ARTA Synergy поддерживает:
контейнеры ключей java-криптопровайдера IOLA;
контейнеры ключей с типом хранилища ключей “файловая система”
(PKCS12) java-криптопровайдера Kalkan Crypt версия
1.0.
К ЭЦП документа Synergy введены следующие требования:
Подпись хранится отдельно от подписываемых данных (detached signature).
Подпись документа является краткосрочной (short
term signature) — верификация подписи имеет смысл только в период
действия сертификата подписывающего.
Подпись является независимой (параллельной), т. е. несколько подписей от разных людей на одном документе никак не влияют друг на друга ни при формировании, ни при проверке.
Дата и время создания подписи (берется с сервера Synergy) должны входить в подписываемые данные.
При реализации процесса подписи документа с помощью ЭЦП для удобства пользователя, а также для того, чтобы иметь возможность предотвратить ошибки (например, подписывание чужим ключом), до непосредственного создания подписи пользователю будут отображаться следующие данные о сертификате:
Данные о получателе сертификата: имя (Common
Name) и организация (Organisation).
Данные об учреждении, выдавшем сертификат: название (Common Name), организация (Organization), местонахождение (Location) и страна (Country).
Данные о сертификате: формат сертификата (Format), дата его создания (Creation Date), дата окончания срока действия
(Expiration Date), а также статус по
действительности (действителен или
просрочен);
Данные об алгоритме, которым созданы ключи (Algorithm).
Полное описание полей см. в [RFC 5280]. Также при подписании на стороне сервера Synergy сертификат, которым будет подписан документ, подвергается следующим проверкам:
Проверка действительности сертификационного пути - подтверждает действительность всех сертификатов, задействованных при подписании сертификата.
Проверка срока действия сертификата.
Проверка статуса сертификата (действителен или отозван) — по методу проверки с помощью CRL, а также с помощью OSCP.
Если сертификат не проходит хотя бы одну из указанных проверок, то подпись документа таким сертификатом невозможна.
Доверенные корневые сертификаты, которые используются при проверке ЭЦП,
задаются в конфигурационном файле configuration/arta/security/digital-signature.xml.
После корректной настройки файла для пользователя будет доступна возможность
подписывать документы указанной ЭЦП.
Настройка конфигурационного файла
Сохранить следующие корневые сертификаты (например, в папке /etc):
А также:
Примечание
Во избежание возникновения проблем с правами на папку, в которой находятся корневые сертификаты, не рекомендуется хранить ее в директории /root.
Настроить конфигурационный файл ЭЦП (/opt/synergy/jboss/standalone/configuration/arta/security/digital-signature.xml):
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
>
<enable>false</enable>
<!-- Блок, описывающий доверенный сертификационный центр -->
<!-- Таких блоков может быть несколько -->
<ca>
<!-- Описание CA -->
<description>Корневой сертификат НУЦ РК</description>
<!-- Поддерживаемые схемы URI: file и http -->
<!-- Путь до файла с корневым сертификатом -->
<certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
<!-- Основной список CRL -->
<algorithm>SHA1WithRSA</algorithm>
<!-- Поддерживаемые ARTA Synergy алгоритмы:
SHA1withRSA
MD5WithRSA
SHA256withRSA
SHA512withRSA
ECGOST3410
ECGOST34310
-->
<base-crl>
<!-- Включить использование основного CRL -->
<enable>false</enable>
<!-- Путь до основного CRL -->
<uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri>
<!-- Период обновления основного CRL, в минутах
Значение по умолчанию - 1 неделя -->
<period>10080</period>
</base-crl>
<!-- Список Delta CRL -->
<delta-crl>
<!-- Включить использование Delta CRL -->
<enable>false</enable>
<!-- Путь до Delta CRL -->
<uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
<!-- Период обновления основного CRL, в минутах -->
<period>60</period>
</delta-crl>
</ca>
</configuration>
По умолчанию при подписании ЭЦП в столбце “Имя, организация на
сертификате” будет отображаться только имя и организация
пользователя, подписавшего документ. Набор данных полей можно настроить,
добавив в конфигурационный файл параметр configuration → ca → description-cert. Данный
параметр может содержать следующие значения:
ALGORITHM - алгоритм, с которым созданы
ключи;
FORMAT - формат сертификата;
SERIAL_NUMBER - серийный номер
сертификата;
KEY_CN - основное имя;
KEY_O - организация;
KEY_OU - подразделение;
KEY_L - местоположение;
KEY_ST - штат;
KEY_C - страна;
KEY_EMAILADDRESS - электронная почта;
KEY_GIVENNAME - отчество;
KEY_SURNAME - фамилия;
KEY_SERIALNUMBER - индивидуальный
идентификационный номер (ИИН);
CERT - сертификат, закодированный в
Base64.
