Пример запроса: &ltsoapenv:Envelope xmlns:soapenv&quotschemas.xmlsoap.org/soap/envelope/&quot xmlns:cry&quothttp









ППО «Автоматизированная система Федерального казначейства (СУФД)»

НАСТРОЙКА И ИСПОЛЬЗОВАНИЕ КРИПТОГРАФИЧЕСКИХ ВЕБ-СЕРВИСОВ ДЛЯ КЛИЕНТОВ УНИФО НА БАЗЕ ППО «СУФД-ЭЦП»

Руководство по администрированию системы

Лист утверждения





Код документа: 54819512.09.01,05(02,07).13.001-1.4 4-ЛУ

















Утвержден
13 REF DocCode 1454819512.09.01,05(02,07).13.001-1.4 415-ЛУ


ППО «Автоматизированная система Федерального казначейства (СУФД)»

13 REF DocName 14НАСТРОЙКА И ИСПОЛЬЗОВАНИЕ КРИПТОГРАФИЧЕСКИХ ВЕБ-СЕРВИСОВ ДЛЯ КЛИЕНТОВ УНИФО НА БАЗЕ ППО «СУФД-ЭЦП»15

13 REF DocType 14Руководство по администрированию системы15





Код документа: 13 REF DocCode 1454819512.09.01,05(02,07).13.001-1.4 415



Листов: 17







Аннотация
Руководство по администрированию системы «Настройка и использование криптографических веб-сервисов для клиентов УНИФО на базе ППО „СУФД-ЭЦП”» создано для прикладного программного обеспечения «Система удаленного финансового документооборота» (ППО «АСФК (СУФД)»), обеспечивающего реализацию юридически значимого информационного обмена между подсистемами автоматизированной системы Федерального казначейства.
Документ соответствует 25.4.0 версии программного обеспечения.
СОДЕРЖАНИЕ
13 TOC \o "1-3" \h \z \t "OTR_Heading_4;4" 1413 LINK \l "_Toc449350864" 141. Введение 13 PAGEREF _Toc449350864 \h 1441515
13 LINK \l "_Toc449350865" 141.1. Область применения 13 PAGEREF _Toc449350865 \h 1441515
13 LINK \l "_Toc449350866" 141.2. Возможности системы 13 PAGEREF _Toc449350866 \h 1441515
13 LINK \l "_Toc449350867" 141.3. Требования к пользователям 13 PAGEREF _Toc449350867 \h 1441515
13 LINK \l "_Toc449350868" 141.4. Условные обозначения и сокращения 13 PAGEREF _Toc449350868 \h 1441515
13 LINK \l "_Toc449350869" 142. Назначение и условия применения 13 PAGEREF _Toc449350869 \h 1471515
13 LINK \l "_Toc449350870" 142.1. Виды деятельности, функции 13 PAGEREF _Toc449350870 \h 1471515
13 LINK \l "_Toc449350871" 142.2. Программные и аппаратные требования к системе 13 PAGEREF _Toc449350871 \h 1471515
13 LINK \l "_Toc449350872" 143. Подготовка к работе 13 PAGEREF _Toc449350872 \h 1481515
13 LINK \l "_Toc449350873" 143.1. Дополнительные настройки системы 13 PAGEREF _Toc449350873 \h 1481515
13 LINK \l "_Toc449350874" 144. Подсистема подписи данных (ППД) 13 PAGEREF _Toc449350874 \h 1491515
13 LINK \l "_Toc449350875" 144.1. Установка ППД 13 PAGEREF _Toc449350875 \h 1491515
13 LINK \l "_Toc449350876" 144.2. Запуск ППД 13 PAGEREF _Toc449350876 \h 1491515
13 LINK \l "_Toc449350877" 144.3. Настройка ППД 13 PAGEREF _Toc449350877 \h 1491515
13 LINK \l "_Toc449350878" 144.4. Проверка корректности работы 13 PAGEREF _Toc449350878 \h 14101515
13 LINK \l "_Toc449350879" 145. Методы работы ППД 13 PAGEREF _Toc449350879 \h 14111515
13 LINK \l "_Toc449350880" 145.1. Метод формирования ЭЦП (операция signXml) 13 PAGEREF _Toc449350880 \h 14111515
13 LINK \l "_Toc449350881" 145.2. Метод проверки ЭЦП (операция checkSignXml) 13 PAGEREF _Toc449350881 \h 14111515
13 LINK \l "_Toc449350882" 145.3. Метод доведения ЭЦП до УЭЦП (операция completeToAdvancedSignXml) 13 PAGEREF _Toc449350882 \h 14111515
13 LINK \l "_Toc449350883" 145.4. Метод проверки УЭЦП (операция checkAdvancedSignXml) 13 PAGEREF _Toc449350883 \h 14121515
13 LINK \l "_Toc449350884" 145.5. Метод формирования УЭЦП (операция advancedSignXml) 13 PAGEREF _Toc449350884 \h 14121515
13 LINK \l "_Toc449350885" 146. Аварийные ситуации 13 PAGEREF _Toc449350885 \h 14131515
13 LINK \l "_Toc449350886" 147. Рекомендации по освоению 13 PAGEREF _Toc449350886 \h 14141515
13 LINK \l "_Toc449350887" 148. Сообщения системному администратору 13 PAGEREF _Toc449350887 \h 14151515
13 LINK \l "_Toc449350888" 14ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ 13 PAGEREF _Toc449350888 \h 14171515
15Введение
Область применения
В документе рассматривается процесс настройки криптографических веб-сервисов на базе ППО «СУФД-ЭЦП».
Возможности системы
Раздел в рамках данного документа не предусмотрен.
Требования к пользователям
Пользователи, выполняющие работы по настройке криптографических веб-сервисов должны обладать администраторскими правами.
Условные обозначения и сокращения
Сокращения и условные обозначения, встречающиеся в данном документе, приведены в таблице 13 REF _Ref287003823 \h 14115.
13 SEQ Таблица \* ARABIC 14115. Условные обозначения и сокращения
№ п/п
Термин
Содержание


