Портал документации Рутокен

Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Current »

Мастер настройки позволяет автоматически заполнить файлы конфигурации для каждого сервиса Rutoken KeyBox.

Установка и аутентификация

Мастер настройки является независимым компонентом и устанавливается отдельно. Выберите инструкцию в зависимости от ОС, где установлен сервер Rutoken KeyBox.

  1. Запустите файл RutokenKeyBox.Wizard-<номер версии>.x64.ru-ru.msi из каталога KeyBox.WindowsServer дистрибутива Rutoken KeyBox и выполните установку. Мастер настройки устанавливается в каталог C:\inetpub\wwwroot\keybox\wizard.
  2. Получите код аутентификации. Запустите пул приложения IIS Rutoken KeyBox Wizard, код сохранится в файл wizard_authentication_code.txt в каталоге C:\inetpub\wwwroot\keybox\wizard\logs.
  3. Откройте файл wizard_authentication_code.txt и скопируйте код аутентификации.
  4. Откройте браузер и перейдите по адресу https://<FQDN сервера RutokenKeyBox>/keybox/wizard.
  5. Введите код в поле Код аутентификации и нажмите Войти.

Если вы не смогли получить код аутентификации через запуск пула приложения Rutoken KeyBox Wizard, перезапустите службу IIS.

  1. Установите Мастер настройки из RPM-пакета keybox.wizard-<номер версии>.x86_64.rpm:

    sudo rpm -i keybox.wizard-<номер версии>.x86_64.rpm

  2. Запустите bash-скрипт start-keybox-wizard.sh, расположенный в каталоге с дистрибутивом сервера Rutoken KeyBox.

    sudo bash ./start-keybox-wizard.sh

  3. Получите код аутентификации. Код аутентификации доступен при выводе запуска скрипта start-keybox-wizard.sh.

  4. Откройте браузер и перейдите по адресу https://<FQDN сервера RutokenKeyBox>/keybox/wizard.
  5. Введите код в поле Код аутентификации и нажмите Войти.

Способ 1. Запустите службу keybox-wizard.service. Код сохранится в файл wizard_authentication_code.txt в каталоге /opt/aktivco/keybox/wizard/logs.

Способ 2.Выполните команду systemctl status:

sudo systemctl status keybox-wizard.service | grep AuthenticationCode

Способ 3. Получите код из журнала приложения systemd юнита keybox-wizard.service по команде:

sudo journalctl -u keybox-wizard.service | grep AuthenticationCode

Код аутентификации выводится на экран терминала.

  1. Установите Мастер настройки из DEB пакета keybox.wizard-<номер версии>_amd64.deb:

    sudo rpm -i keybox.wizard-<номер версии>.x86_64.rpm

  2. Запустите bash-скрипт start-keybox-wizard.sh, расположенный в каталоге с дистрибутивом сервера Rutoken KeyBox.

    sudo bash ./start-keybox-wizard.sh

  3. Получите код аутентификации. Код аутентификации доступен при выводе запуска скрипта start-keybox-wizard.sh.

  4. Откройте браузер и перейдите по адресу https://<FQDN сервера RutokenKeyBox>/keybox/wizard.
  5. Введите код в поле Код аутентификации и нажмите Войти.

Способ 1. Запустите службу keybox-wizard.service. Код сохранится в файл wizard_authentication_code.txt в каталоге /opt/aktivco/keybox/wizard/logs.

Способ 2.Выполните команду systemctl status:

sudo systemctl status keybox-wizard.service | grep AuthenticationCode

Способ 3. Получите код из журнала приложения systemd юнита keybox-wizard.service по команде:

sudo journalctl -u keybox-wizard.service | grep AuthenticationCode

Код аутентификации выводится на экран терминала.

Функции системы

В разделе Общие функции выберите настройки Консоли управления и Сервиса самообслуживания.

Журнал событий

Настройте работу журнала событий.

