Сервис обслуживания ЭП

Сервис обслуживания ЭП — компонент модуля Базовые объекты. Сервис указывает в журнале подписей Web-клиента актуальный статус подписи, тип и дату окончания срока действия сертификата. Сервис обслуживания ЭП может работать в сочетании с Криптосервисом — Docker-контейнером, выполняющим функции обслуживания ЭП.

Для использования криптосервиса ЭП требуется Docker актуальной версии и опция лицензии Docsvision Сервис обслуживания электронной подписи (только для добавления архивного штампа времени). Криптосервис может быть получен из общего реестра образов Docker Hub — docsvision/cryptoservice или реестра образов Docsvision — packages.docsvision.com/cryptoservice.

Функциональные возможности сервисов

Сервис обслуживания ЭП — расширение, входящее в стандартную поставку модуля Базовые объекты, не следует путать его с Криптосервисом. Криптосервис поставляется и настраивается отдельно.
Назначение сервиса обслуживания ЭП:

  • Если срок действия сертификата не истёк, Сервис обслуживания ЭП указывает в журнале подписей Web-клиента актуальный статус подписи, её тип и дату окончания срока действия сертификата, даёт возможность просматривать дополнительную информацию о подписи в журнале подписей Web-клиента.

  • Функциональность Сервиса обслуживания ЭП может быть дополнена отдельным компонентом — Криптосервисом.

Криптосервис дополняет функции сервиса по обслуживанию следующими возможностями:

Требования для использования Криптосервиса

Для использования криптосервиса потребуется:

  • Модуль Служба фоновых операций 5.5.2 и выше.

  • Docker актуальной версии, если криптосервис планируется разворачивать в контейнере. Криптосервис может быть получен из общего реестра образов Docker Hub — docsvision/cryptoservice или реестра образов Docsvision — packages.docsvision.com/cryptoservice.

  • Опция лицензии Docsvision Сервис обслуживания электронной подписи.

  • Из-за использования библиотеки tspcom.dll Криптосервис требует быть развернут минимум в 32-битном процессе Службы рабочих процессов.

  • Сборки, входящие в состав Java CSP версии 5.0.45559, и лицензия на право использования ПО "КриптоПро Java CSP" на одном сервере.

  • Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 и выше на сервере.

Установка и запуск Криптосервиса

Криптосервис может быть установлен и развёрнут двумя способами:

Установка с помощью Docker

  1. Получите сборки КриптоПро Java CSP необходимой версии и поместите их в локальный каталог хоста ./java-csp-5.0.45559-A-b34f3a2f.

  2. Смонтируйте эту папку в каталог Docker-контейнера /app/BOOT-INF/lib/java-csp и запустите контейнер:

    docker run -d -p 8100:8094 -v ./java-csp-5.0.45559-A-b34f3a2f:/app/BOOT-INF/lib/java-csp packages.docsvision.com/cryptoservice
 (1)
    1 Если используется Docker Hub, замените packages.docsvision.com/cryptoservice на docsvision/cryptoservice.

    При запуске контейнера всё содержимое папки будет импортировано в хранилище.

    Настройки криптосервиса задаются в командной строке. При запуске контейнера необходимо связать порт хоста с портом контейнера, например, -p 8100:8094. В примере 8100 — порт хоста, 8094 — порт контейнера. Для работы функций проверки и формирования подписи сервер Docsvision должен подключаться к контейнеру через порт хоста. Адрес Криптосервиса указывается в реестре, см. подробности ниже.

По умолчанию Криптосервис использует TSP-службу с адресом http://cryptopro.ru/tsp/tsp.srf. При необходимости адрес используемой TSP-службы можно переопределить с помощью переменной окружения TSP_SERVICE_ADDRESS. Ниже приведён пример переопределения адреса TSP-сервиса:

$ docker run -d -p 8100:8094 -e TSP_SERVICE_ADDRESS=http://testca2012.cryptopro.ru/tsp/tsp.srf packages.docsvision.com/cryptoservice -v ./java-csp-5.0.45559-A-b34f3a2f:/app/BOOT-INF/lib/java-csp

Контейнер поставляется в комплекте со следующими сертификатами:

При необходимости использования дополнительных сертификатов выполните одну из следующих настроек:

  • Укажите путь к папке сертификатов:

    1. Смонтируйте сертификаты и сборки КриптоПро Java CSP необходимой версии в соответствующие каталоги Docker-контейнера и запустите контейнер:

      docker run -d -p 8100:8094 -v ./java-csp-5.0.45559-A-b34f3a2f:/app/BOOT-INF/lib/java-csp -v ./Cert:/var/cryptoservice/cacerts packages.docsvision.com/cryptoservice (1)
      1 Если используется Docker Hub, замените packages.docsvision.com/cryptoservice на docsvision/cryptoservice.

      При запуске контейнера всё содержимое папки будет импортировано в хранилище.

