SSL (TLS) Настройка двустороннегоbss.bssys.com/.../Nastroika_dvustoronnego_SSL_(TLS).pdfс Центром сертификации» [стр. 32]. • Настройка

Система "ДБО BS-Client v.3"Релиз 017.4.0, Распределенная схема

Документация подразделения банка. Комплект администратора

Настройка двустороннегоSSL (TLS)

© 2007 Банк'c софт системс

Система "ДБО BS-Client v.3"Релиз 017.4.0, Распределенная схемаДокументация подразделения банка. Комплект администратораРуководство по использованиюНастройка двустороннего SSL (TLS)

Опубликовано 2007Листов 42


Настоящий документ содержит информацию, актуальную на момент его составления. ООО “Банк’cсофт системс” не гарантирует отсутствия ошибок в данном документе. ООО “Банк’c софт системс”оставляет за собой право вносить изменения в документ без предварительного уведомления.

Никакая часть данного документа не может быть воспроизведена или передана в какой бы то ни былоформе и какими бы то ни было средствами без письменного разрешения ООО “Банк’c софт системс”.

ООО “Банк’c софт системс” не гарантирует, что специфицированное в настоящем документе про-граммное обеспечение не содержит дефектов, будет работать в произвольно выбранных условиях и приэтом удовлетворять всем требованиям, которые могут быть к нему предъявлены.

ООО “Банк’c софт системс” не гарантирует работоспособность нелегально полученного программногообеспечения. Нелегальное использование программного обеспечения и документации на него пресле-дуется законом.

Наименования ООО "Банк’c софт системс", "BS Systems", товарный знак , продукты и ихнаименования "Система дистанционного банковского обслуживания BS-Client v.3" ("ДБО BS-Client v.3") являются интеллектуальной собственностью ООО “Банк’c софт системс” и охраняются действую-щим законодательством.

Все иные упомянутые в настоящем документе марки, названия продуктов и фирм могут являться ин-теллектуальной собственностью соответствующих владельцев.


СодержаниеВведение ............................................................................................................................. 41. Последовательность настройки двустороннего SSL (TLS) .............................................. 72. Генерация сертификата и секретных ключей веб-сервера ............................................... 93. Генерация сертификата и секретных ключей клиента .................................................... 124. Установка сертификата сервера .................................................................................... 145. Установка сертификата клиента ..................................................................................... 25

5.1. Способ 1 .............................................................................................................. 255.2. Способ 2 .............................................................................................................. 26

6. Присвоение сертификата веб-сервера веб-сайту ............................................................ 287. Проверка связи компьютеров веб-сервера и клиента с Центром сертификации ............. 328. Настройка двустороннего SSL на веб-сайте ................................................................... 39

8.1. Настройка связки BSI – RTS для двустороннего SSL .......................................... 39Глоссарий .......................................................................................................................... 42

3

ВведениеНастоящий документ является частью документации по системе "ДБО BS-Client v.3" релиза017.4.0, функционирующей в режиме Распределенной схемы.

На кого ориентирован документ

Документ предназначен для администратора подразделения банка.

Назначение документа

Назначение документа состоит в предоставлении информации о настройках, которые необ-ходимо выполнить для осуществления защищенного соединения по протоколу двусторон-ний SSL (TLS).

Организация документа

Документ разбит на несколько глав.

В гл. 1, «Последовательность настройки двустороннего SSL (TLS)» [стр. 7] описана по-следовательность настройки защиты канала связи между клиентским веб-браузером и веб-сервером по протоколу двусторонний SSL.

В гл. 2, «Генерация сертификата и секретных ключей веб-сервера» [стр. 9] описана про-цедура создания запроса на сертификат и секретные ключи для веб-сервера.

В гл. 3, «Генерация сертификата и секретных ключей клиента» [стр. 12] описана процедурасоздания запроса на сертификат и секретные ключи для клиента.

В гл. 4, «Установка сертификата сервера » [стр. 14] приводятся инструкции по установкесертификата для веб-сервера.

В гл. 5, «Установка сертификата клиента» [стр. 25] приводятся инструкции по установкесертификата для клиента.

В гл. 6, «Присвоение сертификата веб-сервера веб-сайту» [стр. 28] описаны дополнитель-ные действия по настройке веб-сайта, чтобы он поддерживал данный тип защиты канала.

