (смотрите пункт: 2.2).   * Класс участника владельца сервера безопасности (смотрите пункт: 2.2).
   * Код участника владельца сервера безопасности (смотрите пункт: 2.3).   * Код участника владельца сервера безопасности (смотрите пункт: 2.3).
-  * Код сервера безопасности (Security server code) (смотрите пункт: 2.4), который выбирается администратором сервера безопасности и который должен быть уникальным для всех серверов безопасности,​ принадлежащих этому экземпляру СМЭВ Тундук.+  * Код сервера безопасности (Security server code) (смотрите пункт: 2.4), который выбирается администратором сервера безопасности и который должен быть уникальным для всех серверов безопасности,​ принадлежащих этому экземпляру СМЭВ Тундук. Имя сервера безопасности так или иначе должен содержать название организации.
   * PIN-код программного токена (software token’s PIN) (смотрите пункт: 2.5). PIN-код будет использоваться для защиты ключей,​ хранящихся в программном токене. PIN-код должен храниться в безопасном месте, ​ в случае утери, PIN-кода,​ будет невозможно использовать или восстановить закрытые ключи находящиеся в токене.   * PIN-код программного токена (software token’s PIN) (смотрите пункт: 2.5). PIN-код будет использоваться для защиты ключей,​ хранящихся в программном токене. PIN-код должен храниться в безопасном месте, ​ в случае утери, PIN-кода,​ будет невозможно использовать или восстановить закрытые ключи находящиеся в токене.
 {{:​ss-parameters.png}} {{:​ss-parameters.png}}
 ''​Если класс участника и код участника правильно введены,​ система отображает имя владельца сервера безопасности,​ зарегистрированное в центре X-Road.''​ ''​Если класс участника и код участника правильно введены,​ система отображает имя владельца сервера безопасности,​ зарегистрированное в центре X-Road.''​
  
-==== 3.Настройка службы времени ====+==== 3.Настройка службы времени ====
   * Затем задаем Сервис Timestamp который будет использовать сервер   * Затем задаем Сервис Timestamp который будет использовать сервер
  
Строка 245: Строка 224:
 {{:​ss-timestamp.png}} {{:​ss-timestamp.png}}
  
-==== 3.Генерация ключей и запросов на подписание сертификатов ==== +==== 3.Генерация ключей и запросов на подписание сертификатов ==== 
 После после того как начальная конфигурация сервера была задана необходимо ввести пины программного и аппаратного токенов После после того как начальная конфигурация сервера была задана необходимо ввести пины программного и аппаратного токенов
  
Строка 256: Строка 235:
  
  
-=== Генерируем запросы на получение сертификатов ===+==== 3.7 Генерируем запросы на получение сертификатов ​====
   * Создание сертификата аутентификации   * Создание сертификата аутентификации
 в меню MANAGEMENT => Keys and Certificates выберите **token: softToken-0** в меню MANAGEMENT => Keys and Certificates выберите **token: softToken-0**
Строка 297: Строка 276:
   * Затем необходимо отправить два запроса (скачанных файла) на подписание в Удостоверяющий Центр и дождаться сертификатов от удостоверяющего центра ​   * Затем необходимо отправить два запроса (скачанных файла) на подписание в Удостоверяющий Центр и дождаться сертификатов от удостоверяющего центра ​
  
-=== Импорт сертификатов === +==== 3.8 Импорт сертификатов ​==== 
 После получения сертификатов импортировать сертификаты ключей ​ После получения сертификатов импортировать сертификаты ключей ​
  
Строка 313: Строка 292:
  
   * Активация сертификата аутентифкации   * Активация сертификата аутентифкации
-Вабрать аутентификационный сертификат+Выбрать аутентификационный сертификат
 {{ :​ss-auth-cert-choose.png |}} {{ :​ss-auth-cert-choose.png |}}
 Нажать **ACTIVATE** Нажать **ACTIVATE**
Строка 326: Строка 305:
 После того, как Центр электронного взаимодействия одобрит вашу регистрацию в системе установка сервера безопасности завершена. ​ После того, как Центр электронного взаимодействия одобрит вашу регистрацию в системе установка сервера безопасности завершена. ​
  
 +
 +----
 +
 +Автор С.Бутенко
установка_сервра_базопасности.1559284094.txt.gz · Последние изменения: 2019/05/31 06:28 — admin1