На этапе развертывания системы необходимо указать нужные значения в файлах конфигурации для каждого сервиса. Файлы конфигурации всех сервисов системы располагаются в корневом каталоге веб-приложений IIS (путь по умолчанию %SystemDrive%\inetpub\wwwroot\cm) для ОС Windows или в каталоге /opt/rutoken/cm для ОС Linux.
Файлы конфигурации службы Card Monitor для OC Windows расположены в %ProgramFiles%\Rutoken KeyBox\CardMonitor.
Настройка файлов конфигурации осуществляется при помощи Мастера настройки Rutoken KeyBox, который является независимым компонентом и устанавливается отдельно.
Системные требования для установки компонента совпадают с требованиями для установки серверных компонентов системы.
Установка и запуск Мастера настройки Rutoken KeyBox
Установка мастера на ОС Windows
Запустите файл IndeedCM.Wizard-<номер версии>.x64.ru-ru.msi из каталога RutokenKeyBox.Server дистрибутива системы и выполните установку, следуя указаниям мастера. Мастер настройки устанавливается в каталог C:\inetpub\wwwroot\cm\wizard.
Установка и запуск мастера на ОС Linux
Выполните установку веб-приложения из DEB или RPM пакета (cm.wizard-<номер версии>_amd64.deb или cm.wizard-<номер версии>.x86_64.rpm) в зависимости от используемого Linux дистрибутива.
RHEL и производные дистрибутивы:
|
Debian и производные дистрибутивы:
|
Запустите bash-скрипт start-cm-wizard.sh расположенный в каталоге с дистрибутивом сервера системы.
|
В целях безопасности рекомендуется отключать веб-приложение Мастер настройки Rutoken KeyBox после проведения конфигурации системы.
ОС Windows:
- Откройте оснастку Диспетчер служб IIS (Internet Information Services Manager).
- В дереве компонентов IIS сервера выберите пункт "Пулы приложений" (Application Pools).
- В списке Пулы приложений выберите Мастер настройки Rutoken KeyBox.
- В меню Действия в правой части окна Диспетчера служб IIS выберите Остановить.
ОС Linux:
- Откройте эмулятор терминала.
- Выполните команду:
|
Аутентификация в Мастере настройки Rutoken KeyBox
Аутентификация в приложении Мастер Настройки Rutoken KeyBox осуществляется по временным кодам аутентификации. Код аутентификации формируется в момент запуска пула приложения IIS Rutoken KeyBox Wizard на ОС Windows или в момент старта службы cm-wizard.service на ОС Linux и сохраняется в файл wizard_authentication_code.txt в подкаталоге logs.
Файл wizard_authentication_code.txt расположен:
в каталоге C:\inetpub\wwwroot\cm\wizard\logs для ОС Windows
в каталоге /opt/rutoken/cm/wizard/logs для ОС Linux.
- Откройте файл wizard_authentication_code.txt и скопируйте Код аутентификации.
wizard_authentication_code.txt
|
Код аутентификации для Мастера настроек Rutoken KeyBox, развернутого на сервере под управлением ОС Linux, также можно получить командой systemctl status
|
или получить из журнала приложения systemd юнита cm-wizard.service, выполнив команду:
|
В результате, код аутентификации будет выведен на экран терминала:
|
2. С помощью интернет браузера перейдите по адресу https://<FQDN сервера Rutoken KeyBox>/cm/wizard. Введите код в поле Код аутентификации и нажмите Войти.
Настройка параметров системы
В таблице приведены разделы Мастера настройки RutokenKeyBox и их описание.