В гл. 7, «Проверка связи компьютеров веб-сервера и клиента с Центром сертифика-ции» [стр. 32] описаны действия, которые должны быть выполнены для того, чтобынастроить доступ к списку отозванных сертификатов Центра сертификации.

В гл. 8, «Настройка двустороннего SSL на веб-сайте» [стр. 39] описаны настройки, которыенеобходимо выполнить для того, чтобы веб-сайт подсистемы "Интернет-клиент" поддержи-вал работу канала с типом защиты двусторонний SSL (TLS).

В конце документа приведены определения основных терминов и терминов, встречающихсяв данном документе.

4

Рекомендации по использованию документа

Документ рекомендуется использовать и в качестве ознакомительного материала, и в каче-стве справочника при работе с системой "ДБО BS-Client v.3". Документ рекомендован какдля последовательного, так и для выборочного изучения.

Внимание!

Для интенсивного изучения документации и быстрого поиска необходимой информации реко-мендуется воспользоваться справочной системой системы "ДБО BS-Client v.3".

Соглашения по оформлению

В данном документе для представления ссылок, терминов и наименований используютсяразличные шрифты и средства оформления. Основные типы начертаний текста приведеныдалее.

Шрифт ОписаниеПоле Используется для выделения наименований полей, блоков, закладок экран-

ных формКнопка Используется для выделения наименований кнопокМеню Используется для выделения наименований пунктов менюCtrl+X Используется для выделения сочетаний клавишcbank.exe Используется для выделения имен файлов и каталоговТермин Используется для выделения первого вхождения определяемого в документе

термина в тексте документаТермин Используется для выделения прочих вхождений упоминаемых в документе

терминовВыделение Используется для выделения отдельных значимых слов в текстеСсылка [стр. 5] Используется для выделения перекрестных ссылок

Кавычками выделяются значения полей экранных форм.

Наименования пунктов меню отделяются друг от друга символом →.

Для выделения блоков текста используются специальные средства оформления, предста-вленные ниже.

Примечание

Служит для выделения дополнительной или разъясняющей информации, в том числе ссылок нафрагменты документации, содержащие более подробные сведения. В основном следует непос-редственно за элементом, к которому оно относится, но может предшествовать целой главе илиразделу.

Введение

5

Внимание!

Служит для выделения важной информации, на которую следует обратить внимание.

Служит для выделения дополнительной информации, рекомендованной для углубленного изу-чения системы. В основном информация, помеченная подобным образом, представляет собойописание редкоиспользуемых возможностей системы. Данную информацию можно пропуститьпри ознакомительном чтении.

Введение

6

Глава 1. Последовательностьнастройки двустороннего SSL(TLS)

Для осуществления защищенного соединения по протоколу безопасности TLS необходимоиметь:

• Центр сертификации, настроенный на определенную версию CryptoPro (далее под аббре-виатурой "CSP" будем подразумевать именно определенную заранее, для всех одинако-вую версию CryptoPro, под аббревиатурой "TLS" – соответствующую CSP версиюCryptoPro TLS).

• Компьютер веб-сервера.

• Компьютер клиента.

Настройка двустороннего SSL (TLS) включает в себя несколько этапов:

• Установка программного обеспечения CryptoPro.

• Настройка веб-сервера и создание нового веб-сайта для работы Интернет-клиента по дву-стороннему SSL (TLS). Подробное описание действий представлено в разд. 5.2, «На-стройка Internet Information Server» документа Руководство по использованию.Подсистема "Интернет-клиент".

• Создание нового "технологического" веб-сайта для регистрации клиентами выданных вбанке сертификатов. Подробное описание действий представлено в разд. 5.2.2, «Созданиевеб-сайта подсистемы "Интернет-Клиент"» документа Руководство по использова-нию. Подсистема "Интернет-клиент", в гл. 5, «Настройка одностороннего SSL на веб-сайте» документа Руководство по использованию. Настройка одностороннего SSL.

• Настройка модуля BSI. Подробное описание действий представлено в разд. 5.3, «На-стройка BSI (Internet Task Server)» документа Руководство по использованию. Подси-стема "Интернет-клиент".

• Настройка модуля RTS. Подробное описание действий представлено в разд. 5.5, «На-стройка и работа с RTS (Remote Tasks Server)» документа Руководство по использо-ванию. Подсистема "Интернет-клиент".