  • Заново соберите образ:

    1. Создайте Dockerfile. Если используется Docker Hub, замените packages.docsvision.com/cryptoservice на docsvision/cryptoservice:

      FROM packages.docsvision.com/cryptoservice

COPY ./java-csp-5.0.45559-A-b34f3a2f/ /app/BOOT-INF/lib/java-csp/ (1)
COPY ./your/cacerts/ /var/cryptoservice/cacerts/ (2)
      1 Смонтируйте сборки КриптоПро Java CSP необходимой версии.
      2 Смонтируйте сертификаты.

    2. Соберите собственный образ:

      $ docker build . -t cryptoservice

    3. Запустите контейнер:

      $ docker run -d -p 8100:8094 cryptoservice

      События работы сервиса записываются в журнал Криптосервиса. Ознакомиться с журналом можно, имея идентификатор контейнера:

      sudo docker ps (1)
sudo docker logs идентификатор-контейнера (2)
      1 Узнать идентификатор контейнера.
      2 Посмотреть журнал Криптосервиса.

Установка с помощью пакета установки

Поддерживается как установка на сервер Docsvision, так и машину без Docsvision.

  • При установке на сервер Docsvision параметр ComplexSignatureServiceAddress прописывается в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\DocsVision\BackOffice\5.5\Server\Extension со значением по умолчанию ConnectAddress=http://server.domain.com:8094/cryptoservice/api/v1.

  • При установке на машину без Docsvision параметр автоматически не добавляется в реестр, его нужно указать на сервере Docsvision самостоятельно.

    1. Запустите Docsvision CryptoService.msi и выполните последовательно шаги мастера установки:

      Запуск мастера установки Криптосервиса
      Рисунок 1. Запуск мастера установки Криптосервиса

    2. Примите условия лицензионного соглашения для продолжения установки.

      Условия лицензионного соглашения
      Рисунок 2. Условия лицензионного соглашения

    3. Если требуется, измените каталог установки Криптосервиса.

      Каталог установки компонентов Криптосервиса
      Рисунок 3. Каталог установки компонентов Криптосервиса

    4. В следующем окне нажмите Установить и дождитесь завершения установки.

      Завершение установки
      Рисунок 4. Завершение установки

    5. Дождитесь завершения установки, нажмите Готово. Запустите службу Docsvision CryptoService и выполните необходимые настройки для работы Криптосервиса, см. подробнее "Настройки Криптосервиса".

    6. После установки Криптосервиса его нужно сконфигурировать. Конфигурация после установки с помощью инсталлятора предполагает два альтернативных варианта:

      1. ЛИБО: Откройте файл C:\Program Files (x86)\Docsvision\CryptoService\appsettings.json и укажите следующие параметры:

        {
  "CryptoService": {
    "timestampservice.name": "http://cryptopro.ru/tsp/tsp.srf", (1)
    "logging.file.name": "C:\\ProgramData\\Docsvision\\CryptoService\\CryptoService.log" (2)
  },
  "Java": [
    "-Dloader.path=C:\\Program Files (x86)\\Docsvision\\CryptoService\\jar\\BOOT-INF\\lib\\java-csp-5.0.45559-A-b34f3a2f" (3)
  ]
}
        1 timestampservice.name — адрес TSP сервиса.
        2 logging.file.name — путь к файлу журнала.
        3 Java — папка, содержащая сборки Java CSP необходимой версии.

      2. ЛИБО: Скопируйте Java CSP необходимой версии в C:\Program Files (x86)\Docsvision\CryptoService\jar\BOOT-INF\lib.

Настройки Криптосервиса для модулей Платформа 5.5.5 и Служба фоновых операций 5.5.2

  1. После установки Криптосервиса перейдите на сервере Docsvision в ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\DocsVision\BackOffice\5.5\Server\Extension.

  2. В указанной ветке создайте параметр ComplexSignatureServiceAddress со строковым значением — адресом Криптосервиса.

    Например, так: параметр ComplexSignatureServiceAddress со значением ConnectAddress=http://server.domain.com:8094/cryptoservice/api/v1.

  3. Зайдите в Консоль управления и создайте процесс Службы фоновых операций с типом конфигурации Обслуживание ЭП.

    Сервис обслуживания ЭП должен запускаться только в одном экземпляре рабочего процесса Службы фоновых операций.

Улучшение подписи с сертификатом без адреса OCSP сервиса

При улучшении подписи, созданной с помощью сертификата без адреса OCSP сервиса, могут возникать ошибки вида: The signer certificate <…​> must have OCSP evidence but it doesn’t contain any OCSP reference. OCSP evidence is not created.

Исправить ситуацию можно, если известен адрес OCSP сервиса, выдавшего сертификат.

Требования к сертификату:

  • Сертификат, которым выполнялась подпись, должен быть доверенным. Доверенный сертификат — это сертификат, у которого корневой и промежуточные сертификаты добавлены в доверенные в образе Крипто-сервиса.

  • Сертификат OCSP сервиса (для подписания ответов сервиса) должен быть доверенным. Сертификат с большой вероятностью будет недоверенным в случае, если используется неквалифицированная электронная подпись (НЭП).

  • Сертификат OCSP сервиса должен быть выпущен тем же УЦ, что и сертификат, которым выполнялась подпись (поле Issuer в сертификатах должно совпадать). Иными словами, нужно использовать OCSP сервис того же УЦ, который выпустил сертификат, которым выполнялась подпись. Только данный УЦ может контролировать статус отзыва сертификата.