Формат записи параметра регистронезависим. В случае, если указан неверный (несуществующий) параметр, он не будет отображаться в таблице проверки подписей. Символы, введенные в параметре description-cert вне тегов будут отображаться в качестве подстановки.
Таким образом, для отображения имени, организации и электронной почты пользователя, подписавшего документ, необходимо настроить конфигурационный файл следующим образом:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
>
<enable>false</enable>
<!-- Блок, описывающий доверенный сертификационный центр -->
<!-- Таких блоков может быть несколько -->
<ca>
<!-- Описание CA -->
<description>Корневой сертификат НУЦ РК</description>
<!-- Поддерживаемые схемы URI: file и http -->
<!-- Путь до файла с корневым сертификатом -->
<certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
<!-- Отображаемые поля при подписании -->
<description-cert>${KEY_CN}, ${KEY_O}, ${KEY_EMAILADDRESS}</description-cert>
<!-- Основной список CRL -->
<algorithm>SHA1WithRSA</algorithm>
<!-- Поддерживаемые ARTA Synergy алгоритмы:
SHA1withRSA
MD5WithRSA
SHA256withRSA
SHA512withRSA
ECGOST3410
ECGOST34310
-->
<base-crl>
<!-- Включить использование основного CRL -->
<enable>false</enable>
<!-- Путь до основного CRL -->
<uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri>
<!-- Период обновления основного CRL, в минутах
Значение по умолчанию - 1 неделя -->
<period>10080</period>
</base-crl>
<!-- Список Delta CRL -->
<delta-crl>
<!-- Включить использование Delta CRL -->
<enable>false</enable>
<!-- Путь до Delta CRL -->
<uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
<!-- Период обновления основного CRL, в минутах -->
<period>60</period>
</delta-crl>
</ca>
</configuration>
Настройка при работе по https
Если пользователи, которым необходимо подписывать ЭЦП, работают с системой
GNU/Linux, то для них в файле /etc/hosts необходимо добавить имя сервера и его
IP-адрес:
127.0.0.1 synergy.arta.pro
В случае работы с MS Windows этого делать
не требуется, настройка прописывается автоматически.
Пользовательский агент Synergy
Для работы с ЭЦП в основном приложении необходимо скачать и установить пользовательский агент Synergy. Он располагается в Справке (раздел “О программе”).
Запуск Synergy Agent:
для GNU/Linux - вызвать следующую команду
в терминале:
java -jar ./SynergyAgent.jar
для MS Windows - открыть приложение с
ярлыка, созданного на Рабочем столе.
При возникновений проблем с Synergy
Agent, в новой вкладке браузера необходимо ввести:
https://localhost:8389/?TYPE=INFO
Возможные причины проблем:
Невозможно зайти в клиент - необходимо изучить код ошибки.
Не найден хост - проблема с hosts.
Отображается сообщение о том, что порт не доступен - проблемы с брандмауром.
Отображается сообщение о том, что страница не найдена - проблема с настройкой прокси-сервера.
Проблемы с прокси - необходимо добавить в исключения 127.0.0.1 и local.arta.pro.
Synergy Agent не установлен, версия
Synergy может быть не совместима с
текущей версией Synergy Agent -
необходимо установить клиент по ссылке из Web-приложения.
Дополнительная литература