• Генерация ключей и запроса на сертификат веб-сервера. Подробное описание действийпредставлено в гл. 2, «Генерация сертификата и секретных ключей веб-сервера» [стр. 9].

• Генерация сертификата клиента. Подробное описание действий представлено в гл. 3, «Ге-нерация сертификата и секретных ключей клиента» [стр. 12].

• Установка сертификатов на соответствующие компьютеры. Подробное описание дей-ствий представлено в гл. 4, «Установка сертификата сервера » [стр. 14] и гл. 5, «Уста-новка сертификата клиента» [стр. 25].

7

• Присвоение веб-серверу установленного сертификата. Подробное описание действийпредставлено в гл. 6, «Присвоение сертификата веб-сервера веб-сайту» [стр. 28].

• Проверка связи клиента и сервера с компьютером центра сертификации. Подробное опи-сание действий представлено в гл. 7, «Проверка связи компьютеров веб-сервера и клиентас Центром сертификации» [стр. 32].

• Настройка двустороннего SSL (TLS) на веб-сайте. Подробное описание действий пред-ставлено в гл. 8, «Настройка двустороннего SSL на веб-сайте» [стр. 39].

• Генерация необходимого количества паролей, которые впоследствии можно привязать кконкретному пользователю сервиса Интернет-клиент. Подробное описание действийпредставлено в разд. 1.2.2, «Генерация паролей пользователей подсистемы "Интер-нет-Клиент"» документа Руководство по использованию. Регистрация и обслуживаниеклиентов.

• Ввод реквизитов и настроек параметров клиентов. Подробное описание действий пред-ставлено в док. «Руководство по использованию. Настройка АРМ».

• Создание дистрибутивов клиентов. Подробное описание действий представлено вразд. 1.3, «Генерация дистрибутива клиента» документа Руководство по использова-нию. Регистрация и обслуживание клиентов.

Последовательность настройки двустороннего SSL (TLS)

8

Глава 2. Генерация сертификатаи секретных ключей веб-сервера

Генерацию ключей и запроса на сертификат веб-сервера можно произвести стандартнымисредствами ДБО.

1. Выполните команду меню Администрирование → Криптозащита → Ручная генера-ция сертификата. Откроется окно Генерация запроса на сертификат и секретногоключа.

Рис. 2.1. Окно Генерация запроса на сертификат и секретного ключа

2. В поле Название абонента задайте название профиля абонента, в поле УдаленныйАРМ задайте номер и название АРМ, для которого генерируется запрос.

3. В поле Тип криптобиблиотеки задайте значение "Ms Crypto Api 2.0" и нажмите кнопкуДалее. Откроется окно Генерация запроса на сертификат.

9

Рис. 2.2. Генерация запроса на сертификат

4. Сертификат сервера должен иметь следующие параметры:

• Криптопровайдер в зависимости от алгоритма один из следующих: Crypto-ProCryptographic Service Provider; Crypto-Pro Gost R 34.10-2001 Cryptographic ServiceProvider; Crypto-Pro Gost R 34.10-94 Cryptographic Service Provider.

• Идентификатор должен соответствовать имени веб-сервера (например, веб-сервер"bank_tls" должен иметь сертификат с идентификатором bank_tls).

• Поле Область применения сертификата должно содержать значение1.3.6.1.5.5.7.3.1 – Server Authentication.

• Поле Область применения секретного ключа должно содержать значенияDigitalSignature; NonRepudiation; KeyEncipherment; DataEncipherment.

• Поле E-mail должно быть обязательно заполнено.

• В поле Тип запроса задайте значение "CP_GOST_R3411_R3410".

Заполните перечисленные выше поля необходимыми значениями, заполните поляШтат и Город и нажмите кнопку Далее.

Генерация сертификата и секретных ключей веб-сервера

10

5. Выполните генерацию запроса на сертификат.

Генерация сертификата и секретных ключей веб-сервера

11

Глава 3. Генерация сертификатаи секретных ключей клиента

Генерацию ключей и запроса на сертификат клиента можно произвести стандартными сред-ствами ДБО.

1. Выполните команды меню Администрирование → Криптозащита → Ручная генера-ция сертификата. Откроется окно Генерация запроса на сертификат и секретногоключа.

