В плагине имеется возможность настройки на загрузку данных из сети Интернет через прокси-сервер.


Внимание

При работе через прокси сервер не гарантируется стабильная работа плагина.
Входные параметры

Перечень входных параметров соответствует перечню настроек плагина.

Любой параметр, указанный в настройках, может быть переопределен при запуске плагина в http-запросе. В случае, если параметр не указан при вызове плагина – используется значение, заданное в настройках плагина.

Режимы работы

Плагин может работать в двух режимах:

    загрузка реестра TSL и обновление crl; только обновление crl.

Рекомендуется настройка периодического запуска плагина через планировщик в разных режимах, например:

    загрузка реестра TSL и обновление crl – 1 раз в 2 дня; только обновление crl – каждые 6 часов.

Настройка запуска по расписанию

Для выполнения плагина по расписанию требуется добавить команду в  стандартный планировщик заданий, которая будет обращаться по url к этому плагину

    Для запуска загрузки реестра TSL и обновление crl

http://localhost:3573/downloadplugin/load? download_mode=0

    Для обновления CRL

http://localhost:3573/downloadplugin/load? download_mode=1

Для обращения по url может использоваться скрипт на языке powershell (работает на powershell версии 3.0 и выше. для Windows 7sp1/2008 – необходимо поставить отдельным пакетом):

Powershell Invoke-WebRequest http://localhost:3573/downloadplugin/load? download_mode=0 - TimeoutSec 1200
Формирование нескольких централизованных хранилищ

В настройках плагина имеется возможности:

НЕ нашли? Не то? Что вы ищете?
    ограничения обрабатываемых реестровых номеров аккредитованных УЦ формирования нескольких хранилищ, содержащих различные наборы сертификатов указания параметров выполнения при запуске плагина

Указанные возможности могут быть использованы для выделения нескольких групп компьютеров, например:

    группа, которая работает с полным набором аккредитованных УЦ, содержащая полный реестр аккредитованных УЦ, все их сертификаты и CRL (например, на которых выполняется прием отчетности) одна или несколько групп, которые работают с ограниченным набором аккредитованных УЦ, содержащая ограниченный набор сертификатов и CRL (например, на которых выполняется работа только с УЦ ОПФР, а также ограниченным набором УЦ-контрагентов)

Внимание

Рекомендуется сформировать несколько хранилищ, т. к. хранение и обработка на компьютере всех сертификатов и CRL всех аккредитованных УЦ является крайне ресурсоемкой операцией

В случае применения нескольких хранилищ в настройках их загрузки должны различаться параметры:

    baseUrl targetUploadPath CARegistryNumbers

В случае применения нескольких хранилищ в настройках их загрузки могут различаться параметры:

    fileCertUrls fileCrlUrls fileCheckConfig
Пример настройки двух групп

Обработка и загрузка полного реестра

Параметры

    baseUrl = http://CryptoPlusUpdateServer/full target_upload_path = C:\reestr_full CARegistryNumbers

    Для запуска загрузки реестра TSL и обновление crl

http://localhost:3573/downloadplugin/load? download_mode=0"&"baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXIvZnVsbA=="&"target_upload_path=QzpccmVlc3RyX2Z1bGw="&"c_a_registry_numbers=

    Для обновления CRL

http://localhost:3573/downloadplugin/load? download_mode=1"&"baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXIvZnVsbA=="&"target_upload_path=QzpccmVlc3RyX2Z1bGw="&"c_a_registry_numbers=

обработка и загрузка ограниченного количества реестровых записей

Параметры

    baseUrl = http://CryptoPlusUpdateServer target_upload_path = C:\reestr_partial CARegistryNumbers = 320

    Для запуска загрузки реестра TSL и обновление crl

http://localhost:3573/downloadplugin/load? download_mode=0"&"baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXI="&"target_upload_path=QzpccmVlc3RyX3BhcnRpYWw"&"c_a_registry_numbers=MzIw

    Для обновления CRL

http://localhost:3573/downloadplugin/load? download_mode=1"&"baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXI="&"target_upload_path=QzpccmVlc3RyX3BhcnRpYWw"&"c_a_registry_numbers=MzIw
Работа плагина
    инициализуется криптосессия с использованием сертификата, определенного "по умолчанию" в настройках плагина криптосервер (настройка defaultCertificate)

Внимание

Администратору необходимо обеспечить условия для возможности корректной инициализации сессии (доступность и действительность сертификатов, наличие всех необходимых crl, возможность построения цепочки), т. к. в противном случае при попытке инициализации сессии будет получено сообщение об ошибке и работа плагина будет прервана.
    выполняется проверка соответствия значения поля CN владельца сертификата значению "Сrypto+ Download Service"

