ARTA Synergy поддерживает:
контейнеры ключей java-криптопровайдера
IOLA
;
контейнеры ключей с типом хранилища ключей «файловая
система» (PKCS12) java-криптопровайдера
Kalkan Crypt версия 1.0
.
К ЭЦП документа Synergy введены следующие требования:
Подпись хранится отдельно от подписываемых данных
(detached signature
).
Подпись документа является краткосрочной
(short term signature
) — верификация
подписи имеет смысл только в период действия сертификата
подписывающего.
Подпись является независимой (параллельной), т. е. несколько подписей от разных людей на одном документе никак не влияют друг на друга ни при формировании, ни при проверке.
Дата и время создания подписи (берется с сервера Synergy) должны входить в подписываемые данные.
При реализации процесса подписи документа с помощью ЭЦП для удобства пользователя, а также для того, чтобы иметь возможность предотвратить ошибки (например, подписывание чужим ключом), до непосредственного создания подписи пользователю будут отображаться следующие данные о сертификате:
Данные о получателе сертификата: имя
(Common Name
) и организация
(Organisation
).
Данные об учреждении, выдавшем сертификат: название
(Common Name
), организация
(Organization
), местонахождение
(Location
) и страна
(Country
).
Данные о сертификате: формат сертификата
(Format
), дата его создания
(Creation Date
), дата окончания срока
действия (Expiration Date
), а также статус
по действительности
(действителен или просрочен
);
Данные об алгоритме, которым созданы ключи
(Algorithm
).
Полное описание полей см. в [RFC 5280]. Также при подписании на стороне сервера Synergy сертификат, которым будет подписан документ, подвергается следующим проверкам:
Проверка действительности сертификационного пути - подтверждает действительность всех сертификатов, задействованных при подписании сертификата.
Проверка срока действия сертификата.
Проверка статуса сертификата (действителен или отозван) — по методу проверки с помощью CRL, а также с помощью OSCP.
Если сертификат не проходит хотя бы одну из указанных проверок, то подпись документа таким сертификатом невозможна.
Доверенные корневые сертификаты, которые используются при проверке
ЭЦП, задаются в конфигурационном файле
configuration/arta/security/digital-signature.xml
.
После корректной настройки файла для пользователя будет доступна
возможность подписывать документы указанной ЭЦП.
Сохранить следующие корневые сертификаты (например, в папке /etc):
Примечание
Во избежание возникновения проблем с правами на папку, в которой находятся корневые сертификаты, не рекомендуется хранить ее в директории /root.
Настроить конфигурационный файл ЭЦП
(/opt/synergy/jboss/standalone/configuration/arta/security/digital-signature.xml
):
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <enable>true</enable> <!-- Блок, описывающий доверенный сертификационный центр --> <!-- Таких блоков может быть несколько --> <ca> <!-- Описание CA --> <description>Корневой сертификат НУЦ РК</description> <!-- Поддерживаемые схемы URI: file и http --> <!-- Путь до файла с корневым сертификатом --> <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri> <!-- Основной список CRL --> <algorithm>SHA1WithRSA</algorithm> <!-- Поддерживаемые ARTA Synergy алгоритмы: SHA1withRSA MD5WithRSA SHA256withRSA SHA512withRSA ECGOST3410 ECGOST34310 --> <base-crl> <!-- Включить использование основного CRL --> <enable>true</enable> <!-- Путь до основного CRL --> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri> <!-- Период обновления основного CRL, в минутах Значение по умолчанию - 1 неделя --> <period>10080</period> </base-crl> <!-- Список Delta CRL --> <delta-crl> <!-- Включить использование Delta CRL --> <enable>true</enable> <!-- Путь до Delta CRL --> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri> <!-- Период обновления основного CRL, в минутах --> <period>60</period> </delta-crl> </ca> </configuration>
В случае использования нескольких сертификатов рабочий конфигурационный файл может выглядеть так:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <enable>true</enable> <ca> <description>RSA</description> <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri> <algorithm>SHA1WithRSA</algorithm> <base-crl> <enable>true</enable> <uri>file:///etc/ssl/certs/synergy/nca_rsa.crl</uri> <period>10080</period> </base-crl> <delta-crl> <enable>true</enable> <uri>file:///etc/ssl/certs/synergy/nca_d_rsa.crl</uri> <period>60</period> </delta-crl> </ca> <ca> <description>GOST</description> <certificate-uri>file:///etc/ssl/certs/synergy/nca_gost.crt</certificate-uri> <algorithm>ECGOST3410</algorithm> <base-crl> <enable>true</enable> <uri>file:///etc/ssl/certs/synergy/nca_gost.crt</uri> <period>10080</period> </base-crl> <delta-crl> <enable>true</enable> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri> <period>60</period> </delta-crl> </ca> <ca> <description>GOST</description> <certificate-uri>file:///etc/ssl/certs/synergy/nca_gost.crt</certificate-uri> <algorithm>ECGOST34310</algorithm> <base-crl> <enable>true</enable> <uri>file:///etc/ssl/certs/synergy/nca_gost.crt</uri> <period>10080</period> </base-crl> <delta-crl> <enable>true</enable> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri> <period>60</period> </delta-crl> </ca> </ca> <ca> <description>GOST-2015-256</description> <certificate-uri>file:///etc/ssl/certs/synergy/nca_gost_2022.cer</certificate-uri> <algorithm>ECGOST3410-2015</algorithm> <base-crl> <enable>false</enable> <uri>file:///etc/ssl/certs/synergy/nca_gost.crt</uri> <period>10080</period> </base-crl> <delta-crl> <enable>false</enable> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri> <period>60</period> </delta-crl> </ca> </configuration>
По умолчанию при подписании ЭЦП в столбце «Имя,
организация на сертификате» будет отображаться
только имя и организация пользователя, подписавшего
документ. Набор данных полей можно настроить, добавив в
конфигурационный файл параметр
configuration → ca → description-cert
.