Рис. 3.1. Окно Генерация запроса на сертификат и секретного ключа

2. В поле Название абонента задайте название профиля абонента, в поле УдаленныйАРМ задайте номер и название АРМ, для которого генерируется запрос.

3. В поле Тип криптобиблиотеки задайте значение "Ms Crypto Api 2.0" и нажмите кнопкуДалее. Откроется окно Генерация запроса на сертификат.

4. Сертификат клиента должен иметь следующие параметры:

• Поле Область применения сертификата должно содержать значение1.3.6.1.5.5.7.3.2 – Client Authentication.

• Поле Область применения секретного ключа должно содержать значенияDigitalSignature;NonRepudiation;KeyEncipherment;DataEncipherment.

Заполните поля окна и нажмите кнопку Далее.

12

5. Выполните генерацию запроса на сертификат.

Генерация сертификата и секретных ключей клиента

13

Глава 4. Установка сертификатасервера

Установка сертификата сервера выполняется на компьютере веб-сервера, для этого восполь-зоваться панелью управления CryptoPro.

1. Выполните команды основного меню Windows Пуск → Настройка → Панель упра-вления → КриптоПро CSP.

Рис. 4.1. Панель управления

Откроется окно Свойства: КриптоПро CSP.

14

Рис. 4.2. Окно Свойства: КриптоПро CSP

2. Перейдите на закладку Сервис и нажмите кнопку Установить личный сертификат.Откроется Мастер установки личного сертификата.

Рис. 4.3. Мастер установки личного сертификата

Установка сертификата сервера

15

3. Нажмите кнопку Далее. Откроется закладка Расположение файла сертификата.

Рис. 4.4. Закладка Расположение файла сертификата Мастера установки личного сертификата

4. В поле Имя файла сертификата задайте путь к необходимому файлу сертификата. Зна-чение может быть введено непосредственно в поле или же задано с помощью стандарт-ного окна Windows для открытия файла, вызываемого при нажатии кнопки Обзор,расположенной справа от поля.

Нажмите кнопку Далее. Откроется закладка для просмотра информации о сертификате.


16

Рис. 4.5. Закладка Сертификат для установки Мастера установки личного сертификата

5. Нажмите кнопку Далее. Откроется закладка Контейнер секретного ключа.

Рис. 4.6. Закладка Контейнер секретного ключа Мастера установки личного сертификата

6. В поле Введенное имя задает ключевой контейнер выберите значение "Компьютера"и задайте Имя ключевого компьютера. Нажмите кнопку Далее. Откроется закладкаХранилище сертификатов.


17

Рис. 4.7. Закладка Хранилище сертификатов Мастера установки личного сертификата

7. Нажмите кнопку Обзор. Откроется окно Выбор хранилища сертификатов.

Рис. 4.8. Окно Выбор хранилища сертификатов

8. Выберите значение "Личные" и нажмите кнопку ОК.

9. В окне хранилище сертификатов нажмите кнопку Далее. Откроется закладка для завер-шения работы Мастера установки личного сертификата.


18

Рис. 4.9. Закладка для завершения работы Мастера установки личного сертификата

10. Нажмите кнопку Готово. Таким образом, сертификат сервера попадет в персональныйсправочник локального компьютера с установленной на уровне ОС связкой с контейне-ром секретных ключей.

Далее необходимо установить сертификат Центра сертификации в справочник Доверенныекорневые центры сертификации локального компьютера. Это можно сделать с помощьюоснастки "Сертификаты (локальный компьютер)" Microsoft Management Console (MMC).Там же можно проверить правильность выполнения предыдущего шага.

Установка сертификата может быть произведена следующим образом:

1. Выполните команды основного меню Windows Пуск → Выполнить. Откроется окноЗапуск программы.

Рис. 4.10. Окно Запуск программы

2. В поле Открыть введите "mmc" и нажмите кнопку ОК. Откроется главное окноMicrosoft Management Console.

3. Выполните команду главного меню mmc Консоль → Создать. Откроется окно Кон-соль.


19

Рис. 4.11. Окно Консоль

4. Выполните команды меню Консоль → Добавить / удалить оснастку. Откроется окноДобавить / Удалить оснастку.

Рис. 4.12. Окно Добавить / Удалить оснастку

5. Нажмите кнопку Добавить. Откроется окно Добавить изолированную оснастку.


