4.5. Шифрование сообщений
Все сообщения делятся на два типа: служебные сообщения и сообщения пользователя. Сообщения пользователя проходят классическую схему Клиет1-Мэйлбокс1-ХС-Мэйлбокс2-Клиент2. Все сообщения пользователя на участке Мэйлбокс1-Мэйлбокс2 шифруются. Второй тип сообщений – служебные. Служебные сообщения передаются между двумя узлами связи и не шифруются. Служебные сообщения – это сообщения криптоменеджера (запросы на ХС по поводу сертификатов, сообщения по синхронизации времени и т. д.), служебные сообщения уровня CoreMail и RTSMail – сообщения занимаются подтверждением (простой Reply, Reply c заголовками, запрос-ответ для RTSMail).
Важно отметить случай отсутствия сертификата в базе. Полученный криптопакет не будет обрабатываться до тех пор, пока не будут проверены его криптоуровни и не будут получены все сертификаты. Все уровни шифрования должны быть соблюдены, все нужные подписи должны присутствовать. Если какое-нибудь из этих условий не выполнено, то криптопакет с уровня криптоменеджера на Мэйлбокс не выдается.
ХС тщательным образом отслеживает время действия всех сертификатов, т. к. его подпись может быть использована в суде. Если сертификат просрочен, то при очередном перепосыле с ХС сообщение возвращается с сообщением об ошибке шифрования. В этом случае необходимо перешифровать сообщение. Сообщение расшифровывается, старое шифрование отрезается и изменяется статус на UNSENT, письмо шифруется заново и подписывается.
Кроме получателя расшифровать сообщение может только его отправитель.
4.6. Общие требования
4.6.1. Требования к аппаратному обеспечению
Для нормального функционирования ПО должно быть установлено на ПК с процессором Pentium 100 или выше, имеющим оперативную память 64 Мб или больше, подключенному к локальной сети компании, имеющей выход в сеть РТС или Интернет. ПК должен иметь 3,5"-дисковод.
4.6.2. Программное окружение
Для установки и нормального функционирования Мэйлбокса необходимо наличие операционной системы Windows NT 4.0/ServicePack 5 или выше.
4.6.3. Другие материалы
· Транспортная дискета с сертификатами открытых ключей (Используется на этапе установки и настройки).
· Секретная дискета (Используется для инициализации СКЗИ при старте Мэйлбокса).
Примечание. Возможно совмещение секретной и транспортной дискет в одной.
4.7. Авторские права
Права на ПО "Мэйлбокс" принадлежат ЗАО "Технический Центр РТС"
(Тел.: (0, Факс: ).
Права на СКЗИ "Верба-ОW" принадлежат ЗАО "МО ПНИЭИ"
(Тел.: (0,
СКЗИ "Верба-ОW" имеет сертификат соответствия ФАПСИ № СФ/ от 01.01.01 г.
4.8. Безопасность и конфиденциальность
ПО Мэйлбокс обеспечивает шифрование сообщений при передаче их по сети РТС. Защиту информации от несанкционированного доступа на рабочих станциях в локальной сети компании участник системы ЭДО обеспечивает самостоятельно.
Пользователь должен исключить несанкционированный доступ к секретным ключам ЭЦП и шифрования. ЗАО "Технический Центр РТС" не несет ответственности за последствия несанкционированного использования секретных ключей участников системы ЭДО.
4.9. Поддержка и информирование о проблемах
При возникновении проблем в работе ПО, замечаний и пожеланий следует обращаться в техническую службу ЗАО "Технический Центр РТС" по телефону (095) 913‑92‑96.
В некоторых случаях для разбора проблемных ситуаций может потребоваться передача в Технический Центр РТС журналов работы и конфигурационных файлов.
При пересылке конфигурационных файлов (ini-файлов) по электронной почте из соображений безопасности необходимо предварительно удалить из них содержимое секции [PASSWORDS].
Если у Вас есть замечания или пожелания по работе программы, пожалуйста, сообщите их в Технический Центр РТС по факсу или электронной почте (см. Приложение В).
5. Работа с ПО "Мэйлбокс"
5.1. Настройки ini-файлов
5.1.1. Общие настройки rtsmail. ini
1. Секция [options] - секция общих настроек.