  1. Укажите атрибут, по значению которого выполняется поиск пользователей в журнале событий. Значение по умолчанию: CN (Сommon name).
  2. Выберите опцию:
    1. Использовать локальный журнал Windows, чтобы записывать события с одного или нескольких серверов в единый журнал Windows.
    2. Использовать Log Server, чтобы записывать события с нескольких серверов Rutoken KeyBox в единый журнал Windows, SysLog, базу данных Microsoft SQL или PostgreSQL.

События будут записываться в локальный журнал Windows.

Если в инфраструктуре развернуто несколько серверов Rutoken KeyBox, вы можете использовать компонент Rutoken KeyBox Event Log Proxy, чтобы все серверы записывали события в единый журнал Windows:

  1. Установите и настройте приложение Rutoken KeyBox Event Log Proxy. Инструкция по установке Rutoken KeyBox Event Log Proxy 
  2. Включите опцию Включить Event Log Proxy.
  3. Укажите URL подключения к Event Log Proxy. Например, https://server.demo.local/keybox/eventlogproxy.
  4. Если сервер Rutoken KeyBox установлен на ОС Windows, введите данные учетной записи с правами на доступ к единому журналу событий (из секции authorization файла Web.config приложения Event Log Proxy).
    Если сервер Rutoken KeyBox установлен на ОС Linux, в поле Отпечаток сертификата укажите отпечаток клиентского сертификата, который предъявляет сервер Rutoken KeyBox для подключения к Event Log Proxy (из параметра allowedCertificateThumbprints файла appsettings.json приложения Event Log Proxy).

Если в инфраструктуре развернуто несколько серверов Rutoken KeyBox, вы можете использовать приложение Log Server, чтобы все серверы записывали события в единый журнал Windows, SysLog, базу данных Microsoft SQL или PostgreSQL.

  1. Установите и настройте приложение Log Server. Инструкция по установке Log Server
  2. Укажите URL подключения к Log Server.
    Например, https://server.demo.local/ls/api для ОС Windows, https://server.demo.local/api для ОС Linux.

Журнал учета СКЗИ

Если в вашей организации ведется учет СКЗИ, включите опцию Вести журнал учета СКЗИ.

При необходимости укажите дополнительные атрибуты для полей, которые будут отображаться в журнале учета СКЗИ.

Удостоверяющие центры

Настройте параметры работы с удостоверяющими центрами.

Включите опцию Включить интеграцию с Microsoft Enterprise CA.

Вы можете дополнительно Разрешить выпуск сертификатов для пользователей внешнего сопоставленного каталога Active Directory и указать атрибут Active Directory, по которому можно получить дополнительный e-mail пользователя.

Включите опцию Включить интеграцию с КриптоПро УЦ 2.0. Дополнительно можно настроить опции:

  • Отображать привязку пользователя к КриптоПро УЦ в сервисе самообслуживания;
  • Разрешить выпуск сертификатов на имя общей учетной записи;
  • Публиковать сертификаты пользователей КриптоПро УЦ 2.0 в базе приложений ЦФТ.

При необходимости укажите информацию о расположении пользователей в Центре Регистрации:

  1. Нажмите Добавить.
  2. Введите имя УЦ, которое отображается в Консоли управления ЦР в разделе Центры сертификации.
  3. Введите идентификатор папки с пользователями. Идентификатор отображается в Консоли управления ЦР в колонке Идентификатор папки.

Включите опцию Включить интеграцию с КриптоПро DSS.

Чтобы в Сервисе самообслуживания отображалась информация о связи пользователя с каталогом КриптоПро DSS, включите опцию Отображать привязку пользователя к КриптоПро DSS в сервисе самообслуживания.

Включите опцию Включить интеграцию с Валидата УЦ.

AirCard Enterprise

Укажите настройки интеграции с Indeed AirCard Enterprise:

  1. Включите опцию Включить интеграцию c Indeed AirCard Enterprise.
  2. Введите URL подключения к серверу AirCard Enterprise, например, https://aircard.demo.local:3002.
    Убедитесь, что указанный порт открыт для входящих подключений на сервере AirCard.
  3. Укажите отпечаток клиентского сертификата, чтобы установить защищенное соединение сервера Rutoken KeyBox и сервера AirCard Enterprise.
  4. Укажите время существования незарегистрированных смарт-карт AirCard (в секундах). По истечении указанного времени служба Card Monitor автоматически удалит незарегистрированные смарт-карты AirCard. Значение по умолчанию – 120 секунд.