20

Рис. 4.13. Окно Добавить изолированную оснастку

6. Выберите значение "Сертификаты" и нажмите кнопку Добавить. Откроется окно Ос-настка диспетчера сертификатов.

Рис. 4.14. Окно Оснастка диспетчера сертификатов

7. В блоке выбора задайте значение "учетной записи компьютера" и нажмите кнопку Да-лее. Откроется окно Выбор компьютера.


21

Рис. 4.15. Окно Выбор компьютера

8. В блоке выбора задайте значение "локальным компьютером" и нажмите кнопку Гото-во.

9. Нажмите кнопку Закрыть в окне Добавить изолированную оснастку. В окне Доба-вить / Удалить оснастку Вы увидите новую запись.

10. Нажмите кнопку ОК. Откроется окно Корень консоли, в котором содержится списоксертификатов локального компьютера.


22

Рис. 4.16. Окно Корень консоли

11. Для добавления сертификата Центра Авторизации выполните команду меню Доверен-ные корневые центры сертификации → Все задачи → Импорт. Откроется Мастеримпорта сертификатов. Нажмите в нем кнопку Далее. Откроется закладка Импорти-руемый файл.

Рис. 4.17. Закладка Импортируемый файл Мастера импорта сертификатов

12. В поле Имя файла задайте путь к файлу сертификата Центра Авторизации. Значениеможет быть введено непосредственно в поле или же задано с помощью стандартногоокна Windows для открытия файла, вызываемого при нажатии кнопки Обзор, располо-женной справа от поля.

Нажмите кнопку Далее. Откроется закладка Хранилище сертификатов.


23

Рис. 4.18. Закладка Хранилище сертификатов Мастера импорта сертификатов

13. В блоке выбора задайте место хранения сертификатов и нажмите кнопку Далее. От-кроется закладка для завершения работы Мастера импорта сертификатов.

14. Для завершения процедуры и закрытия окна мастера настроек нажмите кнопку Гото-во.

15. При закрытии Microsoft Management Console (MMC) нажмите кнопку Да для сохране-ния выполненных настроек.


24

Глава 5. Установка сертификатаклиента

Сертификат клиента, выданный в банке, устанавливается на компьютере клиента одним издвух способов.

5.1. Способ 1Для установки сертификата клиента необходимо воспользоваться панелью управленияCryptoPro.

1. Выполните команды основного меню Windows Пуск → Настройка → Панель упра-вления → КриптоПро CSP.

Рис. 5.1. Панель управления

Откроется окно Свойства: КриптоПро CSP.

2. Перейдите на закладку Сервис и нажмите кнопку Установить личный сертификат.Откроется Мастер установки личного сертификата.

3. Нажмите кнопку Далее. Откроется закладка Расположение файла сертификата.

4. Выберите необходимый файл сертификата и нажмите кнопку Далее. Откроется закладкадля просмотра информации о сертификате.

5. Нажмите кнопку Далее. Откроется закладка Контейнер секретного ключа.

25

Рис. 5.2. Закладка Контейнер секретного ключа Мастера установки личного сертификата

6. В поле Введенное имя задает ключевой контейнер выберите значение "Пользователя"и задайте Имя ключевого компьютера. Нажмите кнопку Далее. Откроется закладкаХранилище сертификатов.

7. Нажмите кнопку Обзор. Откроется окно Выбор хранилища сертификатов.

8. Выберите значение "Личные" и нажмите кнопку ОК.

9. В окне хранилище сертификатов нажмите кнопку Далее. Откроется закладка для завер-шения работы Мастера установки личного сертификата.

10. Нажмите кнопку Готово. Таким образом, сертификат сервера попадет в персональноехранилище текущего пользователя.

5.2. Способ 2Кроме того, можно выполнить регистрацию сертификата следующим образом:

1. Для того, чтобы зарегистрировать сертификат, выданный Вам в банке, нажмите на ссыл-ку ‘Sertificate Setup.url’, расположенную на рабочем столе компьютера. Откроется окнодля ввода регистрационной информации пользователя.

2. В поле Логин укажите имя пользователя, в поле Пароль введите пароль для входа всистему. Затем нажмите кнопку Далее или клавишу Enter.

Внимание!

Обратите внимание на то, что необходимо указать системное имя и пароль, присвоенныйВам банком.

Установка сертификата клиента

26

Будьте внимательны при вводе пароля. Помните, что латинские и русские символы, а такжезаглавные и прописные буквы при вводе пароля различаются.