[options]
Пример строки | Описание |
logfile=\log\MB_TRN5M. log | Задает имя файла (log-файл) для записи сообщений Мэйлбокса или клиента Мэйлбокса и, при необходимости, путь к нему. При этом старый файл не удаляется, программа изменяет его расширение. При отсутствии данной строки в ini-файле – log-файл не будет создан. |
logfileperday=1 | Создание нового log-файла на каждый следующий день. Изменяет имя создаваемого log-файла, включая в него текущую дату. Формат имени создаваемого файла: <fileName>.YYYYMMDD. |
2. Секция общих настроек Мэйлбокса.
[mailbox]
Пример строки | Описание |
msg_log=log\msg_MB_TRN5M. log | Задает имя log-файла Мэйлбокса для записи всех входящих и исходящих сообщений. Обязательный параметр. |
err_log=log\err_MB_TRN5M. log | Задает имя log-файла для записи ошибочных сообщений (например, ошибка шифрования, невозможности дешифрования, ошибки в базе данных и т. д.) Обязательный параметр. |
logfileperday=1 | Создание нового log-файла на каждый следующий день. Изменяет имя создаваемого log-файла, включая в него текущую дату. Формат имени создаваемого файла: <fileName>.YYYYMMDD. |
resend_interval=30 | Интервал времени в секундах между перепосылами сообщений на один и тот же адрес. Мэйлбокс проверяет, получено ли подтверждение на отправленное сообщение, если нет, то производится перепосыл сообщения (активный режим работы). По умолчанию - 300 сек. |
passive_resend_interval=20 | Интервал времени в секундах для пассивного режима работы. При пассивном перепосыле Мэйлбокс отправляет запрос в Overseer. Модуль Overseer предназначен для мониторинга Мэйлбоксов, подключенных к ЭДО РТС. Реальный перепосыл сообщений производится только в том случае, если Overseer подтверждает, что данный адрес подключен к ЭДО РТС. По умолчанию - 300 сек. |
expire_packet=86400 | Интервал времени в секундах времени жизни сообщения. Если сообщение не было доставлено в течении указанного времени, то оно удаляется из базы Мэйлбокса (см. ключ expire_archive). По умолчанию - 60 * 60 * 24 * 30 = 2592000 секунд, то есть 30 суток. (добавлен в версии 1.3.6) |
active_tries=3 | Параметр задает через сколько неподтвержденных перепосылов на данный адрес Мэйлбокс перейдет из активного режима работы с данным адресом в пассивный. Значение по умолчанию – ‘–1’ (количество перепосылов не ограничено). |
encrypt_retry_interval=90 | Интервал времени, через который будет произведено повторное шифрование сообщения. Если в кэше Мэйлбокса нет открытого ключа шифрования противоположной стороны, то Мэйлбокс запрашивает его в ХС. Если ответ из ХС получен за данное время ожидания, то Мэйлбокс повторно зашифрует сообщение, если нет отправит следующий запрос на сертификат в ХС. По умолчанию - 300 сек. Время ожидания не должно быть установлено меньше 80 сек. |
archive_path=msg | Параметр задает путь к каталогу, в котором хранятся все сообщения прошедшие через Мэйлбокс. |
reply_archive=1 | Параметр задает имя архива служебных сообщений (уведомлений) от других Мэйлбоксов. 1 – создавать архив (по умолчанию), 0 – не создавать. |
in_archive=1 | Параметр задает возможность создавать или не создавать архив входящих сообщений. 1 – создавать (по умолчанию), 0 – не создавать. |
out_archive=1 | Параметр задает возможность создавать или не создавать архив исходящих сообщений. 1 – создавать (по умолчанию), 0 – не создавать. |
fail_archive=1 | Параметр задает возможность создавать или не создавать архив сообщений-ошибок (нераспознанных сообщений). 1 – создавать (по умолчанию), 0 – не создавать. |
expire_archive=1 | Параметр задает возможность создавать или не создавать архив сообщений, не доставленных в течение времени, указанного в ключе expire_packet. 1 – создавать (по умолчанию), 0 – не создавать. (добавлен в версии 1.3.6) |
cashe_size=512000 | Размер кэша на тела сообщений в байтах. По умолчанию – 512 Кб. |
Примечание. Входящие сообщения – это сообщения, которые направляются из ХС в Мэйлбокс. Исходящие сообщения – это сообщения, которые направляются из Мэйлбокса в ХС.