Подробнее в документации Indeed AirCard Enterprise

Клиентский агент

Настройте параметры работы клиентских агентов Rutoken KeyBox.

  1. Установите и настройте компонент Rutoken KeyBox Agent. Инструкция по установке Rutoken KeyBox Agent.

  2. Включите опцию Разрешить использование клиентских агентов.

  3. Выберите способ идентификации агента в домене и вне домена для регистрации в Rutoken KeyBox:

    • Не задано. Значение по умолчанию.
    • Использовать машинный GUID. Использовать значение MachineGuid рабочей станции.
    • Генерировать новый GUID. Выберите данную опцию, если у нескольких рабочих станций одно значение MachineGuid.
    • Использовать доменный SID компьютера.

    • Использовать SID компьютера. Выберите данную опцию, если агент установлен на внедоменную рабочую станцию. Идентификатору агента присваивается строковое значение MachineGuid из ветки реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] рабочей станции.

      Если вам нужно сменить cтратегию генерации идентификатора агента после первоначальной настройки Rutoken KeyBox, выполните следующее:

      1. Остановите сервисы агентов agentregistrationapi и agentserviceapi на сервере Rutoken KeyBox.
      2. Удалите все клиентские агенты в разделе Агенты Консоли управления или выполните запрос в базу данных Rutoken KeyBox, чтобы удалить зарегистрированные агенты и их сессии.
      3. Примените изменения в Мастере настройки и распространите измененный файл конфигурации сервиса agentregistrationapi на сервере Rutoken KeyBox.
      4. Запустите сервисы агентов agentregistrationapi и agentserviceapi.
  4. Чтобы регистрировать агенты без подтверждения администратора, включите опцию Автоматическая регистрация Агентов. После установки и настройки агента на рабочей станции он появится в разделе Агенты Консоли управления Rutoken KeyBox со статусом Зарегистрирован.

  5. Загрузите сертификат агента – файл корневого сертификата сервисов агента с закрытым ключом в формате JSON agent_root_ca.json.

  6. Выберите Уровень журналирования событий агентом.

  7. Укажите Периодичность получения данных с сервера и Интервал повторного выполнения отмененной пользователем задачи.

  8. Имя заголовка HTTP-запроса сертификата указано по умолчанию. Если Rutoken KeyBox используется с балансировщиком нагрузки, включите опцию Передавать только поле 'Субъект' сертификата агента в заголовках HTTP-запросов, чтобы снизить трафик.

Каталог пользователей

Настройте подключение к каталогу пользователей Rutoken KeyBox. Можно использовать несколько каталогов пользователей. Как создать каталог пользователей.

Нажмите Добавить и выберите тип каталога пользователей: Active Directory, FreeIPA или ALD Pro.