Java
Язык программирования и платформа создания приложений.


SOAP
Simple Object Access Protocol, Простой протокол доступа к объектам – протокол обмена структурированными сообщениями формата XML в распределённой вычислительной среде.


TSP
Time Stamp Protocol, Протокол Штампа времени криптографический протокол для подписи штампов используя сертификаты X.509 и инфраструктуру открытых ключей. Временной штамп это удостоверение подписавшей стороны что данные существовали до или в установленное время.


XML
Расширяемый язык разметки (eXtensible Markup Language). Стандарт на представление данных, ориентированный, в основном, на обмен информацией между программами. Предназначен для представления информации в структурированном виде.


АСФК
Автоматизированная система Федерального казначейства


Веб-сервис
Веб-служба, веб-сервис (англ. Web service) – программная система, идентифицируемая строкой, чьи общедоступные интерфейсы определены на языке XML, единица модульности при использовании сервис-ориентированной архитектуры приложения.


КриптоПро OCSP
Продукт ООО «Крипто-Про» для организации сервера OCSP и для встраивания функциональности проверки статусов сертификатов по протоколу OCSP в различные приложения.


КриптоПро TSP
Продукт ООО «Крипто-Про» для организации сервера штампов времени и для встраивания функциональности работы со штампами времени в различные приложения.


Крипто-провайдер
Библиотека программных интерфейсов для подписи и кодирования данных.


Объект
Объекты системы: документы, значения справочников, настройки и т.д.


ППО «АСФК (СУФД)»
Прикладное программное обеспечение «Система удаленного финансового документооборота», обеспечивающее реализацию юридически значимого информационного обмена между подсистемами автоматизированной системы Федерального казначейства.