Раздел | Описание |
---|---|
Перед началом работы | Информация о назначении и возможностях мастера настройки RutokenKeyBox. |
Восстановление настроек | Загрузка файла резервной копии конфигурации RutokenKeyBox. |
Функции системы:
| Общие функции: настройка внутренних параметров веб-приложений RutokenKeyBox. Консоль управления (Management Console)
Сервис самообслуживания (Self-Service)
Журнал событий:
Журнал учета СКЗИ: настройка параметров ведения журнала учета СКЗИ. Удостоверяющие центры: настройка параметров работы с центрами сертификации MS CA, КриптоПро УЦ 2.0 и Валидата УЦ. КриптоПро DSS: настройка интеграции с ПАК КриптоПро DSS. AirCard Enterprise: настройка интеграции с сервером виртуальных смарт-карт Indeed AirCard Enterprise. Клиентский агент: настройка параметров работы клиентского агента RutokenKeyBox. |
Каталог пользователей:
| Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога. |
| Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием RutokenKeyBox в момент выпуска устройства. Например: создать нового пользователя в ЦР КриптоПро с теми же значениями атрибутов, как и для существующего пользователя Active Directory. |
| Определение списка атрибутов пользователя при изменении которых требуется обновление сертификата на устройстве. Отслеживание изменений в атрибутах пользователей Active Directory доступно только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата. |
Контроль доступа:
| Определение параметров доступа к сервисам системы. Доступ к веб-приложениям RutokenKeyBox предоставляется либо с использованием Аутентификации Windows (в случае, если сервер системы развернут на доменной рабочей станции под управлением ОС Windows), либо с использованием OpenID Connect сервера. Определение учетной записи для первоначальной настройки привилегий пользователей в разделе Роли Консоли управления Рутокен KeyBox. Указанная учетная запись должна иметь User Principal Name (UPN) и входить в выбранный каталог пользователей системы. |
Хранилище данных:
| Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа. |
Служба Card Monitor | Служба Card Monitor предназначена для выполнения операций по контролю за обращением устройств (USB-токенов и смарт-карт) и выполняет:
Для работы Card Monitor в разделе Роли потребуются создать сервисную роль, включить в нее учетную запись, от имени которой будет работать Card Monitor и определить для роли привилегии:
Если настроена интеграция с КриптоПро DSS и AirCard Enterprise, то задайте привилегии для работы с данными устройствами. |
Подтверждение | Сводная информация по настройкам всех разделов Мастера. После нажатия кнопки Применить указанные значения для всех параметров будут записаны в файлы конфигурации всех приложений и сохранены в каталоги C:\inetpub\wwwroot\cm\wizard\configs для ОС Windows и /opt/rutoken/cm/wizard/configs/ для ОС Linux для дальнейшего их применения на сервере системы. |
Результаты | Результат работы Мастера по записи указанных значений в файлы конфигурации сервисов системы. Файлы конфигурации можно выгрузить в архив (опция Сохранить файлы конфигурации) для переноса и применения настроек на сервере системы. При первой установке системы настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации в разделе Результаты). Резервная копия настроек включает в себя все параметры, определенные при установке системы для всех сервисов, а также алгоритм и ключ шифрования базы данных. При развертывании новых серверов системы используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера настройки. Файл резервной копии содержит данные сервисных учетных записей для работы с каталогом пользователей, и хранилищем данных, алгоритм и ключ шифрования базы данных системы. Храните файл резервной копии в защищенном месте. |
Применение файлов конфигурации на сервере системы
Примените файлы конфигурации, созданные Мастером настройки на сервере (серверах) системы.
ОС Windows:
- Откройте консоль Powershell от имени администратора.
- Перейдите в директорию C:\inetpub\wwwroot\cm\wizard\configs.
Выполните Powershell-скрипт deploy_configuration.ps1, выполнив команду:
.\deploy_configuration.ps1
- В процессе выполнения Powershell-скрипта укажите пароль учетной записи, используемой для запуска службы Card Monitor.
ОС Linux:
- Откройте эмулятор терминала.
- Перейдите в директорию /opt/rutoken/cm/wizard/configs.
Запустите скрипт deploy_configuration.sh, выполнив команду:
sh .
/deploy_configuration
.sh
В процессе выполнения bash-скрипта укажите учетную запись, от имени которой будет запускаться служба Card Monitor.
Рекомендуется указывать локальную учетную запись, от имени которой запускаются остальные веб-приложения системы.