У Вас имеется только три попытки на вход в систему, после чего вход в систему для Васбудет заблокирован. Для решения проблемы Вам необходимо обратиться к оператору бан-ка.

После успешной авторизации клиента с типом защиты канала типа двусторонний SSL(TLS) осуществляется подключение к технологическому сайту банка. Откроется окнодля регистрации сертификата.

3. Установите в считывающее устройство ключевой носитель с сертификатом и нажмитессылку регистрация сертификата.

Если сертификат уже зарегистрирован, на экране появится соответствующее сообщение.Если сертификат не был зарегистрирован, будет выполнена его регистрация на сайтебанка.

Если Вам необходимо зарегистрировать несколько сертификатов, установите в считы-вающее устройство ключевой носитель с сертификатом и повторите процедуру реги-страции.

4. После того как все сертификаты зарегистрированы нажмите кнопку Далее.

Установка сертификата клиента

27

Глава 6. Присвоениесертификата веб-сервера веб-сайту

Для настройки двустороннего SSL выполните следующие действия:

1. Запустите Internet Services Manager (Пуск → Настройка → Панель управления →Администрирование → Диспетчер служб Интернета).

2. В появившемся окне слева откройте дерево Internet Information Services. В дереве по-явится ветка *<сетевое имя Вашего компьютера>.

3. В списке сайтов выберите сайт, которому необходимо настроить двусторонний SSL, ивыполните команду контекстного меню Свойства. Откроется окно Свойства.


Cоздание и настройка сайта описаны в разд. 5.2.2, «Создание веб-сайта подсистемы "Ин-тернет-Клиент"» документа Руководство по использованию. Подсистема "Интернет-клиент". Здесь описана только дополнительная настройка сайта с той целью, чтобы онкорректно поддерживал работу канала с типом защиты двусторонний SSL. Дополнительнойнастройке подлежат только перечисленные ниже параметры. Все остальные параметры ос-таются без изменений.

28

Рис. 6.1. Окно Свойства

4. Перейдите на закладку Безопасность каталога. Присвойте серверу установленный сер-тификат. Для чего в блоке Безопасные подключения нажмите кнопку Сертификат.Откроется Мастер сертификатов.

Рис. 6.2. Мастер сертификатов

Присвоение сертификата веб-сервера веб-сайту

29

5. Нажмите кнопку Далее. Откроется закладка Сертификат.

Рис. 6.3. Закладка Сертификат Мастера сертификатов ISS

6. Присвойте серверу установленный сертификат. Для этого в блоке выбора задайте зна-чение "Назначение существующего сертификата" и нажмите кнопку Далее. Откроетсязакладка Доступные сертификаты.

Рис. 6.4. Закладка Доступные сертификаты Мастера сертификатов ISS

7. Выберите из списка установленный сертификат и нажмите кнопку Далее. Откроетсязакладка Сведения о сертификате.


30

Рис. 6.5. Закладка Сведения о сертификате Мастера сертификатов ISS

8. Проверьте информацию и нажмите кнопку Далее. Откроется закладка для завершенияработы Мастера сертификатов ISS.

Рис. 6.6. Закладка для завершения работы Мастера сертификатов ISS



31

Глава 7. Проверка связикомпьютеров веб-сервера иклиента с Центромсертификации

При установлении связи по SSL компьютеры веб-сервера и клиента запрашивают у Центрасертификации информацию о списках отозванных сертификатов. Поэтому перед работой не-обходимо проверить связь между этими компьютерами и Центром сертификации. В каждомсертификате имеется параметр "Точки распространения списков отзыва (CRL)", содержащийссылку (URL) на список отозванных сертификатов соответствующего Центра сертификации.Данный URL должен быть доступен с компьютеров веб-сервера и клиента.

Проверить это можно в Internet Explorer (при открытии указанной в URL страницы на экранедолжен появиться CRL). Если установить подобное соединение по той или иной причиненевозможно, CRL необходимо установить в справочник Доверенные корневые центры сер-тификации. На веб-сервере: Локальный компьютер → Доверенные корневые центрысертификации, на клиентской части: Текущий пользователь → Доверенные корневыецентры сертификации.

32


Если сертификаты не содержат параметр "Точки распространения списков отзыва (CRL)", опи-санную проверку можно не производить.

