Чтобы использовать ГОСТ-сертификаты для подписания на сервере и шифрования документов на локальном компьютере с развернутой системой Directum RX:

1.Активируйте лицензию на использование КриптоПРО CSP, если это еще не сделано.

2.Установите закрытый ключ сертификата с расширением *.pfx в контейнерах с сервисами Directum RX. Для установки используется встроенная утилита cpconfig.

3.Проверьте, что установлен открытый ключ ГОСТ-сертификата с расширением *.cer или *.crt. Он сохраняется в личное хранилище пользователя, от имени которого развернуты сервисы. Для установки используйте утилиту certificate-tool.

ПРИМЕЧАНИЕ. Активировать лицензию и установить закрытый ключ сертификата достаточно в одном из контейнеров на локальном компьютере. В остальные контейнеры на этом компьютере они установятся автоматически.

Просмотр и активация лицензии КриптоПро CSP

Для работы с ГОСТ-сертификатами требуется программа КриптоПро CSP. При развертывании Directum RX эта программа автоматически устанавливается в контейнеры сервисов: веб-сервер (SungeroWebServer), сервис асинхронных событий (SungeroWorker), сервисы обработки задачи и заданий (WorkflowBlockService), сервис интеграции (IntegrationService), сервис хранилищ (StorageService), сервис ключей (KeyDerivationService). По умолчанию используется триальная версия.

1.Проверьте информацию о лицензии на КриптоПро CSP. Для этого выполните команду:

./do.sh <имя_контейнера> execute 'cpconfig -license -view'

Если используется триальная версия, то для возможности подписания и шифрования приобретите лицензию.

2.Активируйте лицензию. Для этого выполните команду:

./do.sh <имя_контейнера> execute 'cpconfig -license -set <лицензионный_ключ>'

ПРИМЕЧАНИЕ. Команду достаточно выполнить только для одного контейнера с сервисом. Например, укажите имя контейнера с веб-сервером.

3.Перезапустите сервисы. Для этого выполните команду:

./do.sh all up

В результате лицензия применяется сразу ко всем контейнерам с сервисами, развернутыми на текущем узле.

Просмотр и установка сертификатов

Для установки сертификата необходимо использовать закрытый ключ в формате PFX.

1.Перед установкой сертификата скопируйте его в папку для обмена данными. Это связано с тем, что контейнеры с сервисами должны иметь доступ к файлам, содержащим закрытые ключи, которые требуется установить.

Путь до папки задается в конфигурационном файле config.yml в секции variables в переменной volume_dir. Эта настройка определяет путь, к которому имеет доступ локальный компьютер и контейнеры с запущенными сервисами Directum RX.

Пример настройки

Допустим, что файлы, содержащие сертификаты с закрытыми ключами, располагаются в каталоге /home/user/certs, тогда настройка имеет вид:

variables:

        volume_dir:
        -  '/home/user/certs:/mnt/certs'

В результате все файлы, помещенные на локальном компьютере в папку /home/user/certs становятся доступны в контейнере в папке /mnt/certs.

2.Установите закрытый ключ сертификата:

./do.sh <имя_контейнера> execute 'certmgr -inst -file /mnt/certs/<имя_файла_сертификата> -pfx -store uMy -silent -keep_exportable -pin <пароль_от_сертификата>

ПРИМЕЧАНИЕ. Команду достаточно выполнить только для одного контейнера с сервисом. Например, укажите имя контейнера с веб-сервером.

При выполнении этой команды устанавливается вся цепочка сертификатов: корневые и промежуточные. По умолчанию сертификат устанавливается в личное хранилище (uMy).

3.Перезапустите сервисы. Для этого выполните команду:

./do.sh all up

В результате закрытый ключ сертификата устанавливается во все контейнеры с сервисами, развернутыми на текущем узле.

4.Проверьте, что установка прошла успешно и сертификаты добавились в хранилища.

Чтобы посмотреть список установленных сертификатов, выполните команду:

./do.sh <имя_контейнера> execute 'certmgr -list'

Чтобы посмотреть содержимое хранилищ корневых и промежуточных сертификатов, выполните команду:

./do.sh <имя_контейнера> execute 'certmgr -list -store uRoot'
./do.sh <имя_контейнера> execute 'certmgr -list -store uCa'

© Компания Directum, 2024