3. Секция настроек Криптоменеджера.
[cryptomanager]
Пример строки | Описание |
signpath=C:\Program Files\Mail\Key\ | Задает имя копии каталога HD1 с секретной дискеты, используется для подписи сообщений. Можно указать A:\HD1(в этом случае программа будет постоянно обращаться к дискете). |
encrpath=C:\Program Files\Mail\Key\ | Задает имя копии каталога HD1 с секретной дискеты, используется для шифрования сообщений (для программ не использующих шифрование, например, клиентов Мэйлбокса этот параметр можно не указывать). Можно указать A:\HD1 (в этом случае программа будет постоянно обращаться к дискете). |
signСertid=XXXXXX | Задает номер личного сертификата подписи (применяется если в опорной базе находятся сертификаты подписи более чем одного узла ЭДО). |
encrСertid=XXXXXX | Задает номер личного сертификата шифрования (применяется если в опорной базе находятся сертификаты шифрования более чем одного узла ЭДО). |
basepath=Tmp\ | Задает имя каталога для хранения справочника сертификатов. Рекомендуется периодически очищать каталог, например, при частых сбоях в работе программы. |
mainBaseSignOpenKey=C:\Program Files\Mail\Key\ 000801.LFX | Задает имя файла открытого ключа для проверки подписи опорных сертификатов. |
mainBaseSign=mbtbl\mainbase. sgn | Задает имя файла, содержащего ЭЦП опорной базы сертификатов. Создается при подписывании базы данных сертификатов (см. Приложение А). |
restrict_control = 1 | Включает более строгую проверку сертификатов. По умолчанию – 0 (выключено). |
Внимание! В параметрах signpath, encrpath, mainBaseSignOpenKey, необходимо указывать полный путь к каталогу.
4. Секция настроек коммуникационного сервера (используется при инициализации Мэйлбокса).
[communications]
Пример строки | Описание |
rtscomm=rtsqcomm. ini | Задает имя файла настроек коммуникационного сервера. Настройки могут содержаться в файле rtsmail. ini. В этом случае строка имеет вид: rtscomm=rtsmail. ini (для клиента Мэйлбокса) |
svc=MAILBOX | Задает имя сервиса. |
pwd=ppp | Задает пароль пользователя для доступа. |
user=EMAIL@TRN5M | Для Мэйлбокса - имя пользовтеля; для клиентов Мэйлбокса User= пусто (всегда!). |
Примечание. Полный адрес Мэйлбокса - *****@***MAILBOX
5. Секция общих настроек, использующих Core.
Параметры trlog, Cert_tbl, Cert-id_tbl секции [cache] добавляются автоматически, поэтому их не обязательно указывать в ini-файле.
5.1.2. Настройки rtsmail. ini для базы данных на C-Tree
[database]
Пример строки | Описание |
path=./mbtbl/ | Задает имя каталога базы данных. |
Примечание. Основное требование для C-Tree - использование в параметре path прямого слеша.
[cache]
Пример строки | Описание |
flat_file=0 | Установка опции использования базы данных в виде flatfile специального формата. Принимает значения: |
5.1.3. Настройки rtsmail. ini для ODBC
В данный момент возможно использование базы данных модуля Мэйлбокс под управлением следующих СУБД: MS SQL2000, MS SQL 7.0, MS SQL 6.5, Oracle, MS Access 97. Официально поддерживаемая версия - версия, использующая MS SQL 7.0. Для ODBC необходимы отдельные версии Mailbox. exe и RTSCMA. exe.
Настройка Mailbox для работы с SQL-базой данных:
1. Создать на сервере базу данных для использования ее Mailbox. Создать пользователя базы данных, под которым будет работать Mailbox. Этот пользователь должен иметь права создавать, изменять и удалять таблицы в БД и права на чтение/запись данных в БД.
2. Создать Источник Данных ODBC, указывающий на созданную БД.
3. В файл rtsmail. ini внести следующие изменения:
[$include] – прописать имя ini-файла необходимого для работы с базой данных MS SQL file=db-mssql. ini или ini-файла db-msacc. ini для MS Access.
Пример строки | Описание |
file=<filename> | <filename> ‑ имя и, при необходимости, путь для ini-файла Например: |
В секцию [database] прописать параметр connect.
[database] – Задает параметры соединения с источником данных ODBC.