Установка сертификата может быть произведена следующим образом:

1. Выполните команды основного меню Windows Пуск → Выполнить. Откроется окноЗапуск программы.

Рис. 7.1. Окно Запуск программы

2. В поле Открыть введите "mmc" и нажмите кнопку ОК. Откроется главное окноMicrosoft Management Console.

3. Выполните команду главного меню mmc Консоль → Создать. Откроется окно Кон-соль.

Проверка связи компьютеров веб-сервера и клиента с Центром сертификации

33

Рис. 7.2. Окно Консоль

4. Выполните команды меню Консоль → Добавить / удалить оснастку. Откроется окноДобавить / Удалить оснастку.

Рис. 7.3. Окно Добавить / Удалить оснастку

5. Нажмите кнопку Добавить. Откроется окно Добавить изолированную оснастку.


34

Рис. 7.4. Окно Добавить изолированную оснастку

6. Выберите значение "Сертификаты" и нажмите кнопку Добавить. Откроется окно Ос-настка диспетчера сертификатов.

Рис. 7.5. Окно Оснастка диспетчера сертификатов

7. При установке сертификата на клиентской части выберите значение "моей учетной за-писи пользователя" и нажмите кнопку Готово.

При установке сертификата на веб-сервере выберите значение "учетной записи компь-ютера" и нажмите кнопку Далее. Откроется окно Выбор компьютера. В нем задайтезначение "локальным компьютером" и нажмите кнопку Готово.

8. Нажмите кнопку Закрыть в окне Добавить изолированную оснастку. В окне Доба-вить / Удалить оснастку Вы увидите новую запись.


35

9. Нажмите кнопку ОК. Откроется окно Корень консоли, в котором содержится списоксертификатов локального компьютера.

Рис. 7.6. Окно Корень консоли

10. Для добавления сертификата CRL выполните команду меню Доверенные корневыецентры сертификации → Все задачи → Импорт. Откроется Мастер импорта серти-фикатов. Нажмите в нем кнопку Далее. Откроется закладка Импортируемый файл.


36

Рис. 7.7. Закладка Импортируемый файл Мастера импорта сертификатов

11. В поле Имя файла задайте путь к файлу сертификата CRL. Значение может быть введенонепосредственно в поле или же задано с помощью стандартного окна Windows для от-крытия файла, вызываемого при нажатии кнопки Обзор, расположенной справа от поля.

Нажмите кнопку Далее. Откроется закладка Хранилище сертификатов.

Рис. 7.8. Закладка Хранилище сертификатов Мастера импорта сертификатов


37

12. В блоке выбора задайте место хранения сертификатов и нажмите кнопку Далее. От-кроется закладка для завершения работы Мастера импорта сертификатов.


14. При закрытии Microsoft Management Console (MMC) нажмите кнопку Да для сохране-ния выполненных настроек.


38

Глава 8. Настройкадвустороннего SSL на веб-сайте

Для настройки двустороннего SSL выполните следующие действия:

1. Запустите Internet Services Manager (Пуск → Настройка → Панель управления →Администрирование → Диспетчер служб Интернета).

2. В появившемся окне слева откройте дерево Internet Information Services. В дереве по-явится ветка *<сетевое имя Вашего компьютера>.

3. В списке сайтов выберите сайт, которому необходимо настроить двусторонний SSL, ивыполните команду контекстного меню Свойства. Откроется окно Свойства.


Cоздание и настройка сайта описаны в разд. 5.2.2, «Создание веб-сайта подсистемы "Ин-тернет-Клиент"» документа Руководство по использованию. Подсистема "Интернет-клиент". Здесь описана только дополнительная настройка сайта с той целью, чтобы онкорректно поддерживал работу канала с типом защиты двусторонний SSL. Дополнительнойнастройке подлежат только перечисленные ниже параметры. Все остальные параметры ос-таются без изменений.

4. Перейдите на закладку Безопасность каталога.

5. Для чего в блоке Безопасные подключения нажмите кнопку Изменить. Откроется окноБезопасные подключения.

6. Заполните поле выбора Требуется безопасный канал (SSL).

7. В блоке выбора Сертификаты клиентов задайте значение "требовать сертификатыклиентов" и нажмите кнопку ОК.