Параметры
Данные полей документа, справочников и т.п.


ПКВС
Подсистема криптографических веб-сервисов Федерального казначейства.


ППД
Подсистема подписания документов Клиента.


СКЗИ
Средства криптографической защиты информации.


СМЭВ
Системы межведомственного электронного взаимодействия.


СУФД
Прикладное программное обеспечение «Система удаленного финансового документооборота», обеспечивающее реализацию юридически значимого инкапсулиронного обмена между подсистемами автоматизированной системы Федерального казначейства.


СУФД-ЭП
Здесь: модуль системы удаленного финансового документооборота, выполняющий ряд функций пользователей при работе с электронной подписью.


УНИФО
Системы учета начислений и фактов оплаты.


УЭП
Усовершенствованная электронная подпись. Обеспечивает юридическую значимость документооборота путем добавления к электронной подписи информации, необходимой для локальной проверки электронной подписи и валидности сертификата на момент подписи.


ЭП (Электронная подпись)
Информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.


ЭФ
Экранная форма – визуальная форма электронного документа в интерфейсе прикладного программного обеспечения

Элементы оформления
Кнопки экранных форм или окон, в тексте обозначаются следующим образом: «OK», «Выйти», «Отмена» и т.д. Кнопки, расположенные на панели инструментов, обозначаются следующим образом:  (Сохранить),  (Связи документа) и т.п.
Название пунктов меню, закладок, а также названия документов и справочников в тексте заключаются в кавычки. Например: справочник «КБК», пункт меню «О программе», закладка «Основная информация» и т.д.
Последовательный переход пользователя по пунктам меню представлен в тексте в виде названий выбираемых пунктов, разделенных косой чертой и заключенным в кавычки. Например: «Обработка/Выгрузка данных» (пользователь должен последовательно выбрать пункт меню «Обработка», затем в открывшемся подменю пункт «Выгрузка данных».
Название файлов выделяются в тексте следующим образом: setup.exe.
Сведения, которые указывают на особенности данного описания, оформлены в виде примечаний, начинающихся со слова «Примечание». Примечание может предшествовать целой главе, разделу, подразделу или следовать непосредственно за элементом, к которому оно относится.
Сведения, имеющие критический характер для работы системы или пользователя, оформлены в виде примечаний, которые начинаются со слова «Внимание!». Как правило, эта информация имеет предупреждающий характер.
Необходимый минимальный набор рекомендаций для понимания работы системы отражен в изображениях экранных форм.
Назначение и условия применения
Виды деятельности, функции
Подсистемы криптографических веб-сервисов реализованы с целью предоставить клиентам Системы межведомственного электронного взаимодействия (СМЭВ) и Системы учета начислений и фактов оплаты (УНИФО) единых средств обеспечения юридической значимости документооборота, единой инфраструктуры открытых ключей (Public key infrastructure – PKI).
Программные и аппаратные требования к системе
Для функционирования ППД должны выделяться вычислительные средства в следующей минимальной конфигурации: Pentium 4 3ГГц, 2 ГБ ОЗУ, 50 ГБ HDD. Требования могут быть уточнены в ходе опытной эксплуатации.
Если ППД не имеет доступа к авторизованным УУЦ ФК службам TSP и OCSP, то ему должен быть открыт доступ напрямую к машине ПКВС либо через СМЭВ.
Взаимодействие ППД и ПКВС осуществляет по протоколу SOAP. Между ППД и ИС клиентами УНИФО должна быть настроена маршрутизация.
Подготовка к работе
Дополнительные настройки системы
Перед установкой и настройкой веб-сервисов необходимо установить Java (JDK версии 1.6.0.13 или выше).
Подсистема подписи данных (ППД)