  1. Укажите данные учетной записи, у которой есть права на доступ к каталогу пользователей: имя в формате DOMAIN\UserName или UserName@DNSDomainName и пароль.
  2. Укажите NetBIOS-имя домена.
  3. Укажите DNS-имя домена или контроллера домена.
  4. Укажите путь к контейнеру с пользователями в формате Distinguished Name. Для работы со всеми пользователями выберите корень домена.
  5. Если вы используете протокол LDAPS для доступа к каталогам, включите опцию Использовать LDAPS.
  6. Если необходимо, выберите имя атрибута Active Directory, который содержит фотографию пользователя, чтобы отображать ее в интерфейсе Rutoken KeyBox или напечатать на смарт-карте.
  7. Нажмите Сохранить.
  1. Укажите данные учетной записи, у которой есть права на доступ к каталогу пользователей: имя в формате Distinguished Name и пароль.
  2. Укажите NetBIOS-имя домена.
  3. Укажите DNS-имя домена или контроллера домена.
  4. Укажите путь к объекту с пользователями в формате Distinguished Name. Рекомендуем указать корень домена или каталог accounts.
  5. Если вы используете протокол LDAPS для доступа к каталогам, включите опцию Использовать LDAPS.
  6. Нажмите Сохранить.
  1. Нажмите Добавить.
  2. В выпадающем списке выберите атрибут имени пользователя, по которому определяется его уникальность при аутентификации в веб-приложениях Rutoken KeyBox:
    • E-mail;
    • Common name;
    • User Principal Name;
    • Пользовательский. Укажите OID атрибута имени пользователя.
  3. Выберите тип интеграции API с каталогом пользователей ЦР КриптоПро УЦ 2.0: REST или SOAP.
  4. Укажите отпечаток сертификата сервисной учетной записи, который будет использоваться для подключения к ЦР КриптоПро УЦ 2.0 для просмотра списка пользователей.
  5. Укажите URL подключения к Центру Регистрации. Например, https://cryptopro.demo.local/RA/RegAuthLegacyService.svc.
  6. Нажмите Сохранить.

В качестве внутреннего каталога пользователей можно использовать базу данных Microsoft SQL или PostgreSQL.

  1. Нажмите Добавить.
  2. Выберите тип хранилища.
  3. Настройте подключение к хранилищу. Введите имя сервера, имя экземпляра (для Microsoft SQL), номер порта и имя базы данных.
  4. Выберите способ аутентификации для подключения к серверу базы данных:
    • Microsoft SQL: аутентификация Windows или SQL Server. Для подключения к SQL Server введите имя пользователя и пароль.
    • PostgreSQL: введите имя пользователя и пароль.
  5. Нажмите Сохранить.

Дополнительные атрибуты внутреннего каталога

Чтобы настроить дополнительные атрибуты внутреннего каталога пользователей:

  1. Нажмите Добавить.
  2. Введите имя атрибута в каталоге пользователей и отображаемое имя атрибута.
  3. Чтобы атрибут отображался при создании и редактировании пользователя в Rutoken KeyBox, включите опцию Отображать в форме создания/редактирования пользователя.
  4. Чтобы сделать атрибут обязательным для заполнения при создании и редактировании пользователя в Rutoken KeyBox, включите опцию Обязательный для заполнения.
  5. Выберите тип атрибута:
    • Текст. Для текстового атрибута можно указать следующие настройки:
      • максимальная длина текста – максимальное количество символов;
      • формат текста – регулярное выражение, с помощью которого будет проверяться корректность текстового значения атрибута. Например, проверка корректности ввода отчества, при которой допустимы русские буквы, пробел и дефис: ^[А-ЯЁ][а-яё]{0,30}(( |-)([а-яё]{0,30})){0,2}$;
      • сообщение о неверном формате – текст сообщения, который будет отображаться при вводе текстового значения, не отвечающего требованиям регулярного выражения.
    • Целочисленный. Для целочисленного атрибута можно указать минимальное и максимальное значение. Например, для ввода информации о возрасте.
    • Логический. Атрибут может принимать значение true или false.
    • Справочник значений. Укажите справочник, который будет использоваться при выборе значений атрибута.
      Формат: <значение атрибута #1>, <отображаемое значение атрибута #1>; <значение атрибута #2>, <отображаемое значение атрибута #2>;....
      Например, red, Красный цвет; green, Зеленый цвет.
  6. Нажмите Сохранить.

Соответствия атрибутов

Вы можете настроить соответствие между атрибутами удостоверяющего центра и атрибутами пользователей в каталоге.

Если настроено соответствие атрибутов, в удостоверяющем центре можно зарегистрировать нового пользователя при выпуске устройства для этого пользователя в Rutoken KeyBox.

Обновляемые атрибуты

Вы можете настроить список атрибутов пользователя Active Directory, при изменении которых необходимо обновить сертификат на устройстве.

Изменения можно отслеживать только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.

В параметрах шаблонов сертификатов Microsoft CA и КриптоПро УЦ 2.0 по умолчанию отслеживаются атрибуты Общее имя, E-mail и UPN-имя пользователя.