  • Сертификат OCSP сервиса можно уточнить в УЦ.

  • Сертификат TSP сервиса также должен быть доверенным.

  • Получить сертификат TSP сервиса можно также через техподдержку компании, которая предоставляет сервис, либо через утилиту CryptExpert.

Когда адрес сервиса известен, необходимо в файле настроек криптосервиса /etc/cryptoservice/settings.json указать актуальные адреса OCSP серверов следующим образом:

{
    "ocspSettings": [
        {
            "ocspUrl": "http://ocsp-service.ru/ocspn/ocsp.srf", (1)
            "serial": "17192b01038046a1649b8a076964699c4" (2)
        },
        {
            "ocspUrl": "http://ocsp-service.example.ru/ocspn1000000/ocsp.srf",
            "serial": "1f409aa452fd10ee11500ea83ca0f3ce2"
        }
    ]
}
1 "ocspUrl" — адрес OCSP сервиса.
2 "serial" — серийный номер корневого сертификата улучшаемой подписи.

Конфигурационный файл settings.json должен располагаться в контейнере криптосервиса по пути /etc/cryptoservice/. Если в файле задана хотя бы одна группа настроек ocspSettings, то при улучшении подписи криптосервис будет проверять цепочку родительских сертификатов сертификата улучшаемой подписи.

Серийные номера сертификатов сопоставляются с номером, указанным в конфигурационном файле, при совпадении заданный адрес OCSP будет использоваться для самого близкого родительского сертификата. Чтобы серийный номер сертификата считывался успешно, поместите его в каталог корневых сертификатов /var/cryptoservice/cacerts.

Контейнер криптосервиса можно сразу смонтировать вместе с файлом настроек OCSP сервиса следующим образом:

$ docker run -d -p 8100:8094 -v /path/to/settings.json:/etc/cryptoservice/settings.json -v ./java-csp-5.0.45559-A-b34f3a2f:/app/BOOT-INF/lib/java-csp packages.docsvision.com/cryptoservice

Настройка подключения к криптосервису по HTTPS

  1. Создайте PKCS12-файл (.p12 или .pfx) предпочтительным способом. Шаг можно пропустить, если уже есть сертификат в формате .p12 или .pfx. Ниже приведён пример генерации файла при помощи утилиты OpenSSL

    Для создания PKCS12-файла потребуются закрытый ключ и файл сертификата, содержащий полную цепочку доверия. Файлы предоставляются удостоверяющим центром при выпуске сертификата. Также можно сгенерировать самоподписанный сертификат, см. подробнее: "Создание самоподписанного сертификата".

    openssl pkcs12 -export \
-in fullchain.pem \ (1)
-inkey privkey.pem \ (2)
-out keystore.p12 \ (3)
-passout pass:MyP@ssw0rd (4)
    1 Промежуточный и конечный сертификат
    2 Приватный ключ
    3 Имя выходного PKCS12-файла
    4 Пароль для защиты PKCS12-файла

  2. Отредактируйте конфигурационный файл:

    • При работе через Docker создайте файл конфигурации.

      cat > application.properties <<EOF
server.ssl.key-store=/keystore.p12 (1)
server.ssl.key-store-password=MyP@ssw0rd (2)
server.ssl.keyStoreType=PKCS12
EOF
      1 Путь до PKCS12-файла в контейнере
      2 Пароль от PKCS12-файла

    • В Windows откройте файл конфигурации по адресу C:\Program Files (x86)\Docsvision\CryptoService\appsettings.json и укажите следующие параметры:

      {
  "CryptoService": {
    "timestampservice.name": "http://cryptopro.ru/tsp/tsp.srf",
    "logging.file.name": "C:\\ProgramData\\Docsvision\\CryptoService\\CryptoService.log",
    "server.ssl.key-store": "C:\\Program Files (x86)\\Docsvision\\CryptoService\\keystore.p12",  (1)
    "server.ssl.key-store-password": "MyP@ssw0rd", (2)
    "server.ssl.keyStoreType": "PKCS12"
  }
}
      1 Путь до PKCS12-файла
      2 Пароль от PKCS12-файла

  3. Запустите криптосервис.

    1. Запустите службу Docsvision CryptoService, если установка была выполнена при помощи инсталлятора.

    2. Если криптосеврис работает с использованием Docker, выполните:

      docker run -d -p 8100:8094 \
-v $(realpath application.properties):/application.properties \ (1)
-v $(realpath keystore.p12):/keystore.p12 \ (2)
-v ./java-csp-5.0.45559-A-b34f3a2f:/app/BOOT-INF/lib/java-csp \ (3)
packages.docsvision.com/cryptoservice \
java org.springframework.boot.loader.JarLauncher \
--spring.config.additional-location=/application.properties (4)
      1 Монтирование файла конфигурации хост:контейнер
      2 Монтирование PKCS12-файла хост:контейнер
      3 Смонтируйте сборки КриптоПро Java CSP необходимой версии.
      4 Путь до файла конфигурации в контейнере