ППД предназначена для использования информационными системами Клиентов для формирования или проверки ЭЦП и/или УЭЦП XML-документов в соответствии со спецификацией XML-Dsig. УЭЦП соответствует формату, используемому в АСФК.
Взаимодействие информационных систем клиентов с ППД обеспечивается через предоставляемый подсистемой веб-сервис.
ППД инкапсулирует всё взаимодействие с криптопровайдером и ПКВС для формирования/проверки ЭЦП или УЭЦП.
ЭЦП доводится до УЭЦП в ПКВС через СМЭВ или локальную сеть (для информационной системы УНИФО, которая расположена в сети ФК вместе с ПКВС) либо средствами ППД (при наличии у него доступа к авторизованным УУЦ ФК службам TSP и OCSP).
Назначение:
формирование ЭЦП или УЭЦП (передается XML-документ, возвращается XML-документ с ЭЦП или УЭЦП);
локальная проверка ЭЦП или УЭЦП (передается XML-документ с ЭЦП или УЭЦП, возвращается результат проверки).
Создание и проверка ЭЦП XML-документа выполняются над XML, канонизированным в соответствии с алгоритмом «urn:xmldsig:transformation:v1.1», описанным в документе «Методические рекомендации по разработке веб-сервисов СМЭВ» (МинСвязи, 2011).
Установка ППД
Установка ППД осуществляется извлечением из архива ws-sign.zip, каталога ws-sign на целевой(ые) сервер(а). Архив ws-sign.zip находится в каталоге дистрибутива PPD.
Запуск ППД
Запуск ППД осуществляется через командный файл start.bat, который находится в каталоге ws-sign.
Настройка ППД
Для настройки ППД необходимо выполнить следующую последовательность действий:
Задать значение хоста и порта ППД в файле start.bat, который находится в каталоге ws-sign.
Пример:
SET JETTY_PORT=28080
SET JETTY_HOST=172.17.1.125
Задать значения параметров для настройки ППД в файле signWebService.properties который находится в каталоге ws-sign\etc:
Группа параметров «Настройки соединения с Крипто Сервером» необходима для определения хоста и порта криптосервера, к которому подключен ППД.
Пример:
cryptoServerConnectSettings.host = 172.17.1.125
cryptoServerConnectSettings.port = 14445
Группа параметров «Настройки соединения с Крипто Веб Сервисом» необходима для определения хоста и порта ПКВС, в случае есть значение параметра useCryptoWebService=true.
Пример:
cryptoWebService.host = 172.17.1.124
cryptoWebService.port = 18080
В параметре «Отпечаток ЕУС сертификата, с помощью которого будут формироваться ЭЦП» указывается отпечаток пользовательского сертификата, которым будет подписываться документ.
Пример:
fingerprint=8e fd 3c 25 f6 73 8b 1d b5 45 4b a1 5b c5 c4 c3 2e 80 87 47
Внимание! Сертификат, отпечаток которого указан в настройках, должен быть установлен на машине с криптосервером под тем же пользователем, под которым запущен криптосервер.
useCryptoWebService - значение параметра равно true, если указанный в настройках ППД криптосервер не имеет доступа к службам Удостоверяющего центра (службы OCSP, TSP). В таком случае для доведения ЭЦП документа до УЭЦП будет использоваться ПКВС. Значение параметра равно false, если указанный в настройках ППД криптосервер имеет доступ к авторизованным УУЦ ФК службам TSP и OCSP. В таком случае доведение ЭЦП документа до УЭЦП будет производиться средствами ППД, без участия ПКВС.
Проверка корректности работы
Чтобы убедиться, что веб-сервис правильно построил wsdl-описание необходимо ознакомиться с ним, перейдя по ссылке http:// 172.17.1.125:28080/ws-sign/signWebService?wsdl.
Методы работы ППД
В данном разделе описаны методы, реализованные в веб-сервисе.
Метод формирования ЭЦП (операция signXml)
Входные параметры: XML-документ, упакованный в base64Binary.
Результат: XML-документ с ЭЦП в соответствии со спецификацией XML-Dsig, упакованный в base64Binary.
Пример запроса:



...


