периодическое сканирование файлов во входном каталоге расшифрование найденного файла с помощью подходящего сертификата (из имеющихся у пользователя сертификатов с закрытыми ключами) перенос расшифрованного файла в выходной каталог
Мастер работы с файлами

Вызов мастера работы с файлами происходит из контекстного меню приложения.

Мастер работы с файлами предназначен для выполнения следующих криптографических операций с файлами:

    подписание присоединенной/отделенной ЭП; проверка ЭП; шифрование; расшифрование; подписание и шифрование; расшифрование и проверка ЭП; добавление заверяющей ЭП; подписание XML; проверка ЭП XML.

Параметры для инициализации сессии определяются в мастере.

Плагин обновления сертификатов, CRL, TSL

Плагин предназначен для загрузки и обновления на рабочих местах пользователей:

    реестра аккредитованных УЦ Минкомсвязи (TSL); cертификатов аккредитованных УЦ, выданных ГУЦ; списков отозванных сертификатов аккредитованных УЦ; дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором системы; настроек проверки соответствия квалифицированных сертификатов требованиям уполномоченных органов.

Источник загрузки\обновления зависит от использования плагина синхронизации с LDAP (региональным хранилищем).

обновляемый ресурс

включен плагин синхронизации с LDAP

отключен плагин синхронизации c LDAP
    реестр аккредитованных УЦ Минкомсвязи (TSL) настройки проверки соответствия квалифицированных сертификатов требованиям уполномоченных органов

централизованный сетевой ресурс (SMB\HTTP)
    cертификаты аккредитованных УЦ, выданных ГУЦ списки отозванных сертификатов аккредитованных УЦ дополнительные сертификаты УЦ и списки отозванных сертификатов УЦ, определенные администратором системы

региональное хранилище настроек\сертификатов (LDAP)

в случае недоступности LDAP-каталога - централизованный сетевой ресурс (SMB\HTTP)

централизованный сетевой ресурс (SMB\HTTP)

Режимы выполнения плагина:

НЕ нашли? Не то? Что вы ищете?
    по команде (из контекстного меню приложения); по внутреннему расписанию (выполнение с заданным в настройках плагина интервалом); по http-запросу (например, по команде планировщика windows).

При включенном режиме выполнения обновления по расписанию:

    при запуске приложения выполняется обновление; по завершении обновления начинается отсчет до следующего запуска.

Для выполнения плагина по более сложному расписанию следует настроить в стандартном планировщике заданий windows задачи выполнения плагина по http-запросу по необходимому расписанию.

При выполнении плагина по http-запросу имеется возможность переопределить значения параметров плагина, заданные в настройках плагина.

блок кода 4 Формат http-запроса

http://localhost:3573/updateplugin/update?[параметр=значение][&параметр=значение]

Настройка запуска по http-запросу

Для запуска обновления сертификатов, CRL требуется добавить команду в стандартный планировщик заданий, которая будет обращаться по url к этому плагину

http://localhost:3573/updateplugin/update

Для обращения по url может использоваться скрипт на языке powershell (работает на powershell версии 3.0 и выше. для Windows 7sp1/2008 – необходимо поставить отдельным пакетом):

Powershell Invoke-WebRequest http://localhost:3573/updateplugin/update - TimeoutSec 240
Порядок работы плагина
    загружается файл индекса реестров из централизованного хранилища проверяется актуальность версии реестра аккредитованных УЦ Минкомсвязи (TSL) на рабочей станции. В случае необходимости производится загрузка и установка в криптографический плагин обновленного реестра проверяется актуальность версии настроек проверки соответствия квалифицированных сертификатов требованиям уполномоченных органов на рабочей станции. В случае необходимости производится загрузка и установка в криптографический плагин обновленной версии настроек при отключенном плагине синхронизации с LDAP
    проверяется актуальность версии  вспомогательного реестра. В случае необходимости производится загрузка вспомогательного реестра из централизованного хранилища проверяется ЭП вспомогательного реестра:
    проверяется действительность подписи (для проверки используется режим форсированной инициализации криптосессии, в котором не проверяется сертификат пользователя, а также не проверяются crl при построении цепочки сертификатов); проверяется, что реестр подписан службой "Crypto+ Download Service" (значение поля CN владельца сертификата, которым подписан реестр равно "Crypto+ Download Service");