8.1. Настройка связки BSI – RTS длядвустороннего SSL

Для настроек используется утилита BSISET.EXE. Настройки производятся следующим об-разом:

1. Запустите файл Bsiset.exe, находящийся в каталоге %BSSRoot%\InetPub\EXE.


Если веб-сайт находится на другом компьютере, то для настойки bsi.dll достаточноскопировать файл BSISET.EXE в каталог \Inetpub\BSI_scripts\RT_IC.

Откроется окно Choose BSI.DLL location.

39

2. В поле Library\Config задайте путь к файлу bsi.dll. Если ранее производились на-стройки модуля BSI, то нужный путь может быть выбран из списка, расположенногониже. Для задания пути к bsi.dll вручную используется кнопка .

3. Нажмите кнопку Edit. Откроется окно настроек BSI Multi Configuration. В нем необ-ходимо настроить конфигурацию RTS для используемого типа защиты каналов клиен-тов – двусторонний SSL (TLS).

4. Заведите новую конфигурацию для RTS. Для этого в правой части окна на закладке RTSConfigurations нажмите кнопку New. Будет создана новая конфигурация с именемNewItem, которую можно переименовать.

5. Установите курсор на строку NewItem и введите имя настройки в поле ConfigID.

6. Затем при выбранном названии новой настройки нажмите кнопку Configuration. От-кроется окно настроек BSI Set.

7. Откройте закладку Authentification.

8. Настройте тип идентификации клиентов. Для этого в блоке выбора задайте значение"Identify by client certificate (2 Side SSL)".

1. Найдите на панели уведомлений значок сервера и выполните на нем команду кон-текстного меню Настройки. Откроется окно Настройки.

2. Откройте раздел Настройки выполнения → Идентификация клиента.

Рис. 8.1. Окно Настройки

Настройка двустороннего SSL на веб-сайте

40

3. Для работы с TLS заполните поля Аутентифицировать клиента с пустым идентифи-катором и Инициализация криптодвижка.

4. Выберите криптопровайдера – "CryptoPro CSP1.1".

5. Выберите способ получения параметров инициализации криптодвижка:

• Из базы – будут браться параметры банковского криптопрофиля (подходит в случаеналичия только одного банковского криптопрофиля).

• Из файла – параметры серверного ключа будут браться при загрузке RTS из указан-ного файла. Например, из файла следующего вида:

A:\r_server.cerA:\CAA:\AbonentGOST_R3411GOST_2814715BFE358000000000008360360RomanRoman@bss.comBssDevelopmentMoscowRussiaRUC:\Roman.reqCP_GOST_R3411_R3410365SNCN

1.3.6.1.5.5.7.3.1;1.2.643.2.2.34.7DigitalSignature;NonRepudiation;KeyEncipherment;DataEnciphermentNo

• Из списка – параметры, необходимые для инициализации криптодвижка, должныбыть введены вручную.

Настройка двустороннего SSL на веб-сайте

41

ГлоссарийПеречень сокращенийАРМ Автоматизированное рабочее место.

ДБО Дистанционное банковское обслуживание.См. также Распределенная система "ДБО BS-Client v.3".

РМ Рабочее место.

РС "ДБО BS-Client v.3" Распределенная система "ДБО BS-Client v.3".

Перечень терминовАРМ банка См. Автоматизированное рабочее место.

АРМ клиента См. Автоматизированное рабочее место.

АРМ удаленной площадки См. Автоматизированное рабочее место.

Автоматизированное ра-бочее место

Автоматизированное рабочее место (АРМ) - совокупность компонентовсистемы "ДБО BS-Client v.3". АРМ бывают трех видов:

• АРМ банка - совокупность компонентов системы, установленных навсех рабочих станциях и серверах банка, имеющих непосредствен-ный доступ к БД банка;

• АРМ удаленной площадки - совокупность компонентов системы, ус-тановленных в удаленной площадке подразделения банка, не имею-щей непосредственного доступа к БД банка и осуществляющейвзаимодействие с АРМ банка посредством подсистемы "ОператорШтрих-Кодов";

• АРМ клиента - совокупность компонентов системы, установленныхна всех рабочих станциях клиента.

Клиент Юридическое лицо, обслуживаемое системой.

42

SSL (TLS) Настройка двустороннегоbss.bssys.com/.../Nastroika_dvustoronnego_SSL_(TLS).pdfс Центром сертификации» [стр. 32]. • Настройка

Documents