Метод проверки ЭЦП (операция checkSignXml)
Входные параметры: XML-документ с ЭЦП в соответствии со спецификацией XML-Dsig, упакованный в base64Binary.
Результат: возвращает либо «valid», либо сообщение об ошибке.
Пример запроса:



...


Пример ответа:


valid


Метод доведения ЭЦП до УЭЦП (операция completeToAdvancedSignXml)
Вызывает метод completeToAdvancedSignXml веб-сервиса ПКВС, если значение параметра useCryptoWebService равно true, в противном случае – доведение до УЭЦП производится средствами ППД, без участия ПКВС.
Входные параметры: XML-документ с ЭЦП в соответствии со спецификацией XML-Dsig, упакованный в base64Binary.
Результат: XML-документ с УЭЦП в соответствии со спецификацией XML-Dsig, упакованный в base64Binary.
Метод проверки УЭЦП (операция checkAdvancedSignXml)
Входные параметры: XML-документ с УЭЦП в соответствии со спецификацией XML-Dsig, упакованный в base64Binary.
Результат: возвращает либо «valid», либо сообщение об ошибке.
Метод формирования УЭЦП (операция advancedSignXml)
Вызывает метод completeToAdvancedSignXml веб-сервиса ПКВС, если значение параметра useCryptoWebService равно true, в противном случае – доведение до УЭЦП производится средствами ППД, без участия ПКВС.
Входные параметры: XML-документ, упакованный в base64Binary.
Результат: XML-документ с УЭЦП в соответствии со спецификацией XML-Dsig, упакованный в base64Binary.
Аварийные ситуации
Раздел в рамках данного документа не предусмотрен.
Рекомендации по освоению
Раздел в рамках данного документа не предусмотрен.
Сообщения системному администратору
Раздел в рамках данного документа не предусмотрен.
СОСТАВИЛИ
Наименование организации, предприятия
Должность исполнителя
Фамилия, имя, отчество
Подпись
Дата

OOO «ОТР2000»
Руководитель группы
Алексеев И.И.

04.03.2011























































СОГЛАСОВАНО
Наименование организации, предприятия
Должность исполнителя
Фамилия, имя, отчество
Подпись
Дата






























































ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
№ версии док-та
Дата изменения
Автор изменений
Изменения

1.0
04.03.2011
Алексеев И.И.
В соответствии с SUFD-17125 (SUFD-20276) создана первоначальная версия документа.

1.1
14.03.2011
Алексеев И.И.
Документ доработан согласно замечаниям.

1.2
27.03.2011
Борисов С.А.
Реализация алгоритма канонизации в соответствии с документом «Методические рекомендации по разработке веб-сервисов СМЭВ» (МинСвязи, 2011). Редакторские правки.

1.3
19.05.2011
Переварюха Е.Н.
Устранение замечаний ФК.

1.4
14.11.2016
Тяпкина О. В.
Внесены редакционные правки, предусмотренные государственным контрактом № УФТ-57/2016 от 14.11.2016.


















Москва
2016

Москва
2015





Москва
2015

Наименование ПС:
ППО «АСФК (СУФД)»

Код документа:
13 REF DocCode 1454819512.09.01,05(02,07).13.001-1.4 415
Стр. 13 PAGE 141715





Наименование ПС:
ППО «АСФК (СУФД)»

Код документа:
13 REF DocCode 1454819512.09.01,05(02,07).13.001-1.4 415
Стр. 13 PAGE 14415





Заголовок 1,ASFK_1Заголовок 2,ASFK_2Заголовок 3,ASFK_3Заголовок 4,ASFK_4Заголовок 5,ASFK_5 Заголовок 6 Заголовок 7 Заголовок 8 Заголовок 915

Приложенные файлы

  • doc 7721645
    Размер файла: 225 kB Загрузок: 0

Добавить комментарий