Чтобы отслеживать атрибут:

  1. Нажмите Добавить.
  2. Укажите имя атрибута в каталоге пользователей.
  3. Укажите отображаемое имя атрибута.
  4. Укажите имя X.500 или OID атрибута в сертификате. По указанному значению выполняется поиск атрибута в сертификате.
  5. Нажмите Сохранить.

Контроль доступа

Выберите способ контроля доступа к сервисам Rutoken KeyBox:

  • Аутентификация Windows
    Этот способ позволяет аутентифицироваться через учетные данные пользователя в ОС Windows и используется для инсталляций Rutoken KeyBox на доменной рабочей станции под управлением ОС Windows.

  • Аутентификация OpenID Connect
    Этот способ позволяет аутентифицироваться через сервер OpenID Connect и используется для инсталляций Rutoken KeyBox на доменной или внедоменной рабочей станции под управлением ОС Windows или Linux.
    Перейдите в раздел OpenID Connect и укажите параметры подключения к серверу OpenID Connect.

Убедитесь, что вы выбрали тот же способ аутентификации при установке сервера Rutoken KeyBox на ОС Windows.

Администратор ролей

Укажите UPN-имя администратора ролей – учетной записи, которой выдается право на управление ролями в Rutoken KeyBox. При первом запуске вам необходимо войти в Консоль управления от имени указанной учетной записи.

Указанная учетная запись должна иметь атрибут User Principal Name (UPN) и входить в каталог пользователей.

Хранилище данных

Настройте подключение к хранилищу данных. Как создать хранилище данных.

  1. Выберите тип хранилища данных в зависимости от окружения, в котором развернут Rutoken KeyBox:
    • Microsoft SQL;
    • PostgreSQL.
  2. Настройте подключение к хранилищу. Введите имя сервера, имя экземпляра (для Microsoft SQL), номер порта и имя базы данных.
  3. Выберите способ аутентификации для подключения к серверу базы данных:
    • Microsoft SQL: аутентификация Windows или SQL Server. Для подключения к SQL Server введите имя пользователя и пароль.
    • PostgreSQL: введите имя пользователя и пароль.
  4. При необходимости настройте дополнительные параметры:
    • минимальный размер пула;
    • максимальный размер пула;
    • время ожидания подключения;
    • время жизни соединения;
    • число повторов подключения;
    • интервал повтора подключения.

Ключ шифрования хранилища данных

Данные Rutoken KeyBox хранятся и передаются в зашифрованном виде. В выпадающем списке выберите алгоритм шифрования и нажмите Сгенерировать. Сохраните резервную копию ключа шифрования.

Служба Card Monitor

Определите настройки Card Monitor – службы для контроля использования устройств.

Card Monitor устанавливается автоматически вместе с сервером Rutoken KeyBox и выполняет следующие операции:

  • отзыв и изъятие устройств пользователей, учетные записи которых удалены из каталога пользователей;
  • отзыв временных устройств с истекшим сроком действия;
  • выключение устройств пользователей, учетные записи которых были отключены;
  • удаление учетных записей из каталога пользователей, учетные записи которых были отключены;
  • установка или сброс статуса содержимого устройства;
  • регистрация события Длительное отсутствие связи с агентом в журнале событий;
  • удаление агентов, которые были неактивны в течение настраиваемого периода времени;
  • рассылка почтовых уведомлений администраторам и пользователям о следующих событиях:
    • истечение срока действия сертификатов пользователей, хранящихся на устройстве;
    • одобрение/отклонение выпуска устройства;
    • одобрение/отклонение обновления сертификатов на устройстве;
    • одобрение/отклонение замены устройства;
    • изменение политики, действующей на пользователя.
  1. Для регулярного запуска службы Card Monitor укажите учетную запись, которая состоит в группе Администраторов (Administrators) на сервере Rutoken KeyBox и имеет разрешение на Вход в качестве пакетного задания (Log on as a batch job) в политике Active Directory.
  2. Настройте время запуска службы Card Monitor.
  3. В разделе Операции с пользователями можно настроить следующее:
    • Выключить устройства отключенных пользователей. Card Monitor выключит устройства пользователей, учетные записи которых были отключены в каталоге пользователей. Если в параметрах шаблонов сертификатов используемого УЦ дополнительно включить опцию Отзывать сертификат при отзыве или выключении устройства, то срок действия сертификатов, записанных на устройства, будет приостановлен в УЦ, и сертификаты будут отозваны.
    • Настроить фильтр поведения отключенных пользователей как удаленных. Отключенные учетные записи, попадающие под условие фильтра, считаются удаленными из каталога пользователей. Устройства у удаленных пользователей отзываются.
      Укажите атрибут пользователя и значение атрибута. Например, атрибут DistinguishedName со значением OU=Fired users,DC=demo,DC=local.
    • Изъять устройства у удаленных пользователей. Устройства у удаленных пользователей изымаются и переходят в состояние Пустое. При изъятии устройство не очищается.
  4. В разделе Операции с агентами можно настроить следующее:
    • Занести событие в журнал, если агент неактивен больше (мин.). При отсутствии связи агента с сервером Card Monitor регистрирует это событие в системном журнале по истечении указанного времени.
    • Удалить агент, если он неактивен больше (дней). При отсутствии связи агента с сервером Card Monitor удаляет агент из базы данных по истечении указанного времени.

Для работы службы Card Monitor необходима отдельная сервисная роль. Подробнее о роли для работы Card Monitor.

Подтверждение

  1. Проверьте настройки всех разделов Мастера.
  2. Нажмите Применить.

Все настроенные параметры записываются в файлы конфигурации приложений и сохраняются в каталог C:\inetpub\wwwroot\keybox\wizard\configs для ОС Windows и /opt/aktivco/keybox/wizard/configs/ для ОС Linux. Файлы конфигурации нужно применить на сервере Rutoken KeyBox.

Результаты

Включите опцию Сохранить файлы конфигурации, чтобы выгрузить файлы в архив.

Если вы устанавливаете Rutoken KeyBox впервые, рекомендуем сохранить копию настроенных параметров. Включите опцию Сохранить резервную копию параметров конфигурации и задайте пароль от файла.

Резервная копия настроек содержит все параметры, определенные при установке для всех сервисов, а также алгоритм и ключ шифрования базы данных. Храните файл резервной копии в защищенном месте.

Восстановление настроек

Вы можете восстановить настройки конфигурации Rutoken KeyBox из резервной копии, если вам необходимо:

  • обновить сервер Rutoken KeyBox;
  • перенести сервер на новую рабочую станцию;
  • установить дополнительные серверы.

Чтобы восстановить конфигурацию из файла:

  1. Перейдите в раздел Мастера Восстановление настроек.
  2. Нажмите Восстановить параметры конфигурации из резервной копии.
  3. Загрузите файл.
  4. Если резервная копия была зашифрована, введите пароль.

Применение файлов конфигурации на сервере Rutoken KeyBox

Примените файлы конфигурации, созданные Мастером настройки, на сервере Rutoken KeyBox:

  1. Откройте консоль Powershell от имени администратора.
  2. Перейдите в директорию C:\inetpub\wwwroot\keybox\wizard\configs.

  3. Запустите Powershell-скрипт deploy_configuration.ps1:

    .\deploy_configuration.ps1

  4. В процессе выполнения Powershell-скрипта укажите пароль учетной записи, используемой для запуска службы Card Monitor.

Рекомендуется указать локальную учетную запись, от имени которой запускаются остальные веб-приложения Rutoken KeyBox.

Файлы конфигурации всех сервисов Rutoken KeyBox расположены в корневом каталоге веб-приложений IIS по пути %SystemDrive%\inetpub\wwwroot\keybox. Файлы конфигурации службы Card Monitor расположены в каталоге %ProgramFiles%\Rutoken KeyBox\CardMonitor.