Внимание

Значение поля CN владельца сертификата, с которым работает плагин, должно быть равно Crypto+ Download Service. Указанное значение не может быть переопределено или изменено.
    выполняется проверка возможности подписания с помощью сертификата, определенного в настройках
    в случае ошибки - прекращение выполнения, администратору направляется уведомление
    выполняется функция удаления сессии загрузка реестра TSL (в зависимости от режима):
    в режиме "загрузка из реестра аккредитованных УЦ" – выполняется загрузка реестра TSL из сети Интернет в режиме "только обновление crl" – реестр TSL загружается из сетевого размещения (централизованного хранилища). В случае отсутствия в нем ранее загруженного реестра выполняется загрузка реестра TSL из Интернет в случае ошибки - прекращение выполнения, администратору направляется уведомление выполняется добавление в файл индекса реестров данных о версии реестра TSL
    выполняется добавление в файл индекса реестров данных о версии файла конфигурации проверки квалифицированной подписи, указанного администратором в настройках плагина если указаны конкретные реестровые номера УЦ, то обработка будет происходить только для них. выполняется обработка записей реестра TSL – для каждой записи УЦ со статусом аккредитации "действует" для каждой записи сертификата (ключа):
    выполняется извлечение сертификатов УЦ из реестра TSL выполняется загрузка CRL данного УЦ путем обращения по каждому url CDP, опубликованному в реестре TSL для данного УЦ сертификаты и CRL размещаются во временный каталог, в котором создается структура каталогов (краткие названия соответствующих УЦ из реестра TSL), в которые помещаются файлы сертификатов и CRL с именами вида "номер_сертификата. cer" и "идентификатор_ключа_издателя. crl" соответственно
    самоподписанные сертификаты подписываются сертификатом "Сrypto+ Download Service", определенным в настройках приложения
    данные о сертификатах и CRL сохраняются во вспомогательном реестре в случае ошибки загрузки CRL - в зависимости от настройки плагина:
    данные о CRL добавляются во вспомогательный реестр, не загружая файл CRL данные о CRL не добавляются во вспомогательный реестр добавить в свой реестр данные о реестре ГУЦ
    выполняется построчная обработка файлов-списков дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором в настройках плагина:
    выполняется загрузка сертификатов и CRL сертификаты и CRL размещаются во временный каталог, в котором создается каталог "Дополнительные УЦ", в которые помещаются файлы сертификатов и CRL с именами вида "номер_сертификата. cer" и "идентификатор_ключа_издателя. crl" соответственно
    самоподписанные сертификаты подписываются сертификатом "Сrypto+ Download Service", определенным в настройках приложения
    данные о сертификатах и CRL сохраняются в дополнительном разделе во вспомогательном реестре.
    инициализуется криптосессия с использованием сертификата, определенного "по умолчанию" в настройках плагина криптосервер выполняется проверка соответствия значения поля CN владельца сертификата значению "Сrypto+ Download Service" выполняется проверка возможности подписания с помощью сертификата, определенного в настройках
    в случае ошибки - прекращение выполнения, администратору направляется уведомление
    вспомогательный реестр подписывается ЭП с использованием сертификата, определенного "по умолчанию" в настройках плагина криптосервер
    в случае ошибки - прекращение выполнения, администратору направляется уведомление
    выполняется сохранение на определенный в настройках плагина сетевой ресурс по unc-пути:
    файла вспомогательного реестра – Registry. xml; файла ЭП вспомогательного реестра – Registry. xml. p7s; файла вспомогательного реестра - Registry.2.0.xml файла ЭП вспомогательного реестра - Registry.2.0.xml. p7s файла индекса реестров - RegistryIndex. xml файла реестра TSL – TSLExt.1.0.xml; файла конфигурации проверки квалифицированной подписи – CheckConfig. xml; файлов сертификатов и CRL в структуре каталогов; файлов подписей, сформированных для самоподписанных сертификатов.
    по завершении загрузки выполняется отправка письма администратору с указанием количества загруженных/незагруженных CRL, адресов незагруженных CRL, иных ошибках и предупреждениях

В некоторых случаях невозможно выполнить загрузку сертификатов, CRL, TSL при заданных корректных настройках. В журналах ПО присутствует ошибка вида:

ERROR DownloadPlugin. DownloadPlugin - Ошибка при загрузке реестра УЦ
. WebException: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. ---> System. Security. Authentication. AuthenticationException: The remote certificate is invalid according to the validation procedure.

В этом случае необходимо установить в хранилище Windows сертификат сайта  http://e-trust. gosuslugi. ru/CA/DownloadTSL? schemaVersion=0, а также все сертификаты цепочки.
Плагин диагностики и тестирования

В плагине реализованы следующие функции:

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9