Пример строки | Описание |
connect=dsn=<DSNname> | Общий формат: <DSName>::=<DataSourceName>[;UID=<UserName>;PWD=<password>[;ConnectOpts]] [;uid=<имя пользователя СУБД>;pwd=<пароль к СУБД>] uid и pwd можно не указывать, в этом случае используются параметры соединения по умолчанию. Для MS SQL - либо Trusted connection либо пользователь 'sa' c пустым паролем. |
В секции [cache] прописать flat_file=0.
Внимание! Для ODBC необходимы специальные версии Mailbox. exe и RTSCMA. exe.
5.1.4. Настройки rtsqcomm. ini
Подробно настройки коммуникационного сервера см. документ “Коммуникационный сервер RTSComm”.
Имя файла настройки коммуникационного сервера определяется в файле rtsmail. ini секции [communication] строке rtscomm= (см. п. 4.1.1)
Настройки соединения расположены в нескольких секциях ini-файла.
Секция [CONNECT] должна содержать переменную PRIMARY, в которой указано имя секции с настройками соединения с наиболее предпочтительным сервером. Пример:[CONNECT]
PRIMARY=CONNECTTCP
Секция с настройками соединения, имя которой указано в переменной PRIMARY секции [CONNECT]. Может иметь различные наборы переменных в зависимости от типа соединения. Для соединения с серверами ТС должна иметь следующие переменные: TYPE=WINSOCK – тип соединения – с использованием TCP/IP; NETWORKADDRESS – ip-адрес или имя сервера, с которым необходимо соединиться; REMOTEPORT – номер TCP-порта, на котором работает ПО РТС на сервере. Пример:[CONNECTTCP]
TYPE=WINSOCK
NETWORKADDRESS=edi. *****
REMOTEPORT=2041
5.2. Установка ПО "Мэйлбокс"
Если необходимо устанавливать (переустанавливать) драйвер системы криптозащиты, пользователь должен обладать правами локального администратора на своем компьютере.
Внимание! В программе инсталляции дополнительно предусмотрена возможность установки ПО "Файловый шлюз" (EDIGate). Это ПО используется для целей тестирования и работы специальных приложений и не является необходимым для работы Мэйлбокса.
5.2.1. Данные, которыми необходимо располагать перед запуском:
1. Зарегистрированный адрес компании в системе электронного документооборота и пароль для доступа.
2. Адрес порта для Мэйлбокса, к которому будут подключаться все его пользователи.
3. Если необходима установка ПО "Файловый шлюз", адрес пользователя файлового шлюза.
4. Для инициализации системы криптозащиты необходимо иметь в наличии следующие дискеты:
· Секретную дискету с ключами шифрования и ЭЦП Мэйлбокса;
· Транспортную дискету с сертификатами открытых ключей ЭЦП и шифрования Мэйлбокса;
· Если необходима установка ПО "Файловый шлюз", транспортную дискету с сертификатами открытых ключей ЭЦП и шифрования Файлового шлюза.
5.2.2. Процедура установки
Запустить файл mb_setup. exe
Далее выполнять указания программы. При этом, для перехода к следующему экрану нажимать кнопку Next>, для возврата к предыдущему ‑ <Back, для выхода из программы без сохранения введенных данных – Cancel.
Экран: Read Me File
Ознакомиться с условиями необходимыми для успешной установки. Подтвердить готовность начать установку, щелкнув "мышкой" в поле "Я имею всю необходимую для установки информацию" и нажать кнопку Next>.
Экран: Choose Destination Location
Выбрать каталог для установки программы. По умолчанию предлагается каталог $:\Program Files\RTSMailbox. Для выбора другого каталога можно воспользоваться кнопкой Browse (Пролистать) или ввести его с клавиатуры.
Экран: Select Components
Выбрать компоненты для установки. Предлагаются следующие компоненты:
· Mailbox – ПО "Мэйлбокс",
· EDIGate – ПО "Файловый шлюз",
· Verba Driver –драйвер системы криптозащиты. Программа установки проверяет наличие драйвера СКЗИ и, в случае его отсутствия на компьютере, сама предлагает его установку (ставит "галочку" в соответствующем поле),
Экран: RTS Mailbox Installation
1. В поле Mailbox Address ввести зарегистрированный адрес компании в системе электронного документооборота (например, *****@***MAILBOX).