Примените файлы конфигурации, созданные Мастером настройки, на сервере Rutoken KeyBox:

  1. Откройте эмулятор терминала.
  2. Перейдите в директорию /opt/aktivco/keybox/wizard/configs.

  3. Убедитесь, что файл скрипта имеет права на исполнение, и запустите bash-скрипт deploy_configuration.sh:

    sh ./deploy_configuration.sh

  4. В процессе выполнения bash-скрипта укажите учетную запись, от имени которой будет запускаться служба Card Monitor.

Рекомендуется указать локальную учетную запись, от имени которой запускаются остальные веб-приложения Rutoken KeyBox.

Если в инфраструктуре развернуто несколько серверов Rutoken KeyBox, примените файлы конфигурации на каждом сервере. Файлы конфигурации всех сервисов Rutoken KeyBox располагаются в каталоге /opt/aktivco/keybox.

Шифрование и расшифровка файлов конфигурации

В целях безопасности рекомендуется зашифровать файлы конфигурации приложений Rutoken KeyBox с помощью утилиты Cm.Config.DataProtector. Утилита поддерживает алгоритм шифрования AES с эффективной длиной ключа 256 бит. Ключ шифрования сохраняется на сервере Rutoken KeyBox.

Ключ шифрования находится по пути:

  • ОС Windows: C:\ProgramData\Rutoken Keybox\keys;
  • ОС Linux: /etc/aktivco/keybox/keys.

Создайте резервную копию ключа шифрования. Это позволит восстановить доступ к зашифрованным данным в случае утери или повреждения основного ключа. Копию ключа можно сохранить вместе с копией конфигурации Rutoken KeyBox.

Шифрование

  1. Перейдите в каталог с дистрибутивом сервера Rutoken KeyBox по пути Misc\dataprotector.
  2. Запустите PowerShell от имени администратора.
  3. Выполните одну из команд:

    • шифрование всех файлов конфигурации, расположенных в стандартных директориях (C:\inetpub\wwwroot\<название компонента>\appsettings.json):

      .\Cm.Config.DataProtector.exe protect

    • шифрование файлов конфигурации отдельных компонентов:

      .\Cm.Config.DataProtector protect --app <название компонента>

      Пример команды:

      Пример команды:
      .\Cm.Config.DataProtector protect --app ManagementConsole
      • Консоль управления – ManagementConsole
      • Сервис самообслуживания – SelfService
      • Служба Card Monitor – CardMonitor
      • CredentialProvider
      • Сервис удаленного самообслуживания – RemoteService
      • Сервис API – Api
      • Сервис очистки AirCard – AirCardCleaner
      • Сервис регистрации агентов – AgentRegistrationApi
      • Сервис агентов – AgentServiceApi
      • Сервер OpenID Connect – Oidc

    • шифрование файла конфигурации, расположенного вне стандартной директории:

      .\Cm.Config.DataProtector protect --app <название компонента> --file "путь к файлу appsettings.json"
      Пример команды:
      .\Cm.Config.DataProtector protect --app CardMonitor --file "C:\Program Files\Rutoken KeyBox\CardMonitor\appsettings.json"

Расшифровка

  1. Перейдите в каталог с дистрибутивом сервера Rutoken KeyBox по пути Misc\dataprotector.
  2. Запустите PowerShell от имени администратора.
  3. Выполните одну из команд:

  • расшифровка всех файлов конфигурации, расположенных в стандартных директориях (C:\inetpub\wwwroot\<название компонента>\appsettings.json):

    .\Cm.Config.DataProtector.exe unprotect

  • расшифровка файлов конфигурации отдельных компонентов:

    .\Cm.Config.DataProtector unprotect --app <название компонента>
    Пример команды:
    .\Cm.Config.DataProtector unprotect --app ManagementConsole
    • Консоль управления – ManagementConsole
    • Сервис самообслуживания – SelfService
    • Служба Card Monitor – CardMonitor
    • CredentialProvider
    • Сервис удаленного самообслуживания – RemoteService
    • Сервис API – Api
    • Сервис очистки AirCard – AirCardCleaner
    • Сервис регистрации агентов – AgentRegistrationApi
    • Сервис агентов – AgentServiceApi
    • Сервер OpenID Connect – Oidc