Внимание

Значение поля CN владельца сертификата, которым подписан реестр должно быть равно Crypto+ Download Service. Указанное значение не может быть переопределено или изменено.
    проверяется, что сертификат, которым подписан реестр выдан УЦ, который содержится в списке доверенных УЦ ПЭВМ пользователя (т. е. цепочку удалось построить до корневого УЦ). в случае отрицательного результата по любой проверке - обновление завершается с ошибкой
    выполняется поиск по отпечатку в локальном хранилище Windows на рабочей станции пользователя сертификатов аккредитованных УЦ, выданных ГУЦ и дополнительных сертификатов УЦ, определенных администратором системы. В случае отсутствия сертификатов, либо наличия в централизованном хранилище более новых сертификатов - выполняется их загрузка и установка в локальное хранилище Windows выполняется обработка содержащихся во вспомогательном реестре записей о списках отозванных сертификатов аккредитованных УЦ и дополнительных списках отозванных сертификатов УЦ, определенных администратором системы:
    поиск в локальном хранилище сертификатов windows сертификатов УЦ по идентификатору ключа проверка у найденных сертификатов поля DN издателя и сравнение с записью во вспомогательном реестре если DN совпал - поиск crl по найденному сертификату если сертификат издателя не найден - выполняется загрузка и установка CRL в локальное хранилище Windows для найденного CRL выполняется проверка актуальности (актуальность Crl проверяется по полю ThisUpdate) если в реестре более новый CRL или CRL не найден - загрузка CRL и установка в локальное хранилище

    при включенном плагине синхронизации с LDAP
    обработка происходит по локальному хранилищу сертификатов для каждого сертификата выполняется поиск по отпечатку в локальном хранилище Windows, в случае отсутствия в региональном хранилище сертификатов сертификата с указанным отпечатком, выполняется загрузка всех сертификатов и CRL, относящихся к этой организации.

Примечание

Работа с региональным хранилищем возможна только при включенном плагине синхронизации.
В противном случае, обновление сертификатов и CRL производится из централизованного хранилища.

    при успешном завершении обработки - сообщение в трей и в лог. при ошибке в обработке - если загрузка реестра не удалась < 5 раз - завершение без сообщений пользователю. при ошибке в обработке - если загрузка реестра не удалась > 5 раз - выводится сообщение об ошибке.


Примечание

Обработка самоподписанных сертификатов:

Самоподписанные сертификаты УЦ должны быть подписаны ЭП службы "Crypto+ Download Service".

Перед установкой самоподписанных сертификатов УЦ выполняется проверка ЭП устанавливаемых сертификатов. Установка производится только при корректной ЭП.

Самоподписанные сертификаты УЦ устанавливаются в хранилище корневых сертификатов без запросов пользователю.
Плагин загрузки сертификатов, CRL, TSL

Предупреждение

При установке с использованием графического интерфейса пользователя плагин "Загрузка реестра TSL, сертификатов, CRL" не устанавливается.

Установка возможна только с использованием ключа /downloadPlugin.

Подробное описание установки и использование ключей описано в разделе Установка приложения, в документации Руководство пользователя.

Плагин предназначен для загрузки и обновления из соответствующих источников обновления:

    реестра аккредитованных УЦ Минкомсвязи (TSL); cертификатов аккредитованных УЦ, выданных ГУЦ; списков отозванных сертификатов аккредитованных УЦ; дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором системы; настроек проверки соответствия квалифицированных сертификатов требованиям уполномоченных органов.

Загруженные данные проходят специальную подготовку и размещаются на сетевом ресурсе, доступном рабочим станциям пользователей (централизованное хранилище), откуда в дальнейшем загружаются плагином обновления сертификатов, CRL, TSL, выполняющимся на рабочих местах пользователей.


Централизованное хранилище

В качестве централизованного хранилища могут быть использованы:

    веб сервер, доступный пользователям по url (рекомендуется) сетевая папка, доступная пользователям по unc-пути

При установке приложения в качестве настройки по умолчанию в плагине обновления сертификатов, CRL, TSL настраивается значение:

    http://CryptoPlusUpdateServer/

С целью минимизации настроек, которые могут потребоваться в будущем рекомендуется оставить настройку по умолчанию, т. к. в следующих версиях планируется реализация функции автоматического обновления версий и настроек плагинов из веб-ресурса http://CryptoPlusUpdateServer.

Таким образом для минимизации настроек и исключения перенастройки рабочих станций необходимо и достаточно выполнить следующие действия:

    зарегистрировать в сети dns-псевдоним CryptoPlusUpdateServer развернуть http-сервер, на котором создать веб-сайт с именем CryptoPlusUpdateServer (либо добавить сайт CryptoPlusUpdateServer на имеющемся веб-сервере) настроить на веб-сервере сетевую папку, сопоставленную с сайтом CryptoPlusUpdateServer, в которую плагин сможет помещать информацию настроить плагин загрузки сертификатов, CRL, TSL для размещения информации в сетевую папку веб-сервера

Объем данных, которые будут размещаться на веб-сервере составит около 45 мб (по состоянию на конец 2015 г)

    около 2,5 мб – вспомогательный реестр, около 10 мб – реестр TSL, остальное – около 3 тыс. файлов с сертификатами и CRL.

Плагин может быть настроен на отправку по электронной почте уведомления о возникших в ходе работы ошибках и предупреждениях. Рекомендуется указание соответствующих данных в настройках плагина.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9