2. В поле Mailbox Password ввести пароль для входа в систему электронного документооборота.
3. В поле Mailbox TCP port ввести адрес порта для Мэйлбокса, к которому будут подключаться все его пользователи. По умолчанию предлагается – 2041.
4. В поле EDIGate User ввести адрес пользователя файлового шлюза. По умолчанию предлагается USER1.
Экран: Verba open key installation
Вставить секретную дискету с ключами шифрования и электронной подписи и нажать кнопку Next>.
Экран: Certificatebase installation
1. Вставить транспортную дискету Мэйлбокса и нажать кнопку Next>.
2. Если наряду с ПО "Мэйлбокс" устанавливается ПО "Файловый шлюз", вставить транспортную дискету файлового шлюза и нажать кнопку Next>.
Экран: Installation Completed!
Инсталляция успешно завершена. Нажать кнопку Finish для выхода.
В процессе установки в каталоге RTSMailbox будет создан основной каталог \MailBox и необходимые подкаталоги, скопированы файлы, создана и подписана база данных сертификатов, установлены драйверы для СКЗИ "Верба-О". Если до установки ПО "Мэйлбокс" этот драйвер отсутствовал на ПК, то программа предложит произвести перезагрузку операционной системы.
5.3. Запуск СКЗИ
Перед запуском ПО "Мэйлбокс" необходимо запустить СКЗИ "Верба-О". Процедура описана ниже и состоит из двух этапов: инициализация СКЗИ и загрузка ключей.
1. Запустить файл Asrkeyw. exe из каталога \WINNT\system32 и выполнить указания программы:
· После появления приглашения ‑ нажать несколько раз любые клавиши или сделать несколько движений курсором "мышки" в области окна программы;
· После появления предложения загрузить ключи, вставить секретную дискету в дисковод и нажать клавишу "Загрузить". Программа произведет загрузку ключей с ключевой дискеты в память драйвера СКЗИ.
ü Сообщение "Ошибка при чтении ключа GK с носителя" означает, что дискета защищена от записи. В этом случае необходимо снять защиту и повторить процедуру запуска СКЗИ.
2. После окончания процесса загрузки ключей нажать кнопку "Выход".
5.4. Запуск ПО "Мэйлбокс"
Перед запуском ПО "Мэйлбокс" необходимо запустить СКЗИ "Верба-О". Процедура запуска описана в пункте 4.3. Затем запустить файл Mailbox. exe из основного каталога программы (\MailBox).
5.5. Завершение работы ПО "Мэйлбокс"
Для завершения работы ПО "Мэйлбокс" необходимо нажать клавишу "Ctrl" и, удерживая ее, клавишу "C" (или клавишу "Break").
5.6. Удаление ПО "Мэйлбокс"
Для удаления установленного ПО "Мэйлбокс" необходимо воспользоваться утилитой ADD/Remove Programs (Start®Settings®Control Panel®ADD/Remove Programs).
5.7. Администрирование пользователей
Администрирование пользователей Мэйлбокса включает в себя выполнение следующих функций:
· Просмотр списка пользователей Мэйлбокса;
· Включение новых пользователей в список пользователей Мэйлбокса и установку им паролей;
· Удаление пользователей из списка пользователей Мэйлбокса.
5.7.1. Просмотр списка пользователей Мэйлбокса
Список имен пользователей Мэйлбокса содержится в секции [PASSWORDS] ini-файла Мэйлбокса (в зависимости от версии ПО, либо rtsqcomm. ini, либо, при его отсутствии ‑ rtsmail. ini), которая содержит строки следующего вида:
<USERNAME>=<строка символов>, где <USERNAME> ‑ имя пользователя Мэйлбокса.
5.7.2. Включение нового пользователя в список пользователей Мэйлбокса
Для включения нового пользователя необходимо запустить файл ServPassw. exe со следующими параметрами (набрать в командной строке и нажать клавишу Enter):
ServPassw. exe <filename. ini> <username> <password> <extrapassword>, где
<filename. ini> – конфигурационный файл Мэйлбокса (в зависимости от версии ПО "Мэйлбокс", либо rtsqcomm. ini, либо, при его отсутствии ‑ rtsmail. ini),
<username> – имя пользователя Мэйлбокса только заглавными буквами по-английски (например USER1),
<password> – пароль пользователя для входа в Мэйлбокс (например: 12345),
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