  • расшифровка файла конфигурации, расположенного вне стандартной директории:

    .\Cm.Config.DataProtector unprotect --app <название компонента> --file "путь к файлу appsettings.json"
    Пример команды:
    .\Cm.Config.DataProtector unprotect --app CardMonitor --file "C:\Program Files\Rutoken Keybox\CardMonitor\appsettings.json"

Шифрование

  1. Перейдите в директорию с дистрибутивом сервера Rutoken KeyBox по пути Misc\dataprotector.
  2. Откройте Linux Bash.
  3. Выполните одну из команд:

    • шифрование всех файлов конфигурации, расположенных в стандартных директориях (/opt/aktivco/keybox/<название компонента>/appsettings.json):

      dotnet Cm.Config.DataProtector.dll protect

    • шифрование файлов конфигурации отдельных компонентов:

      dotnet Cm.Config.DataProtector.dll protect --app <название компонента>
      Пример команды:
      dotnet Cm.Config.DataProtector.dll protect --app ManagementConsole
      • Консоль управления – ManagementConsole
      • Сервис самообслуживания – SelfService
      • Служба Card Monitor – CardMonitor
      • CredentialProvider
      • Сервис удаленного самообслуживания – RemoteService
      • Сервис API – Api
      • Сервис очистки AirCard – AirCardCleaner
      • Сервис регистрации агентов – AgentRegistrationApi
      • Сервис агентов – AgentServiceApi
      • Сервер OpenID Connect – Oidc

    • шифрование файла конфигурации, расположенного вне стандартной директории:

      dotnet Cm.Config.DataProtector.dll protect --app <название компонента> --file "путь к файлу appsettings.json"
      Пример команды:
      dotnet Cm.Config.DataProtector.dll protect --app ManagementConsole --file "/opt/aktivco/keybox/mc/appsettings.json"

Расшифровка

  1. Перейдите в директорию с дистрибутивом сервера Rutoken KeyBox по пути Misc\dataprotector.
  2. Откройте Linux Bash.
  3. Выполните одну из команд:

  • шифрование всех файлов конфигурации, расположенных в стандартных директориях:

    dotnet Cm.Config.DataProtector.dll protect

  • шифрование файлов конфигурации отдельных компонентов:

    dotnet Cm.Config.DataProtector.dll protect --app <название компонента>
    Пример команды:
    dotnet Cm.Config.DataProtector.dll protect --app ManagementConsole
    • Консоль управления – ManagementConsole
    • Сервис самообслуживания – SelfService
    • Служба Card Monitor – CardMonitor
    • CredentialProvider
    • Сервис удаленного самообслуживания – RemoteService
    • Сервис API – Api
    • Сервис очистки AirCard – AirCardCleaner
    • Сервис регистрации агентов – AgentRegistrationApi
    • Сервис агентов – AgentServiceApi
    • Сервер OpenID Connect – Oidc

  • шифрование файла конфигурации, расположенного вне стандартной директории:

    dotnet Cm.Config.DataProtector.dll protect --app <название компонента> --file "путь к файлу appsettings.json"
    Пример команды:
    dotnet Cm.Config.DataProtector.dll protect --app ManagementConsole --file "/opt/aktivco/keybox/mc/appsettings.json"

Отключение Мастера

В целях безопасности рекомендуется отключить веб-приложение Мастер настройки Rutoken KeyBox после завершения процесса конфигурации.

  1. Откройте оснастку Диспетчер служб IIS (Internet Information Services Manager).
  2. В дереве компонентов IIS сервера выберите пункт Пулы приложений (Application Pools).
  3. В списке Пулы приложений выберите Rutoken KeyBox Wizard.
  4. В меню Действия в правой части окна Диспетчера служб IIS выберите Остановить.
  1. Откройте эмулятор терминала.

  2. Выполните команду:

    sudo systemctl stop keybox-wizard.service
  • No labels