Данный параметр может содержать следующие значения:
ALGORITHM
- алгоритм, с которым
созданы ключи;
FORMAT
- формат сертификата;
SERIAL_NUMBER
- серийный номер
сертификата;
KEY_CN
- основное имя;
KEY_O
- организация;
KEY_OU
- подразделение;
KEY_L
- местоположение;
KEY_ST
- штат;
KEY_C
- страна;
KEY_EMAILADDRESS
- электронная
почта;
KEY_GIVENNAME
- отчество;
KEY_SURNAME
- фамилия;
KEY_SERIALNUMBER
- индивидуальный
идентификационный номер (ИИН);
CERT
- сертификат, закодированный в
Base64.
Формат записи параметра регистронезависим. В случае, если указан неверный (несуществующий) параметр, он не будет отображаться в таблице проверки подписей. Символы, введенные в параметре description-cert вне тегов будут отображаться в качестве подстановки.
Перезапустить jboss
.
Таким образом, для отображения имени, организации и электронной почты пользователя, подписавшего документ, необходимо настроить конфигурационный файл следующим образом:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <enable>true</enable> <!-- Блок, описывающий доверенный сертификационный центр --> <!-- Таких блоков может быть несколько --> <ca> <!-- Описание CA --> <description>Корневой сертификат НУЦ РК</description> <!-- Поддерживаемые схемы URI: file и http --> <!-- Путь до файла с корневым сертификатом --> <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri> <!-- Отображаемые поля при подписании --> <description-cert>${KEY_CN}, ${KEY_O}, ${KEY_EMAILADDRESS}</description-cert> <!-- Основной список CRL --> <algorithm>SHA256withRSA</algorithm> <!-- Поддерживаемые ARTA Synergy алгоритмы: SHA1withRSA MD5WithRSA SHA256withRSA SHA512withRSA ECGOST3410 ECGOST34310 --> <base-crl> <!-- Включить использование основного CRL --> <enable>true</enable> <!-- Путь до основного CRL --> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri> <!-- Период обновления основного CRL, в минутах Значение по умолчанию - 1 неделя --> <period>10080</period> </base-crl> <!-- Список Delta CRL --> <delta-crl> <!-- Включить использование Delta CRL --> <enable>true</enable> <!-- Путь до Delta CRL --> <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri> <!-- Период обновления основного CRL, в минутах --> <period>60</period> </delta-crl> </ca> </configuration>
Если пользователи, которым необходимо подписывать ЭЦП,
работают с системой GNU/Linux
, то для них в
файле /etc/hosts
необходимо добавить имя
сервера и его IP
-адрес:
127.0.0.1 synergy.arta.pro
В случае работы с MS Windows
этого делать
не требуется, настройка прописывается автоматически.
Для работы с ЭЦП в основном приложении необходимо скачать и установить пользовательский агент Synergy. Он располагается в Справке (раздел «О программе»).
Запуск Synergy Agent
:
для GNU/Linux
- вызвать следующую
команду в терминале:
`java -jar ./SynergyAgent.jar`
для MS Windows
- открыть приложение с
ярлыка, созданного на Рабочем столе.
При возникновений проблем с Synergy Agent
,
в новой вкладке браузера необходимо ввести:
https://localhost:8389/?TYPE=INFO
Возможные причины проблем:
Невозможно зайти в клиент - необходимо изучить код ошибки.
Не найден хост - проблема с hosts
.
Отображается сообщение о том, что порт не доступен - проблемы с брандмауром.
Отображается сообщение о том, что страница не найдена - проблема с настройкой прокси-сервера.
Проблемы с прокси - необходимо добавить в исключения
127.0.0.1
и
local.arta.pro
.
Synergy Agent
не установлен, версия
Synergy
может быть не совместима с
текущей версией Synergy Agent
-
необходимо установить клиент по ссылке из Web-приложения.